В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
За последние годы российский рынок услуг по созданию систем мониторинга ИБ созрел для решения задач, с которыми сталкиваются компании, активно наращивающие арсенал средств безопасности. Все средства защиты (антивирусные системы, межсетевые экраны, системы защиты СУБД и Web-сервисов, сканеры уязвимостей и др.) настроены и эффективно работают, ведется запись событий ИБ в журналы аудита каждой системы, но между ними нет единого связующего звена и соответственно нет единой прозрачной картины происходящего в ИБ-инфраструктуре. Зачастую при таком подходе снижается оперативность реагирования на инциденты ИБ, практически невозможно определить источник угрозы и найти ответственных за возникновение инцидента. Также в этом случае усложняются получение полной и достоверной информации о реализации угроз ИБ в online-режиме, демонстрация эффективного анализа событий ИБ во время сертификации и проверок, стратегическое планирование развития ИБ.
Централизованный мониторинг событий ИБ позволяет службам безопасности действовать проактивно, эффективно использовать комплекс средств защиты и оперативно выявлять инциденты. Сами же технологии обработки событий, расследования инцидентов и отчетности базируются на системах таких производителей, как HP Arc-Sight, IBM QRadar, RSA en Vision, Symantec SIM.
Усложнение архитектуры и увеличение количества элементов систем мониторинга событий ИБ связаны с ростом числа подключаемых к ним источников, так как проекты часто охватывают сразу несколько площадок, расположенных в разных городах. Архитектура решения обычно включает компоненты для сбора, первичной фильтрации и агрегации событий, ядро системы для обработки и корреляции событий, СУБД для оперативной работы и систему хранения данных для ведения архива журналов аудита, а также компоненты, необходимые для администрирования, работы с отчетами и оповещениями об инцидентах ИБ.
В условиях роста сложности угроз ИБ закономерным стало и изменение требований, предъявляемых к системам мониторинга. Наряду с централизованным сбором и хранением журналов аудита от обширного перечня устройств и программ, оповещением об инцидентах ИБ, а также реализации нормативных требований, перед системами мониторинга событий ИБ возникли новые задачи:
Для их реализации в настоящее время требуется не только построить систему мониторинга событий ИБ, но и обеспечить ее работу сопутствующими технологиями аудита, выстроить процессы управления событиями и инцидентами, нарастить компетенции сотрудников службы ИБ компаний.
Ответом на возникновение новых задач, увеличение технологий обработки событий и выстраивание процессов ИБ стало появление проектов по созданию центров управления инцидентами ИБ (Cyber Incident Response Center - CIRC), где система мониторинга является важным, но не единственным звеном решения.
Для построения CIRC необходима интеграция систем нескольких классов. Например, для обеспечения CIRC информацией о событиях и состоянии ИБ производится подключение средств защиты информации, комплексов защиты от утечек информации, сканеров уязвимостей, средств защиты СУБД и Web-приложений. А также - межсетевых экранов уровня приложений, бизнес-приложений и некоторых IТ-систем (шлюзов IP-телефонии, средств публикации приложений, сред виртуализации и т.п.).
При подключении таких систем (и особенно бизнес-приложений) может возникнуть ряд проблем, осложняющих аудит событий. Во-первых, системы могут быть недостаточно документированы и не иметь спецификации всех возможных событий И Б. Во-вторых, в ходе внедрения может потребоваться доработка штатных коннекторов системы мониторинга событий ИБ. В-третьих, для ряда систем частично или полностью отсутствуют необходимые фильтры, dashboard, мониторы данных, отчеты и пр. В-четвертых, нет готовых механизмов корреляции, позволяющих объединять данные, полученные из журналов БД, ОС и прикладной системы, без чего невозможно получить полную картину событий и выявлять комплексные инциденты ИБ.
