Два принципиальных решения
Мониторинг ИБ можно выполнять с помощью:
- Технических решений
- Организационных решений
Технические решения мониторинга ИБ представляют собой набор средств для сбора сведений об элементах/подсистемах ИБ, узлах ИТ-систем, а также средств воздействия на их поведение. Сбор сведений и воздействие на элементы осуществляется с целью обеспечения требуемого уровня функционирования узлов и подсистемы ИБ, представляя собой систему поддержки принятия решений по управлению состоянием ИБ.
На текущий момент особую распространенность имеют следующие два вида технических решений, применяемых в части ИБ:
- Системы мониторинга производительности и доступности;
- Системы управления событиями и инцидентами информационной безопасности (англ. SIEM – Security Information Event Management).
- Групп реагирования на инциденты, состоящих из экспертов различного уровня
- Операционных центров безопасности (от англ. SOC – Security Operations Center) или корпоративных/ведомственных Центров ГосСОПКА в Российской Федерации
Практика показывает, что только совокупное применение технических и организационных решений позволяет достигнуть высокого качества мониторинга. Оба вида решений требуют отдельного рассмотрения.
Технические решения мониторинга информационной безопасности
Системы мониторинга производительности и доступности
Обеспечение доступности объекта защиты является неотъемлемой частью обеспечения ИБ, поэтому системы мониторинга производительности и доступности являются обязательным инструментом при осуществлении мониторинга ИБ в ИТ-системах.
Системы мониторинга производительности могут использоваться как отдельно, так и являться одним из источников событий для системы управления событиями (SIEM). Такие системы предназначены для отслеживания состояния функционирования разнообразных сервисов сети и ее узлов (серверов, сетевого оборудования, приложений и других), в том числе подсистем ИБ, на основе различных критериев производительности и доступности.
Вот решения по мониторингу производительности и доступности, имеющие наиболее широкий функционал и распространение по применению в мире:
| № | Название решения |
| 1. | Zabbix |
| 2. | Линейка продуктов IBM Tivoli |
| 3. | HP Operation Manager, HP OpenView |
| 4. | Nagious |
| 5. | OpenNMS |
| 6. | Zenoss |
| 7. | OSSIM |
| 8. | LOGalyze |
| 9. | PRTG |
| 10. | NetXMS |
| 11. | Naumen Network Manager (Россия) |
| 12. | И многие другие… |
| 13. | И другие облачные сервисы… |
- сбор и агрегация разнообразных данных, показателей и счетчиков об использовании аппаратных ресурсов системы, как правило посредством устанавливаемых агентов на контролируемых узлах или с использованием протокола SNMP (уровень потребления CPU, память, жестких дисков, сетевых адаптеров и других данных);
- анализ и корреляция собранных данных для определения или упреждения достижения пороговых значений показателей производительности и доступности с целью реагирования или предотвращения нештатных ситуаций функционирования систем;
- автоматизированное выполнение заранее запрограммированных тестов, выполняющих проверку функционирования различных параметров сервисов по заданному сценарию. Успешное выполнение таких тестовых сценариев позволяет подтверждать доступность сервисов и систем на различных уровнях;
- автоматизированное реагирование системы в виде выполнения заданных скриптов, программ или задач при выявлении значимых отклонений показателей на этапе корреляции;
- генерации оповещений (уведомлений) о выявленных отклонениях в производительности и доступности систем. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (например, jabber) и другие;
- визуализация собираемых данных в виде диаграмм, помогающих идентифицировать аномалии или значимые отклонения, отличные от стандартного поведения систем. Так же визуализация включает в себя представление данных в виде отчетов;
- хранение собранных данных в базе данных.
Решения по мониторингу производительности и доступности, являются неотъемлемой частью полноценной системы мониторинга ИБ. Такие решения должны применяться как для мониторинга ИТ-систем, обеспечивающих работу технологических процессов компании, так и для контроля функционирования подсистем ИБ, обеспечивающих защиту этих ИТ-систем с целью обеспечения доступности обоих.
