CC BY
15В.С. Авраменко
профессор, кандидат технических наук
А.В. Маликов А.В. Селезнев
Военная академия связи имени Маршала Советского Союза С.М. Будённого
ПРОБЛЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
АННОТАЦИЯ. Рассматриваются проблемы управления событиями и инцидентами информационной безопасности в автоматизированных системах специального назначения. Проведен анализ известных систем управления событиями и инцидентами информационной безопасности. Определены пути решения проблем управления событиями и инцидентами информационной безопасностив автоматизированных системах специального назначения.
КЛЮЧЕВЫЕ СЛОВА: автоматизированные системы специального назначения, средства защиты информации, инциденты информационной безопасности, управление.
Эффективность защиты информационных ресурсов в автоматизированных системах (АС) специального назначения (СН) на современном этапе их развития во многом зависит от степени реализации комплексного похода к предупреждению и выявлению нарушений безопасности информации, предполагающего совместное применение множества различных средств ЗИ. В настоящее время в АС СН применяются различные средства защиты информации от угроз несанкционированного доступа и компьютерных атак: средства разграничения доступа, криптографические средства, средства обеспечения целостности информации, средства антивирусной защиты, системы обнаружения вторжений, системы предотвращения вторжений, межсетевые экраны, средства анализа защищенности и другие. При таком многообразии средств защиты возникает ряд проблемных задач, связанных с управлением событиями и инцидентами информационной безопасности. В первую очередь в АС СН требуют решения следующие проблемы:
сбор разнородных и разноформатных данных о функционировании средств защиты информации и средств автоматизации;
оперативный анализ полученных данных с целью обнаружения событий или инцидентов информационной безопасности (ИБ);
выработка решения на оперативное реагирование на выявленные инциденты информационной безопасности.
Специфика данных проблем в АС СН обусловлена повышенными требованиями к оперативности управления защитой и значительной величиной возможного ущерба (в некоторых случаях не подающегося оценке в денежном эквиваленте) в результате реализации угроз безопасности информации. Особенно актуальны эти проблем в условиях информационного противоборства, когда требуется в близком к реальному масштабу времени обнаруживать, анализировать и нейтрализовать массовые разнородные ранее неизвестные компьютерные инциденты. Данные проблемы могут быть решены путем внедрения в АС СН SIEM (Security Information and
Event Management) системы — системы управления событиями и инцидентами информационной безопасности, разработанной в середине прошлого десятилетия на базе двух технологий: SIM (Security Information Management), обеспечивающей сбор, хранение и анализ данных из журналов событий, подготовку отчетов по соответствию нормативным требованиям, и SEM (Security Event Management), обеспечивающей в реальном времени мониторинг событий безопасности, выявление и реагирование на инциденты безопасности.
SIEM-система решает ряд следующих задач:
1) Сбор, хранение и обобщение информации из журналов событий IDS, операционных систем, сетевых устройств, средств антивирусной защиты.
2) Нормализация полученных данных для последующего анализа событий и инцидентов ИБ. Под нормализацией понимается представление всех полученных разноформатных данных от имеющихся средств ЗИ к единообразному виду.
3) Корреляция полученных событий по определенному набору правил для выявления взаимосвязи между ними. В простейшем случае в SIEM правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
4) Хранение нормализованных данных для их последующего использования как в последующих процедурах корреляции, так и в отчетах о работе системы.
5) Визуализация результатов выполнения всех вышеописанных процедур и выдача отчета.
Основная задача SIEM-системы — не просто собрать события, а в автоматизированном режиме обнаруживать инциденты с документированием в собственном журнале или внешней системе, а также своевременно информировать о событии. Место SIEM-системы в автоматизированной системе приведено на рис. 1.
Сбором информации занимаются сенсоры, установленные в каждом сегменте сети. Полученные log-файлы заносятся в хранилище журналов. Таким образом, данные о событиях информационной безопасности используются не только в ближайшей, но и в долгосрочной перспективе при создании моделей поведения системы. В центре управления SIEM-систем осуществляется корреляция событий и визуализация состояния автоматизированной системы относительно событий и инцидентов информационной безопасности. Структура SIEM-системы представлена на рис.2.
