ОРГАНИЗАЦИЯ МОНИТОРИНГА РАСПРЕДЕЛЕННОЙ КОРПОРАТИВНОЙ СЕТИ С ЦЕЛЬЮ ЕЁ ОПТИМИЗАЦИИ И ИСПОЛЬЗОВАНИЯ ПОЛУЧЕННЫХ ДАННЫХ ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.75

DOI: 10.24412/2071-6168-2023-2-188-193

ОРГАНИЗАЦИЯ МОНИТОРИНГА РАСПРЕДЕЛЕННОЙ КОРПОРАТИВНОЙ СЕТИ С ЦЕЛЬЮ ЕЁ ОПТИМИЗАЦИИ И ИСПОЛЬЗОВАНИЯ ПОЛУЧЕННЫХ ДАННЫХ ДЛЯ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

С.А. Веревкин, Р.А. Юхимук, Д.В. Кудро

В статье рассматривается проблема организации мониторинга распределенной сетевой инфраструктуры и конечных узлов в удаленных подразделениях организации. В качестве решения предложено внедрение клиент-серверного решения для мониторинга с возможностью последующей агрегацией данных в едином пункте управления. Создание единого центра мониторинга обусловлено необходимостью отслеживания целевых показателей сети для наглядного представления сведений о её состоянии. Наглядность реализуется посредством визуализации агрегированных данных отдельно взятых удаленных подразделений организации. Подобных подход не только позволяет сократить время реагирования на инциденты в случае их возникновения, но и использовать результаты анализа данных мониторинга для совершенствования телекоммуникационной инфраструктуры предприятия и связанных с ней подсистем.

Ключевые слова. Корпоративные сети, системы мониторинга, Zabbix, визуализация данных, информационная безопасность.

На сегодняшний день, обеспечение стабильной работы организации, является крайне сложной задачей, поскольку требует поддержание функционирования множества подсистем и бизнес-процессов. Одной из важных подсистем является сетевая инфраструктура организации. На её основе функционирует множество средств, обеспечивающих эффективность работы сотрудников, среди них: корпоративные сетевые ресурсы, доступ к которым осуществляется непосредственно внутри сети организации, IP-телефония, системы защиты информации, средства контроля за сотрудниками (SIEM и CRM системы) и многие другие ресурсы и системы, доступ к которым необходим для выполнения должностных обязанностей сотрудников. Более того, на основе подсистем, работа которых обеспечивается сетевой инфраструктурой организации, может обеспечиваться безопасность сотрудников, в частности, при использовании на предприятии систем автоматизированного управления технологическим процессом (АСУТП) [1].

На этапе проектирования сети организации, существует множество проблем, связанных расчетом требуемых характеристик, обеспечением качества обслуживания и многих других показателей. Также, должен учитываться перечень возможных проблем, связанных с нарушением функционирования сетевой инфраструктуры организации для выделения резервных каналов передачи информации.

Однако, сложность задачи проектирования сети напрямую связана с её размерами, типом используемого аппаратных и программных решений, устройств, а также расположением структурных подразделений организации. Таким образом, проектирование сетевой инфраструктуры, в организации с удаленными филиалами, распределенными по территории страны и использующих в работе специфические решения, является сложной задачей.

Под специфическими решениями можно понимать отраслевые требования к типам сетевого оборудования, требования надзорных органов, использование проприетарного программного обеспечения и пр. Примером является использование дорогостоящих программно-аппаратных средств защиты информации. В таком случае, резервные каналы связи также должны быть организованы с использованием аналогичных средств защиты, что в значительной степени может повысить стоимость проводимых работ.

Наиболее гибким решением, представляется введение дополнительной системы для контроля и управления за состоянием сетевых устройств и конечных хостов.

В рамках настоящей статьи предложено решение по внедрению системы мониторинга распределенной корпоративной сетевой инфраструктуры, состоящий из нескольких шагов, включающих:

- Интеграцию системы мониторинга Zabbix [2] в филиалах организации;

- Агрегацию данных мониторинга в едином центре мониторинга;

- Анализ данных мониторинга для оптимизации структуры сети и иных подсистем организации.

