Взломан критически важный компьютер вашей организации. Вы реагируете, беря с собой нужные инструменты и направляясь к компьютеру. По пути мимо вас проносится менеджер с красным от негодования лицом и резко поворачивается, понимая, что вы специалист, отвечающий за инцидент. Вы уже знаете, какие слова сейчас вырвутся из него, когда он начинает извергать на вас следующее: «Этот компьютер должен быть немедленно поднят на ноги! У нас сегодня презентация, и мы не можем позволить себе подобную ситуацию! Почините его!». Вы выдавливаете из себя «Да, Сан Саныч» и направляетесь в серверную, где находится компьютер. Войдя в систему, вы понимаете, что время настроено против вас.
Автор Nathan Einwechter
Введение
Взломан критически важный компьютер вашей организации. Вы реагируете, беря с собой нужные инструменты и направляясь к компьютеру. По пути мимо вас проносится менеджер с красным от негодования лицом и резко поворачивается, понимая, что вы специалист, отвечающий за инцидент. Вы уже знаете, какие слова сейчас вырвутся из него, когда он начинает извергать на вас следующее: «Этот компьютер должен быть немедленно поднят на ноги! У нас сегодня презентация, и мы не можем позволить себе подобную ситуацию! Почините его!». Вы выдавливаете из себя «Да, Сан Саныч» и направляетесь в серверную, где находится компьютер. Войдя в систему, вы понимаете, что время настроено против вас.
Потребуется ли вам час на анализ системных журналов, или же вы потратите всего несколько минут на эту поглощающую время задачу? Выбор за вами, и именно многоуровневая Система Обнаружения Вторжения (IDS – intrusion detection system) предоставляет вам этот выбор.
Очень часто отдельные решения безопасности скребут по поверхности события. Эту поверхность информации можно сравнить с корой Земли, составляющей всего лишь один процент от всей планеты. Анализ только этой поверхности информации не лучший подход к сетевой безопасности. Требуется бурить глубже - в самую мантию и даже в ядро, чтобы действительно начать оценивать ситуацию и понимать происходящее в безопасности систем и сетей.
Многоуровневая IDS позволяет аналитикам проникнуть вглубь информации события, предоставляя вам значительно более глубокое понимание ситуации. В этой статье обсуждаются основы технологии mIDS, выгоды её применения, кто должен её применять и как она работает.
Обзор mIDS
Что такое многоуровневые Системы Обнаружения Вторжения?
MIDS совмещает несколько уровней безопасности в единый механизм наблюдения и анализа. Начиная с инструментов мониторинга целостности системы и заканчивая системными журналами, журналами IDS и сетевых фильтров. Все эти виды журналов и логов объединяются в один источник мониторинга и анализа на компьютере с установленной системой mIDS.
Принцип объединения системных журналов является первообразным в mIDS. Объединяя журналы событий, мы приводим файлы разных форматов и из разных мест в один файл определенного формата. В итоге мы получаем удобочитаемый, краткий и понятный источник информации.
Таким образом, мы помогаем IT/IS специалистам быстро и без лишних усилий получить нужную информацию. Объединяя и составляя схему события для наблюдающего и анализирующего, мы позволяем им быстрее и легче понять большие объемы информации разного формата и содержания. В свою очередь, они смогут максимально эффективно делать свою работу.
Почему mIDS?
После определения функций mIDS, обычно возникает вопрос – кому и зачем понадобилась mIDS, и кто может поиметь выгоду из пользования mIDS?
Высокое понимание происходящего
MIDS ставит людей и организации в более безопасную позицию, позволяя более высокое понимание ситуации и более низкое время обнаружения неполадок. Именно это высокое понимание ситуации дает возможность проникнуть через кору в мантию информации, предоставляя новый взгляд на происходящее и на ваши действия.
Формат оповещения mIDS дает большее понимание ситуации, чем системный журнал или несколько несвязанных между собой логов.
