Научная статья на тему 'ПРОБЛЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ'

ПРОБЛЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
80
16
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ / СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ / ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / УПРАВЛЕНИЕ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Авраменко Владимир Семенович, Маликов Альберт Валерьянович, Селезнев Андрей Васильевич

Рассматриваются проблемы управления событиями и инцидентами информационной безопасности в автоматизированных системах специального назначения. Проведен анализ известных систем управления событиями и инцидентами информационной безопасности. Определены пути решения проблем управления событиями и инцидентами информационной безопасностив автоматизированных системах специального назначения.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Авраменко Владимир Семенович, Маликов Альберт Валерьянович, Селезнев Андрей Васильевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «ПРОБЛЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ»

В.С. Авраменко

профессор, кандидат технических наук

А.В. Маликов А.В. Селезнев

Военная академия связи имени Маршала Советского Союза С.М. Будённого

ПРОБЛЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

АННОТАЦИЯ. Рассматриваются проблемы управления событиями и инцидентами информационной безопасности в автоматизированных системах специального назначения. Проведен анализ известных систем управления событиями и инцидентами информационной безопасности. Определены пути решения проблем управления событиями и инцидентами информационной безопасностив автоматизированных системах специального назначения.

КЛЮЧЕВЫЕ СЛОВА: автоматизированные системы специального назначения, средства защиты информации, инциденты информационной безопасности, управление.

Эффективность защиты информационных ресурсов в автоматизированных системах (АС) специального назначения (СН) на современном этапе их развития во многом зависит от степени реализации комплексного похода к предупреждению и выявлению нарушений безопасности информации, предполагающего совместное применение множества различных средств ЗИ. В настоящее время в АС СН применяются различные средства защиты информации от угроз несанкционированного доступа и компьютерных атак: средства разграничения доступа, криптографические средства, средства обеспечения целостности информации, средства антивирусной защиты, системы обнаружения вторжений, системы предотвращения вторжений, межсетевые экраны, средства анализа защищенности и другие. При таком многообразии средств защиты возникает ряд проблемных задач, связанных с управлением событиями и инцидентами информационной безопасности. В первую очередь в АС СН требуют решения следующие проблемы:

сбор разнородных и разноформатных данных о функционировании средств защиты информации и средств автоматизации;

оперативный анализ полученных данных с целью обнаружения событий или инцидентов информационной безопасности (ИБ);

выработка решения на оперативное реагирование на выявленные инциденты информационной безопасности.

Специфика данных проблем в АС СН обусловлена повышенными требованиями к оперативности управления защитой и значительной величиной возможного ущерба (в некоторых случаях не подающегося оценке в денежном эквиваленте) в результате реализации угроз безопасности информации. Особенно актуальны эти проблем в условиях информационного противоборства, когда требуется в близком к реальному масштабу времени обнаруживать, анализировать и нейтрализовать массовые разнородные ранее неизвестные компьютерные инциденты. Данные проблемы могут быть решены путем внедрения в АС СН SIEM (Security Information and

Event Management) системы — системы управления событиями и инцидентами информационной безопасности, разработанной в середине прошлого десятилетия на базе двух технологий: SIM (Security Information Management), обеспечивающей сбор, хранение и анализ данных из журналов событий, подготовку отчетов по соответствию нормативным требованиям, и SEM (Security Event Management), обеспечивающей в реальном времени мониторинг событий безопасности, выявление и реагирование на инциденты безопасности.

SIEM-система решает ряд следующих задач:

1) Сбор, хранение и обобщение информации из журналов событий IDS, операционных систем, сетевых устройств, средств антивирусной защиты.

2) Нормализация полученных данных для последующего анализа событий и инцидентов ИБ. Под нормализацией понимается представление всех полученных разноформатных данных от имеющихся средств ЗИ к единообразному виду.

3) Корреляция полученных событий по определенному набору правил для выявления взаимосвязи между ними. В простейшем случае в SIEM правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.

4) Хранение нормализованных данных для их последующего использования как в последующих процедурах корреляции, так и в отчетах о работе системы.

5) Визуализация результатов выполнения всех вышеописанных процедур и выдача отчета.