Постановка задачи. В качестве примера рассмотрим корпоративную сеть организации, состоящую из нескольких филиалов, распределенных по территории страны. Каждое подразделение организации имеет типовую структуру, а связь между ними осуществляется посредством выделенного канала, предоставляемого одним из возможных провайдеров. Особенностью архитектуры сети подразделений является использование криптошлюзов на границе с внешней сетью провайдера. Обобщенная схема организации сети представлена на рис. 1.

Использование выделенного канала, является важным уточнением, поскольку ответственность за качество предоставляемых услуг лежит на провайдере и позволяет сосредоточить внимание на мониторинге внутренних сегментах сети филиалов организации.

Сеть иодрамеленtta 1 Сеть подразделения 2

С

Криптошлюз—I Г -Криптошлюэ

Р сД С дСс

о vw . ——

Ростелеком

Крнптошлюз

Криптошлюз

Сеть подразделения 3 Сеть подразделения 4

Рис. 1. Схема распределенной корпоративной сети организации

Рассмотрим основные шаги по внедрению системы мониторинга и дальнейшему использованию полученных данных:

1. Интеграция системы мониторинга Zabbix в филиалах организации. В качестве средства мониторинга сетевой инфраструктуры, остановим выбор на средстве Zabbix. Одним из преимуществ Zabbix является возможность его использования в составе защищенных операционных систем, например, Astra Linux [3]. Также, поддерживается возможность мониторинга состояния серверов, веб-ресурсов, облачных сред, отдельных приложений и сервисов, баз данных и многих других ресурсов.

Средство мониторинга Zabbix имеет агент-серверную архитектуру, в которой сервер является основным хранилищем обрабатываемых данных, а также данных о конфигурации системы. Помимо основного хранилища данных, сервер имеет возможность дистанционного управления сетевыми сервисами и информирует администратора при выявлении проблем в работе корпоративной инфраструктуры.

Агент-Zabbix представляет собой программный компонент, в двух вариациях (на языках программирования C и Go), разворачиваемый на устройствах, которые необходимо отслеживать. Снимаемые агентом показатели, могут быть переданы на центральный сервер или прокси-сервер в зашифрованном виде (с использованием сертификатов или pre-shared ключа) для дальнейшей обработки [4].

Таким образом, развертывание сервера Zabbix в каждом подразделении позволит организовать централизованный сбор данных о сетевой инфраструктуре и конечных устройствах, используемых в подразделении, а возможность настройки триггеров срабатывания, обеспечивает гибкость настройки триггеров срабатывания оповещений в случае возникновения инцидентов.

2 Агрегация данных распределенных серверов системы мониторинга. Результаты мониторинга каждого филиала могут быть использованы системными администраторами и сотрудниками отделов информационной безопасности подразделений для оперативного реагирования на возможные инциденты. Однако, для оптимизации задач управления инцидентами во всей организации, необходима возможность централизованного наглядного представления результатов мониторинга в едином пункте управления.

Имеющиеся результаты мониторинга удаленных подразделений представляют собой унифицированный набор данных и передается в зашифрованном виде. Воспользуемся возможностью организовать сбор данных с удаленных серверов мониторинга посредством центрального сервера Zabbix (рис. 2).

Отметим, что подобная реализация не требует использования дополнительного программного обеспечения и реализуется на основе штатного функционала Zabbix, посредством настройки конфигураций серверов или создания собственных плагинов на одном из вышеуказанных языков программирования.

Данные мониторинга могут передаваться как в зашифрованном виде использованием встроенного функционала средства мониторинга Zabbix, так и в открытом виде, поскольку предложенная архитектура сети подразумевает использование криптошлюзов на границе с выделенным каналом связи, предоставляемым провайдером.

Таким образом, основной проблемой на данном этапе, является необходимость агрегировать результаты мониторинга удаленных филиалов и обеспечить их наглядное представление.

Для решения данной задачи, воспользуемся одним из решений в области визуализации данных. В качестве примера, используем решение с открытым исходным кодом, ориентированное на визуализацию данных мониторинга - Grafana [5].

Выбор Grafana в качестве средства визуализации данных, связан с широким набором возможностей. Данная среда визуализации поддерживает возможность создания отдельных дашбордов для ви-

зуализации результатов мониторинга. Каждый дашборд содержит в себе набор настраиваемых панелей, предназначенных для визуализации конкретных наборов данных. Пример дашборда Grafana представлен на рис. 3.