Практика показывает, что можно успешно подключить любой нетиповой компонент, если он имеет подсистему аудита ИБ. Например, успешно реализуются проекты по сбору и корреляции журналов ИБ средств защиты (S-Terra CSP VPN Gate, СМАП "Дозор-Джет", MaxPatrol), бизнес-приложений (SAP, IBM Lotus Domino, Diasoft, 3CardF, 3CardR, Way4), а также специализированных IT-систем (Microsoft Forefront User Access Gateway, Cisco Unified Communication Manager, VMware ESX).
Конечно, перед тем как подключить источник событий, необходимо настроить опции аудита ИБ. В ряде случаев из-за недостаточного запаса производительности аппаратной платформы включение легирования запросов к БД на СУБД может оказаться затруднительным. В этом случае рациональнее внедрять систему защиты СУБД, например Imperva SecureSphere или IBM Guardium, которая к тому же позволяет решить множество задач ИБ, в том числе прикладных. Например, создание ролевой модели доступа на уровне СУБД (дополняющей или заменяющей механизмы контроля доступа на уровне бизнес-приложений), идентификация конечных пользователей бизнес-приложений, формирующих запрос к СУБД, контроль изменения настроек СУБД и обнаружение уязвимостей и конфиденциальной информации в СУБД в автоматическом режиме.
Для корреляции событий ИБ с данными о реальных уязвимостях IT-инфраструктуры CIRC интегрируется с системами Max-Patrol (Positive Technologies) или Vulnerability Management (McAfee). Решения данного класса передают в CIRC информацию об источниках событий ИБ, а также позволяют управлять уровнем критичности инцидента в зависимости от степени уязвимости затронутых IТ-компонентов. К тому же с помощью модуля контроля соответствия можно выполнять регулярный анализ изменений, внесенных в IT-инфраструктуру, и настройки IT-компонента или определять уровень соответствия корпоративным техническим стандартам ИБ.
Для расследования инцидентов и сбора необходимых свидетельств нарушения политик ИБ в технологии CIRC включаются системы извлечения информации с конечных хостов (например, EnCase Cybersecurity). Для полного восстановления сетевого трафика и детального анализа реализации атаки рекомендуется использовать RSA NetWitness. Системы данного класса существенно повышают успешность проведения расследований инцидентов, выявления злоумышленников и - при необходимости - доведения дела до судебного решения.
Кроме эффективных технологий реализации CIRC, не менее важны и выстроенные процессы управления инцидентами И Б. Их создание позволяет существенно повысить эффективность применяемых систем защиты для бизнеса и добиться полноценного решения задач центра управления инцидентами ИБ в соответствии с лучшими мировыми практиками. В ходе выстраивания процесса управления инцидентами ИБ необходимо определить объекты реализации угроз, определить и классифицировать события в отношении конкретного информационного ресурса, настроить аудит на источниках событий, описать правила реагирования на уязвимости и угрозы с использованием международных классификаций (WACS Threat Classification, OWASP, CVSS). Далее требуется разработать правила корреляции в соответствии с моделью угроз, типизировать и приоритезировать инциденты. В завершение - подготовить виды отчетов для мониторинга инцидентов, процедуры по расследованию инцидентов и планированию проактивных мер ИБ, предотвращающих повторное их возникновение.
Процессный подход делает реагирование и разрешение инцидентов ИБ оперативным и позволяет использовать как накопленный интеграторами в ходе проектов, так и собственный клиентский опыт по разрешению инцидентов ИБ.
Наличие процессов и связанных с ними технологий и персонала позволяют создать эффективный центр управления инцидентами ИБ и качественно решить поставленные задачи. Но далеко не все компании располагают собственными ресурсами для создания CIRC.
В настоящее время одним из перспективных направлений в ИБ является оказание облачных услуг, в том числе и в области создания центров управления инцидентами ИБ. Из облака уже сейчас доступны такие сервисы, как непрерывный мониторинг и анализ событий ИБ, оперативное реагирование на инциденты в режиме 24x7 и создание регулярных отчетов для технических специалистов и топ-менеджмента.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012