Основная задача SIEM-системы — не просто собрать события, а в автоматизированном режиме обнаруживать инциденты с документированием в собственном журнале или внешней системе, а также своевременно информировать о событии. Место SIEM-системы в автоматизированной системе приведено на рис. 1.

Сбором информации занимаются сенсоры, установленные в каждом сегменте сети. Полученные log-файлы заносятся в хранилище журналов. Таким образом, данные о событиях информационной безопасности используются не только в ближайшей, но и в долгосрочной перспективе при создании моделей поведения системы. В центре управления SIEM-систем осуществляется корреляция событий и визуализация состояния автоматизированной системы относительно событий и инцидентов информационной безопасности. Структура SIEM-системы представлена на рис.2.

На российском рынке представлены следующие основные SIEM-системы: HP ArcSight, IBM

Рис. 1. Место SIEM-системы в автоматизированной системе.

Рис. 2. Структурная схема типовой SIEM-системы

Q1 Radar, Symantec RSA Envision, McAfee Nitro, Tibco Loglogic, Splunk и ряд других.

Выделяют следующие основные характеристики, по которым сравнивают SIEM-системы [1, 2]:

1. Управление журналами.

2. Отчеты о соответствии.

3. Работа механизма SEM, осуществление корреляции.

4. Мониторинг пользователей.

5. Мониторинг приложений.

6. Простота развертывания и поддержки.

По данным характеристикам аналитиками компании Gartner, для основныхSШM-решений были выставлены следующие оценки по 5-ти бальной шкале (табл. №1).

По мнению аналитиков компании Gartner по сумме оценок лидирующее положение занимает система ArcSight/ ESM&Logger, единственным явным недостатком данной системы является сложность развертывания и сопровождения.

Таблица 1

Оценки SIEM-решений по основным показателям

SIEM-системы/Характеристики ArcSight/ ESM & Logger Q1 Labs/ Qradar Syman-tec/ SSIM RSA (EMC)/ EnVision SenSage/ Solutions

Управление журналами 4,5 3,9 3,6 3,6 4,0

Отчеты о соответствии 4,0 3,8 2,8 4,4 4,5

SEM 4,9 4,1 3,8 2,7 2,1

Мониторинг пользователей 4,6 3,5 2,7 3,5 4,0

Мониторинг приложений 4,8 3,3 3,4 3,3 4,3

Простота развертывания и сопровождения 2,8 4,3 3,5 4,5 2,5

Помимо вышеперечисленных платных и достаточно дорогих SIEM-решений существуют и бесплатные системы. Примером таких SIEM решений является OSSIM — Open Source SIEM.

Из отечественных разработок в первую очередь необходимо отметить разработанную в НПО «Эшелон» SIEM-систему «КОМРАД» — комплекс оперативного мониторинга, реагирования и анализа данных. По имеющимся сведениям комплекс может быть использован для защиты информации в автоматизированных системах военного назначения, обрабатывающих данные ограниченного доступа [3].

«КОМРАД» решает следующие основные задачи:

— централизованный сбор и анализ данных журналов событий средств ЗИ, автоматизированных рабочих мест (АРМ), серверов и сетевого оборудования;

— удаленный контроль параметров конфигурации и работы АРМ с помощью инсталлированного программного агента;

— оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности АС;

— контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности АС в любые моменты времени.

При этом производитель указывает на ряд возможных проблем при внедрении SIEM-системы:

— система можетокажется слишком сложной в эксплуатации (необходимо интегрировать с источниками данных, создавать самостоятельно правила функционирования);

— отсутствуют штатные процедуры реагирования на инциденты.

Еще одна отечественная SIEM-система — «SecurityCapsule» (разработчик и производитель системы — ООО «Инновационные технологии в бизнесе») по своим возможностям близка к «КОМРАД».

В настоящее время само понятие SIEM стало гораздо шире. Сейчас от SIEM-решений требуются новые функции и механизмы, способные более быстро и точно выявлять и предотвращать инциденты ИБ. В частности, SIEM решения нового поколения способны не только осуществлять сбор и анализ событий из регистрационных журналов (log-файлов), но и коррелировать их с сетевым трафиком на основе протоколов

учета трафика (NetFlow, sFlow и др.), по сути, выполняя функции «глубокого анализа пакетов» (Deep Packet Inspection, DPI). Таким образом, к функциям SIEM-решения нового поколения добавляются сетевая безопасность и управление большими объемами данных.