Центральный сервер Zabbix Щ

Z abb ix сервера подразделений

Рис. 2. Схема организации централизованного сбора данных мониторинга

Kevr dashboardedit Panel im № К* л £ Cueif 1 О TiauhWi J a Anl | MJiM-v О HI © № Arhai ■ Я MK-M-OJM'tTH ■jHQJOS-MOQ W17 - i Q Q - [Щш1и (I tnniran M «СвгМЧ*(П1 ■ МГ fct SmM Ofiaii • fata« Ань DL ar ПЛ ял PI Jl nn un гч лиг i D-sHirtii.• Qinluri rp'inu ИЯ JJH Affty ШегЮа

, bJD-МИ 1М-Л

um ttrta Ыйкя * e . s n t;;^,.,,«™.,..„,.,

>Wm * DJHJT + iippww AiMnti гптгл> H* -

Рис. 3. Визуализация данных Zabbix с использованием Grafana

Благодаря гибкости настройки панелей Grafana, становится возможным не только реализовать отслеживание наиболее важных показателей сетевой активности, но и отслеживать внутренние и внешние воздействия, способные нанести вред работоспособности устройствам в сети организации.

3. Анализ данных мониторинга для оптимизации структуры сети и иных подсистем организации

Совокупность данных, представленная Zabbix и Grafana, позволяет получить комплексную, наглядную картину о текущем состоянии телекоммуникационных устройств хостов. Так, например, при создании карты сети, становится возможным определить «узкие места» в структуре сети, возникновение инцидентов в которых, может значительно повлиять на работоспособность подразделений.

Выбранная система визуализации данных мониторинга, имеет широкий спектр настроек и позволяет также визуализировать данные других решений, используемых организацией, например, CRM и SIEM систем.

Еще одним вариантом использования визуализированных данных является отслеживание веб-ресурсов и трафика в организации. Например, в случае увеличения количества запросов к веб-ресурсам или аномального роста трафика, можно сделать вывод о попытке получения несанкционированного доступа или сканировании сети организации, что в свою очередь позволяет сделать вывод о реализации атакующих воздействий.

Также, результаты мониторинга могут использоваться в качестве исходных при создании или совершенствовании действующей системы защиты информации.

Например, на основе анализа трафика, можно сделать вывод о используемом в сети организации программном обеспечении, его версиях, а также об используемых аппаратных решениях. Данный набор сведений может использоваться сотрудниками отдела информационной безопасности при определении актуальных уязвимостях в рамках действующей методики оценки угроз безопасности информации ФСТЭК [6]. Взаимосвязь данных мониторинга с популярными базами уязвимостей представлена на рис. 4.

в результате мониторинга сети

Применение предложенных решений по мониторингу в распределенной корпоративной сети, имеющей 11 филиалов и включающей свыше 350 узлов сети, показало следующие результаты:

- выявлены и устранены 13 «узких мест» в типовой структуре сети организации;

- на основе полученных данных, принято решение о замене 21 единицы телекоммуникационного оборудования в рамках совершенствования сетевой инфраструктуры;

- на основе полученных данных, приняты меры в 13 отношении сотрудников организации, использующих нерегламентированное программное обеспечение;

- оптимизирован ряд задач, выполняемых сетевыми администраторами удаленных подразделений;

- уточнен перечень угроз безопасности информации в соответствии с обновленным составом сетевых устройств и используемого программного обеспечения;

- выявлено 18 уязвимостей, 7 из которых требуют дополнительного внимания ввиду возможности использования из-за перспективы реализации в рамках последовательностей атакующих воздействий согласно базам ФСТЭК [7] и Mitre ATT&CK [8].

Заключение. Исходя из результатов, полученных в ходе внедрения комплексной системы комплексного мониторинга на основе Zabbix и Grafana, а также на основе полученных результатов анализа данных мониторинга, выделим основные преимущества решения, предложенного в текущей работе:

- возможность гибкой настройки отслеживаемых параметров сети в каждом отдельном подразделении организации

- высокий уровень защищенности данных ввиду хранения результатов мониторинга на локальном и центральном серверах Zabbix;

- удобство и наглядность при анализе данных мониторинга за счет агрегации большого объема данных в едином интерфейсе среды визуализации;

- реализация централизованного управления удаленными подразделениями;

- получение дополнительных сведений, использование которых способствует совершенствованию действующей системы защиты информации и иных подсистем, используемых организацией.