Системы управления событиями и инцидентами информационной безопасности (SIEM)
Основным техническим решением по обеспечению контроля функционирования в части ИБ являются системы управления событиями и инцидентами ИБ. Общепринятое названия для данных систем – SIEM-системы (от англ. Security information and event management). Такие системы предназначены для анализа информации, поступающей от различных подсистем ИБ (управления доступом, антивирусной защиты, защиты межсетевого взаимодействия, анализа защищенности, систем обнаружения/предотвращения вторжений, контроля целостности и другие) и выявления отклонений состояния ИБ по различным критериям. В случае выявления отклонения в состоянии ИБ в системе управления событиями создается инцидент/уведомление, и оповещаются заинтересованные лица.
Системы управления событиями и инцидентами ИБ являются инструментом централизованного просмотра и обработки информации, регистрируемой на большом количестве источников за счет графического представления, фильтрации и группировки данных. Выявление отклонений позволяет своевременно и в автоматизированном режиме выявлять угрозы ИБ или предпосылки к их возникновению с учетом совокупности регистрируемых событий и собираемых данных.
События и данные, хранимые в базе данных, необходимы для проведения расследований инцидентов ИБ.
Статистический анализ данных в таких системах позволяет выявить тенденции нарушений ИБ, а также изменений состояния подсистем ИБ и ИБ инфраструктуры в целом.
Решения, имеющие наиболее широкий функционал и распространение в мире:
| № | Название решения |
| 1. | IBM Qradar |
| 2. | HP ArcSight |
| 3. | Intel Security SIEM (бывшая McAfee) |
| 4. | Splunk (Enterprise Security) |
| 5. | RSA EnVision / RSA Security Analytics |
| 6. | AlienVault USM / OSSIM |
| 7. | SolarWinds Log & Event Manager |
| 8. | LogRhythm |
| 9. | Sumo Logic |
| 9. | Apache Metron |
| 10. | И другие… |
| 11. | И другие c открытым исходным кодом… |
| № | Название решения |
| 1. | ФГУП «НПП «Гамма» – Платформа Visor |
| 2. | НПО Эшелон – SIEM КОМРАД |
| 3. | Positive Technologies Max Patrol SIEM |
| 4. | Ай-Ти Security Vision |
| 5. | SearchInform SIEM |
| 5. | RU-SIEM |
| 6. | ИТБ ПАКАБ Security Capsule |
| 7. | И другие, активно развивающиеся… |
Общий подход к использованию систем управления событиями и инцидентами информационной безопасности
В мировой практике установлено, что большинство проектов по внедрению систем управления событиями и инцидентами заканчиваются безуспешно и не приводят к качественной организации мониторинга инцидентов информационной безопасности.
Основными ошибками и проблемами при внедрении и использовании таких систем являются:
- Нечеткое определение перечня контролируемых ИТ-систем.
- Отсутствие ранжирования уровня важности защищаемых узлов с точки зрения обеспечения функционирования технологических процессов организации.
- Нечеткое определение перечня источников событий. Отсутствие необходимых данных в системе управления событиями и инцидентами не позволяет выявлять потенциальные значимые события и создавать полноценную «картину» функционирования защищаемой ИТ-системы.
- Отсутствие понимания штатного, нормального функционирования защищаемых узлов.
- Отсутствие понимания и установленной типовой конфигурации различных параметров защищаемых узлов.
- Отсутствие слаженного и регламентированного взаимодействия людей в процессе выявления и реагирования на значимые события и инциденты, включая отсутствие создания комфортных условий для этого.
- Определение модели угроз и политик безопасности для ИТ-систем организации. В случае отсутствия таких базовых вещей, у команды мониторинга не будет четкого понимания, что является инцидентом ИБ, что важно, а что второстепенно.
- Определение перечня и ранжирование по важности (с точки зрения технологических процессов компании) защищаемых ИТ-систем и источников событий.
- Настройка на источниках временных меток, оставляемых на событиях. Время, проставляемое на событиях должно соответствовать действительности.
- Организация хранения всех событий в едином месте, предоставляющем возможность работы с ними.
- Определение штатного функционирования и конфигурации защищаемых узлов.
- Определение и дальнейшая фильтрация событий, не несущих смысл, представляющих собой информационный «шум».