На российском рынке представлены следующие основные SIEM-системы: HP ArcSight, IBM
Рис. 1. Место SIEM-системы в автоматизированной системе.
Рис. 2. Структурная схема типовой SIEM-системы
Q1 Radar, Symantec RSA Envision, McAfee Nitro, Tibco Loglogic, Splunk и ряд других.
Выделяют следующие основные характеристики, по которым сравнивают SIEM-системы [1, 2]:
1. Управление журналами.
2. Отчеты о соответствии.
3. Работа механизма SEM, осуществление корреляции.
4. Мониторинг пользователей.
5. Мониторинг приложений.
6. Простота развертывания и поддержки.
По данным характеристикам аналитиками компании Gartner, для основныхSШM-решений были выставлены следующие оценки по 5-ти бальной шкале (табл. №1).
По мнению аналитиков компании Gartner по сумме оценок лидирующее положение занимает система ArcSight/ ESM&Logger, единственным явным недостатком данной системы является сложность развертывания и сопровождения.
Таблица 1
Оценки SIEM-решений по основным показателям
SIEM-системы/Характеристики ArcSight/ ESM & Logger Q1 Labs/ Qradar Syman-tec/ SSIM RSA (EMC)/ EnVision SenSage/ Solutions
Управление журналами 4,5 3,9 3,6 3,6 4,0
Отчеты о соответствии 4,0 3,8 2,8 4,4 4,5
SEM 4,9 4,1 3,8 2,7 2,1
Мониторинг пользователей 4,6 3,5 2,7 3,5 4,0
Мониторинг приложений 4,8 3,3 3,4 3,3 4,3
Простота развертывания и сопровождения 2,8 4,3 3,5 4,5 2,5
Помимо вышеперечисленных платных и достаточно дорогих SIEM-решений существуют и бесплатные системы. Примером таких SIEM решений является OSSIM — Open Source SIEM.
Из отечественных разработок в первую очередь необходимо отметить разработанную в НПО «Эшелон» SIEM-систему «КОМРАД» — комплекс оперативного мониторинга, реагирования и анализа данных. По имеющимся сведениям комплекс может быть использован для защиты информации в автоматизированных системах военного назначения, обрабатывающих данные ограниченного доступа [3].
«КОМРАД» решает следующие основные задачи:
— централизованный сбор и анализ данных журналов событий средств ЗИ, автоматизированных рабочих мест (АРМ), серверов и сетевого оборудования;
— удаленный контроль параметров конфигурации и работы АРМ с помощью инсталлированного программного агента;
— оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности АС;
— контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности АС в любые моменты времени.
При этом производитель указывает на ряд возможных проблем при внедрении SIEM-системы:
— система можетокажется слишком сложной в эксплуатации (необходимо интегрировать с источниками данных, создавать самостоятельно правила функционирования);
— отсутствуют штатные процедуры реагирования на инциденты.
Еще одна отечественная SIEM-система — «SecurityCapsule» (разработчик и производитель системы — ООО «Инновационные технологии в бизнесе») по своим возможностям близка к «КОМРАД».
В настоящее время само понятие SIEM стало гораздо шире. Сейчас от SIEM-решений требуются новые функции и механизмы, способные более быстро и точно выявлять и предотвращать инциденты ИБ. В частности, SIEM решения нового поколения способны не только осуществлять сбор и анализ событий из регистрационных журналов (log-файлов), но и коррелировать их с сетевым трафиком на основе протоколов
учета трафика (NetFlow, sFlow и др.), по сути, выполняя функции «глубокого анализа пакетов» (Deep Packet Inspection, DPI). Таким образом, к функциям SIEM-решения нового поколения добавляются сетевая безопасность и управление большими объемами данных.