По сути, SIEM-решения нового поколения становятся «интеллектуальной платформой обеспечения информационной безопасности» (Security Intelligence Platform).

Примером SIEM-решения нового поколения является RSA Security Analytics, которая сочетает в себе функции SIEM-системы RSA enVision и технологии сбора и анализа сетевого трафика NetWitness [4].

Стремительное развитие SIEM-систем и успешный опыт их внедрения во многих критических инфокоммуникационных системах указывает на целесообразность внедрения в автоматизированные системы специального назначения с целью решения проблем управления инцидентами и событиями информационной безопасности. По сведениям из открытых источников [5], в комплекс PRISM Агентства национальной безопасности США данные поступают и от различных внешних SIEM-систем. Этот факт подчеркивает целесообразность внедрения систем управления событиями и инцидентами ИБ вАС СН для обеспечения требуемых показателей защищенности информации в условиях информационного противоборства.

Разработанные иностранными компаниями SIEM-решения в АС СН напрямую не применимы, так как, во-первых, не учитывают специфики отечественных АС СН (сложная нестандартная организационно-техническая структура, разнородные средства автоматизации и защиты информации, протоколы обмена данными и др.), во-вторых — программный код большинства SIEM-систем закрыт (может иметь неде-кларированные возможности), в-третьих — возможности существующих SIEM-систем по автоматизированному анализу инцидентов безопасности не в полной мере соответствуют современным требованиямпо защите информации, предъявляемым к АС СН, в частности, требованиям по оперативности анализа (диагностирования) нарушений безопасности и полноте диагностической информации, оперативности и адекватности реагирования.

Отечественный продукт «КОМРАД» может быть применен в АС СН, его внедрение позволит

существенно повысить эффективность управления событиями и инцидентами информационной безопасности, но, судя по публикациям, по возможностям он уже несколько уступает современным зарубежным разработкам, сложен в настройке.

Перспективным путем решения проблемы управления событиями и инцидентами информационной безопасности в АС СН является не адаптация известных решений к специфике АС СН (что, так или иначе, ведет к отставанию), а разработка опережающей комплексной технологии максимально автоматизированного сбора и обработки первичной информации, обнаружения событий и инцидентов информа-

ционной безопасности, анализа (диагностирования) нарушений безопасности, адекватного реагирования.

Основными специфическими требованиями к системам управления событиями и инцидентами информационной безопасности в АС СН являются: высокая оперативность и точность обнаружения и диагностирования как известных, так и новых инцидентов информационнойбезо-пасности, адекватность реагирования, учитывающего реальные организационно-технические возможности АС СН, высокая степень автоматизации всех функций управления. При этом программно-техническая основа системы должна быть простой в настройке и эксплуатации.

ЛИТЕРАТУРА

1. Обзор SIEM-систем на мировом и российском рынке [Электронный ресурс] / Электрон.текстовые дан. и граф. дан. — [Режим доступа: http://www.anti-malware.ru/analytics/Technology_Analysis/Overview_ SECURITY_systems_global_and_Russian_market (по состоянию на 26.09.2014).

2. Рынок систем сбора и корреляции событий (SIEM) в России [Электронный ресурс] / Электрон. текстовые дан. и граф. дан. — Режим доступа: http:// www.anti-malware.ru/node/11637#part2 (по состоянию на 26.09.2014)

3. Разработки ЗАО «НПО «Эшелон». [Электрон-

ный ресурс] / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://www.npo-echelon.ru/ production/65/9855 (по состоянию на 26.09.2014).

4. Анализ информационной безопасности с помощью RSA SecurityAnalytics. / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://elvis.ru/ upload/iblock/e19/RSA_SA.pdf (по состоянию на 26.09.2014).

5. SIM-SEM, закройся! [Электронный ресурс] / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://www.pcweek.ru/idea/blog/idea/5224.php (по состоянию на 26.09.2014).

i Надоели баннеры? Вы всегда можете отключить рекламу.