- Определение значимых событий и инцидентов, которые отражают необычное поведение контролируемой среды (внесение изменений в конфигурации, ошибки работы, изменение статусов работы, события о доступах к данным и выполнении действий с привилегированными правами и другие).
- При выявлении инцидентов, выполнять первичный анализ событий в прошлом и на текущий момент, воссоздать последовательность событий, повлекших инцидент.
- Провести дополнительный анализ событий в других доступных журналах событий, по каким-либо причинам, не собранным в единое хранилище, для воссоздания полной «картины» инцидента.
- Сделать теоретические предположения о причинах инцидента. Выполнить глубокий детальный анализ всех доступных событий для их подтверждения или опровержения.
- Разработать и утвердить порядок действий группы реагирования при обнаружении различных типов инцидентов.
- Выполнять ретроспективный анализ расследованных инцидентов. Определить действия для минимизации вероятности повторения в будущем для каждого инцидента.
Методы и средства, применяемые в системах управления событиями информационной безопасности
Применяемые методы и средства в системах управления событиями ИБ можно разделить по функциональности на следующие основные группы:
- Сбор и агрегация
- Анализ и корреляция
- Оповещение
- Визуализация
- Хранение
- Экспертный анализ и поиск
- Вспомогательные методы и средства
| № | Название | Описание |
| 1. | Сбор и агрегация | Сбор и агрегации данных из различных источников – сетевых устройств и сервисов, сенсоров систем безопасности, серверов, баз данных, приложений и других различных источников. Этими методами обеспечивается консолидация данных с целью дальнейшего выявления критических данных. |
a. | Сбор и получение событий источников | Методы и средства сбора, получения событий, регистрируемых в журналах регистрации событий различных источников, включают в себя сбор и получение событий по протоколам syslog, odbc, tftp, snmp, wmi и другие. |
b. | Сбор сетевых пакетов | Методы и средства сбора пакетов сетевого трафика. |
c. | Сбор пакетов протокола Netflow | Сбор пакетов сетевого протокола Netflow, предназначенного для учета сетевого трафика, разработанного компанией Cisco Systems. |
d. | Сбор пакетов других протоколов | Сбор пакетов различных протоколов, предназначенных для учета работы сетевого оборудования и приложений (JFlow, QFlow, sFlow). |
e. | Мониторинг производительности и доступности (в составе системы управления событиями ИБ) | Сбор информации по различным показателям производительности и доступности защищаемых узлов. |
f. | Сканирование сети, обнаружение узлов и источников событий | Сбор информации об окружающих сетях, подсетях, узлах и источниках событий. |
g. | Сбор детализированной информации об узлах | Сбор детализированной информации об узлах окружающей сети – об установленном ОС и ПО, пользователях, аппаратных ресурсах. |
h. | Сканирование узлов на уязвимости | Проведение сканирования узлов на уязвимости. |
i. | Фильтрация данных до сбора | Методы и средства, позволяющие отфильтровывать часть собираемых данных до момента их сохранения в базу данных системы управления событиями ИБ. |
| 2. | Анализ и корреляция | Методы и средства, выполняющие поиск общих атрибутов в собранных данных, связывание данных в значимые подгруппы. Обеспечивают применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значимую информацию – инциденты ИБ. |
| a. | Правила корреляции собранных данных | Выявление значимых событий или цепочек событий на базе заранее определенных экспертом правил (Rule-Based Reasoning – RBR). Осуществляют анализ с применением правил корреляции событий с учетом заданных в них логических условий, которые могут включать в себя широкий набор параметров – типы событий, временные условия, типы источников событий, последовательность и частота событий и другие. |
| b. | Обнаружение вторжений/аномалий в пакетах сетевого трафика | Выявление атак, вторжений, нарушений или аномалий в собранных сетевых пакетах трафика на различных уровнях модели OSI (включая уровень приложений). |
| c. | Анализ и визуализация последовательности действий в ходе атак | Методы и средства визуализации и интеллектуального анализа развития зафиксированных значимых событий, атак и вторжений. |
| d. | Проверка узлов на соответствие заданным требованиям ИБ | Методы и средства автоматизированной проверки защищаемых узлов, на основе собранных данных на соответствие заданным требованиям ИБ. |