По сути, SIEM-решения нового поколения становятся «интеллектуальной платформой обеспечения информационной безопасности» (Security Intelligence Platform).
Примером SIEM-решения нового поколения является RSA Security Analytics, которая сочетает в себе функции SIEM-системы RSA enVision и технологии сбора и анализа сетевого трафика NetWitness [4].
Стремительное развитие SIEM-систем и успешный опыт их внедрения во многих критических инфокоммуникационных системах указывает на целесообразность внедрения в автоматизированные системы специального назначения с целью решения проблем управления инцидентами и событиями информационной безопасности. По сведениям из открытых источников [5], в комплекс PRISM Агентства национальной безопасности США данные поступают и от различных внешних SIEM-систем. Этот факт подчеркивает целесообразность внедрения систем управления событиями и инцидентами ИБ вАС СН для обеспечения требуемых показателей защищенности информации в условиях информационного противоборства.
Разработанные иностранными компаниями SIEM-решения в АС СН напрямую не применимы, так как, во-первых, не учитывают специфики отечественных АС СН (сложная нестандартная организационно-техническая структура, разнородные средства автоматизации и защиты информации, протоколы обмена данными и др.), во-вторых — программный код большинства SIEM-систем закрыт (может иметь неде-кларированные возможности), в-третьих — возможности существующих SIEM-систем по автоматизированному анализу инцидентов безопасности не в полной мере соответствуют современным требованиямпо защите информации, предъявляемым к АС СН, в частности, требованиям по оперативности анализа (диагностирования) нарушений безопасности и полноте диагностической информации, оперативности и адекватности реагирования.
Отечественный продукт «КОМРАД» может быть применен в АС СН, его внедрение позволит
существенно повысить эффективность управления событиями и инцидентами информационной безопасности, но, судя по публикациям, по возможностям он уже несколько уступает современным зарубежным разработкам, сложен в настройке.
Перспективным путем решения проблемы управления событиями и инцидентами информационной безопасности в АС СН является не адаптация известных решений к специфике АС СН (что, так или иначе, ведет к отставанию), а разработка опережающей комплексной технологии максимально автоматизированного сбора и обработки первичной информации, обнаружения событий и инцидентов информа-
ционной безопасности, анализа (диагностирования) нарушений безопасности, адекватного реагирования.
Основными специфическими требованиями к системам управления событиями и инцидентами информационной безопасности в АС СН являются: высокая оперативность и точность обнаружения и диагностирования как известных, так и новых инцидентов информационнойбезо-пасности, адекватность реагирования, учитывающего реальные организационно-технические возможности АС СН, высокая степень автоматизации всех функций управления. При этом программно-техническая основа системы должна быть простой в настройке и эксплуатации.
ЛИТЕРАТУРА
1. Обзор SIEM-систем на мировом и российском рынке [Электронный ресурс] / Электрон.текстовые дан. и граф. дан. — [Режим доступа: http://www.anti-malware.ru/analytics/Technology_Analysis/Overview_ SECURITY_systems_global_and_Russian_market (по состоянию на 26.09.2014).
2. Рынок систем сбора и корреляции событий (SIEM) в России [Электронный ресурс] / Электрон. текстовые дан. и граф. дан. — Режим доступа: http:// www.anti-malware.ru/node/11637#part2 (по состоянию на 26.09.2014)
3. Разработки ЗАО «НПО «Эшелон». [Электрон-
ный ресурс] / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://www.npo-echelon.ru/ production/65/9855 (по состоянию на 26.09.2014).
4. Анализ информационной безопасности с помощью RSA SecurityAnalytics. / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://elvis.ru/ upload/iblock/e19/RSA_SA.pdf (по состоянию на 26.09.2014).
5. SIM-SEM, закройся! [Электронный ресурс] / Электрон.текстовые дан. и граф. дан. — Режим доступа: http://www.pcweek.ru/idea/blog/idea/5224.php (по состоянию на 26.09.2014).