Один источник информации о вторжении дает нам лишь часть картины. Иногда нам хватает этой части для понимания происходящего, однако чаще всего наличие подтверждающих сведений намного проясняет ситуацию и дает уверенность в действительность произошедшего, опровергая ваши ложные догадки.
Повышенное понимание происходящего позволяет системе оставаться на высоте,
справляясь с нападениями и угрозами быстрее.
Обработка инцидента и анализ
Сокращенное время обнаружения играет на руку аналитикам и обработчикам инцидентов. Если ожидается нападение, то время обнаружения играет существенную роль. MIDS позволяет преодолеть технические и логические ограничения времени обнаружения, обеспечивая большую безопасность сокращенным временем обнаружения и реагирования. Система может преодолеть эти ограничения, создав единый источник всех журналов событий и приведя всю информацию к одному формату.
Время реагирования также сокращено, т.к. аналитики имеют мгновенный доступ к информации о всех соответствующих событиях. Даже эта информация, открытая через mIDS, объединяется и готова для просмотра.
Финансовые преимущества
Также существуют определенные финансовые выгоды использования mIDS для наблюдения и анализа безопасности системы. Они следуют за сокращенным временем обнаружения вторжения и реагирования, т.к. время простоя системы будет также сокращено. Сокращение пользовательского времени и увеличение рабочего времени системы означают повышение доходов у компаний, зависящих от информационных технологий.
Компании, получающие выгоды от использования mIDS больше других, зависят от небольшого количества систем или серверов в их ежедневном бизнесе (например, e-бизнес, ISP, web-хостинг, ASP и др.).
В целом, mIDS подходит средним и малым организациям с необходимостью содержания нескольких критически важных систем.
Обзор технологии mIDS
MIDS создан таким образом, чтобы позволить любой технологии интегрироваться в систему и работать вместе с другими технологиями. Существует только два ограничивающих фактора по которым технология может быть внедрена в многоуровневую систему обнаружения вторжения. Первый – наличие у технологии собственных методов ведения журналов событий, запрещающих системе их читать. Если система не сможет прочесть эти журналы, то эту технологию нельзя включить ни в какую систему наблюдения и анализа. Второй – творческий потенциал человека, собирающего mIDS, и людей, которые будут ей пользоваться. Технология может зайти настолько далеко, насколько у людей, использующих ее, хватит фантазии.
Вследствие этих ограничивающих факторов, настройки и гибкой натуры mIDS, мы рассмотрим основные процессы mIDS, но не будем разбирать какие-либо технологии и установку/настройку этой системы. Здесь показаны пять обобщенных шагов обработки информации:
Наблюдающие приложения следят за определенными лог-файлами и получают новые сообщения по мере их поступления.
Эти приложения могут быть настроены для отсылки сообщений на центральный сервер для анализа.
Вся входящая информация приводится к единому формату. Это жизненно важно, и процесс кодировки влияет на дальнейшие процессы. Следует внимательно настраивать этот процесс.
В процессе кодировки можно автоматически находить зависимости между сообщениями, определив их в правилах. Эти зависимости ключевые в объединении событий.
Это механизм оповещения, основанный на правилах, который может использовать определенные зависимости или события, описанные пользователем.
Только после этого шага аналитик начинает просматривать информацию. Процесс отчетности может заключаться как в показе объединенных отчетов, так и в визуализации событий.
Эти отчеты доступны из единого источника в едином формате, облегчая работу аналитика.
Истинную гибкость системы можно увидеть по диапазону возможных внедряемых технологий после первых двух процессов. После Измерения и Форматирования можно применить любое количество статистических, онтологических, основанных на правилах и решениях технологий. При правильном выполнении первых двух шагов выбор технологий неограничен.
Завершение
Внедрение многоуровневой системы обнаружения вторжений позволит организации держать свой уровень понимания ситуации для критических систем на высоте, в то же время обеспечивая экономические выгоды. Общая настройка достаточно проста и может быть установлена для любых событий. Однако настройка mIDS является лишь шагом к мощной, более оснащенной системе.
Спойлер: она начинается с подписки на наш канал