| e. | Привязка узлов к технологическим процессам | Методы и средства, выполняющие логическое связывание защищаемых узлов с технологическими процессами организации, функционирование которых обеспечивают защищаемые узлы. Позволяют вводить в системе понятие рабочего процесса, применять рисковый подход к оценке состояния ИБ за счет задания уровней критичности этапов технологических процессов. |
| f. | Облачная технология получения актуальных сведений | Методы и средства получения актуальных сведений о современных уязвимостях, методах атак, правил корреляции, тенденциях нарушения ИБ в конкретном географическом регионе и мире посредством облачного сервиса, предоставляемого производителем систем. |
| 3. | Оповещение | Методы и средства генерации оповещений (уведомлений) о выявленных инцидентах или значимых событиях. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (jabber) и другие. |
| a. | Автоматизированное реагирование | Методы и средства, выполняющие заданные скрипты, программы или задачи при выявлении значимых событий на этапе корреляции. Некоторые системы управления событиями и инцидентами ИБ имеют встроенную интеграцию с определенными средствами ИБ и могут в автоматизированном режиме выполнять команды управления данными средствами для предотвращения развития инцидентов. |
| 4. | Визуализация | Методы и средства по специальному графическому отображению и визуализации собранных данных. Например, в виде диаграмм, помогающих идентифицировать аномалии или значимые события, отличные от стандартного поведения. |
| a. | Диаграммы, графики, гистограммы, карты | Методы и средства по визуализации собранных данных в виде графических диаграмм, графиков, таблиц. |
| b. | Отчетность | Методы и средства по формированию собранных данных в виде документов установленной формы. |
| c. | Сокрытие информации в собранных данных | Методы и средства по сокрытию информации определенного вида и формы в собранных данных в виду ограниченности ее распространения. |
| 5. | Хранение | Методы и средства применения долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения методов и средств визуализации. Долговременное хранение необходимо для проведения компьютерно-технических экспертиз, поскольку большинство расследований инцидентов проводится после момента нарушения. |
| a. | Нормализация | Приведение собранных данных к единому стандартному виду. |
| 6. | Экспертный анализ и поиск | Методы и средства, обеспечивающие возможность поиска по множеству собранных данных с различных источников. Необходимо в рамках выполнения компьютерно-технических экспертиз и расследований. |
| 7. | Другие методы и средства | Методы и средства, не входящие ни в одну из вышеперечисленных групп. |
| a. | Встроенная подсистема управления инцидентами | Методы и средства регистрации, обработки и учета выявленных значимых событий и инцидентов. Представляют собой встроенную подсистему управления заявками, где в качестве заявок выступают зарегистрированные инциденты ИБ. |
| b. | Наличие агента | Методы и средства, позволяющие выполнить установку агента системы управления события ИБ на защищаемые узлы. |
| c. | Агент – Контроль целостности | Методы и средства встроенные в агента решения, выполняющие контроль целостности файлов и директорий файловой системы. |
| d. | Агент – Поиск вредоносного кода | Методы и средства встроенные в агента решения, выполняющие поиск вредоносного кода на узле. |
| e. | Агент – Сбор событий | Методы и средства встроенные в агента решения, выполняющие сбор событий на узле. |
| f. | Агент – Управление ОС | Методы и средства встроенные в агента решения, выполняющие команды по управлению ОС на узле. |
| g. | Отказоустойчивость и масштабирование | Методы и средства, позволяющие масштабировать компоненты решения с целью распределения нагрузки на компоненты и обеспечения отказоустойчивости решения. |
| h. | Возможность создания собственных приложений и дополнений для расширения функционала системы на основе API | Методы и средства, позволяющие пользователям решения без помощи разработчиков создавать собственные приложения и другие дополнения, расширяющие функционал решения. Например, с целью интеграции решения с не поддерживаемыми источниками данных. |
| i. | Возможность обмена разработанными приложениями и другими дополнениями между пользователями системы | Методы и средства, позволяющие пользователям открыто обмениваться собственными разработками, дополняющими функционал решения. |
