Мониторинг, анализ и управление ИБ

Мониторинг, анализ и управление ИБ

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

ПО МЕРЕ развития современных корпоративных информационных систем ИТ-инфра-структура любой компании становится все более сложной, разнообразной и приобретает распределенный характер. Невозможно представить себе современную компанию, весь бизнес которой сосредоточен в одном месте и не требует автоматизации.

Наиболее характерной картиной на сегодняшний день является наличие сотен пользователей, десятков серверов приложений, сетевого оборудования, средств и систем безопасности, и как следствие - миллионов событий от них.

При всем этом многообразии наиболее остро встает задача контроля текущего состояния системы, управления ею, а также обеспечения безопасности.

Современное состояние отрасли

Среди представленных на рынке систем мониторинга и управления информационной безопасностью (И Б) эксперты выделяют три класса решений -это SIM (Security Information Management), SEM (Security Event Management) и SIEM (Security Information and Event Management).

Все перечисленные классы объединяет то, что все они осуществляют сбор и анализ событий безопасности от разнородных приложений, операционных систем, сетевых устройств, телекоммуникационного оборудования и систем информационной безопасности.

SEM-решения в большей степени ориентированы на сбор и анализ событий и журналов аудита от телекоммуникационного оборудования, сетевых устройств, систем безопасности (коммутаторы, межсетевые экраны, системы обнаружения и предотвращения вторжений) и в меньшей - от пользовательских и серверных приложений. Основной задачей SEM-решения является анализ событий ИБ и отправка уведомлений о нарушениях в масштабе времени, близком к реальному.

SIM-решения в первую очередь ориентированы на сбор, анализ и долгосрочное хранение событий безопасности от пользовательских приложений, операционных систем, систем информационной безопасности (например, сканеров уязвимо-стей), серверов приложений и баз данных и лишь во вторую -от сетевых и телекоммуникационных устройств. SIM-решения осуществляют ретроспективный анализ и расследование инцидентов ИБ, анализ пользовательской активности, а также контроль над соблюдением политик и требований по ИБ.

На текущий момент на рынке систем мониторинга и управления ИБ преобладают системы, сочетающие в себе функционал SIM- и SEM-решений - системы SIEM (SIM + SEM). В России случаи внедрения подобных систем можно пересчитать по пальцам, однако уже есть положительные сдвиги, ведь функционал SIEM поможет многим компаниям повысить эффективность от использования ИТ.

Основные задачи SIEM-систем:

• оперативное обнаружение атак и нарушений политики ИБ;
• соотнесение в режиме реального времени событий от разных устройств, выявление инцидентов ИБ и их приоритезация;
• автоматическое реагирование на инциденты;
• формирование базы знаний по инцидентам;
• проведение аудитов и расследований инцидентов;
• оценка уровня угроз для отдельных корпоративных ресурсов.

Подходы к построению систем мониторинга, анализа и управления ИБ

Системы мониторинга, анализа и управления информационной безопасностью преимущественно имеют трехуровневую архитектуру АГЕНТ-СЕРВЕР-БД, которая разворачивается поверх корпоративной сети (при необходимости включая филиалы). Агенты осуществляют сбор событий И Б, выполняют их первоначальную обработку и фильтрацию, после чего передают на анализ серверу приложений, который является основой системы. Сервер приложений анализирует собранную с помощью агентов информацию и преобразует ее в более высокоуровневое и удобное для анализа представление. Вся информация, собранная агентами, а также результаты анализа ее сервером приложений сохраняются в хранилище (БД).

Общая архитектурная схема систем мониторинга, анализа защищенности и управления ИБ представлена на рис. 1.

В большинстве существующих SIEM-систем для обработки и анализа событий информационной безопасности используются механизмы нормализации, фильтрации, классификации, агрегации, корреляции и приоритезации событий.

Нормализация заключается в приведении собранных из различных источников аудита данных о событиях к единому виду и формату, "понятному" системе и необходимому для дальнейшего анализа и хранения.

Фильтрация событий используется для отсеивания избыточных и ненужных для дальнейшего анализа событий.

Классификация устанавливает атрибуты события в соответствии с его происхождением, типом и т.п.

Механизм агрегации объединяет несколько схожих событий в одно по определенным параметрам или признакам.

Корреляция событий позволяет выявлять взаимосвязь между разнородными событиями от различных устройств, приложений и систем безопасности, что позволяет не только обнаруживать атаки на корпоративную информационную систему, но и выявлять нарушения требований и политик безопасности.

Приоритезация - это процесс автоматического выставления значимости и критичности произошедшего события или группы событий на основании как предустановленных в системе правил, так и на основании критериев, разработанных администраторами системы. В простейшем случае порядок обработки событий осуществляется именно в порядке перечисления данных механизмов. Однако в большинстве существующих SIEM-систем процесс обработки событий информационной безопасности аналогичен модели, приведенной на рис. 2.

Получаемые преимущества

Внедрение системы мониторинга событий информационной безопасности позволит компании достигнуть следующих преимуществ:

• обеспечить централизованное управление событиями и инцидентами ИБ путем интеграции существующих в организации сенсоров безопасности и источников данных аудита в единую систему управления;
• увеличить скорость выявления, расследования и реагирования на инциденты;
• управлять инцидентами ИБ;
• повысить эффективность управления рисками ИБ;
• повысить уровень соответствия политикам и нормативным требованиям.

Достигаемые преимущества позволят руководству компании оценить эффективность инвестиций в развитие ИТ-инфра-структуры, осуществить оценку рисков от возможных потерь при сбоях и инцидентах, контролировать эффективность систем ИБ в удаленных филиалах. Также повышается эффективность работы технических специалистов за счет того, что задачи, связанные с периодическими и рутинными просмотрами миллионов событий будут автоматизированы, отпадет необходимость в персонале, который постоянно в режиме реального времени просматривает журналы регистрации сетевых устройств и приложений. В результате снизится процент ошибок, связанных с человеческим фактором, ИТ-персонал будет больше заниматься профильными задачами.

Окончание статьи читайте в следующем номере.