Несмотря на все указанные преимущества, важно помнить, что даже при условии внедрения систем мониторинга организации, вероятность отказа системы, вследствие технической неисправности оборудования, программного сбоя или атакующих воздействий, не может быть полностью исключена. Однако, предложенное решение может в значительной мере помочь снизить вероятность подобных инцидентов, а также ускорить процесс восстановления штатной работоспособности систем организации в случае их возникновения.

Список литературы

1. Приказ ФСТЭК №31 от 14 марта 2014 г. «об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». [Электронный ресурс] URL: https://fstec.ru/normotvorcheskaYa/akty/53-prikazy/868-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 10.12.2022).

2. Средство сетевого маониторинга Zabbix. [Электронный ресурс] URL: https://git.zabbix.com/repos?visibilitv=public (дата обращения: 10.12.2022).

3. Описание отечественных защищенных операционных систем Astra Linux. [Электронный ресурс] URL: https://astralinux.axoft.ru/solutions/astra linux special edition os obshchego naznacheniva (дата обращения: 10.12.2022).

4. What is Zabbix? How To Use This All-in-One Monitoring Tool? [Электронный ресурс] URL: https://bestmonitoringtools.com/zabbix-monitoring-tool (дата обращения: 10.12.2022).

5. Средство визуализации данных Grafana. [Электронный ресурс] URL: https://github .com/grafana/grafana (дата обращения: 10.12.2022).

6. Методический документ ФСТЭК РФ «Методика оценки угроз безопасности информации» от 05.02.2021г.

7. Банк данных угроз безопасности информации БДУ ФСТЭК [Электронный ресурс] URL: https://bdu.fstec.ru/threat (дата обращения: 10.12.2022).

8. База техник, тактик и процедур, используемых злоумышленниками ATT&CK. [Электронный ресурс] URL: https://attack.mitre.org (дата обращения: 10.12.2022).

Веревкин Сергей Александрович, младший научный сотрудник научной лаборатории, vka@mil.ru, Россия, Санкт-Петербург, Военно-космическая академия им. А.Ф. Можайского, аспирант Санкт-петербургского федерального исследовательского центра российской академии наук,

Юхимук Роман Алексеевич, младший научный сотрудник научной лаборатории, Россия, Санкт-Петербург, Военно-космическая академия им. А. Ф. Можайского,

Кудро Дмитрий Викторович, канд. техн. наук, начальник научного отдела, Россия, Санкт-Петербург, Военно-космическая академия им. А.Ф. Можайского

ALGORITHM FOR MONITORING A DISTRIBUTED CORPORATE NETWORK IN ORDER TO FURTHER OPTIMIZE AND USE THE DATA OBTAINED TO ENSURE INFORMATION SECURITY

S.A. Verevkin, R.A. Yukhimuk, D.V. Kudro

The article discusses the algorithm for organizing monitoring of distributed network infrastructure and end nodes in various departments of the organization. The algorithm describes the process of implementing a client-server solution for monitoring individual departments and aggregating data in a single format. The visual presentation of data is provided by presenting data from the servers of the monitoring system, for example Zabbix, to the Grafana data visualization software system, which in turn ensures prompt response to incidents in case of their occurrence. Also, it is proposed to use the data obtained for use in solving the problem of ensuring information security in the organization's network.

Key words: corporate networks, monitoring systems, zabbix, data visualization, information security.

Verevkin Sergey Alexandrovich, junior researcher at the scientific laboratory, vka@mil.ru, _junior researcher of the scientific laboratory, vka@mil.ru, Russia, St. Petersburg, Military Space Academy. A.F. Mozhaisky, postgraduate student of the St. Petersburg Federal Research Center of the Russian Academy of Sciences,

Yukhimchuk Roman Alekseevich, junior researcher at the scientific laboratory, Russia, St. Petersburg, Military Space Academy. A.F. Mozhaisky,

Kudro Dmitry Viktorovich, candidate of technical sciences, head of the scientific department, Russia, St. Petersburg, Military Space Academy. A.F. Mozhaisky