Перспективные направления развития системы мониторинга и управления средствами защиты информации от несанкционированного доступа

Системы мониторинга и управления информационной безопасностью (ИБ) контролируют функционирование информационных систем (ИС), систем передачи данных, средств и механизмов защиты.

В процессе функционирования система мониторинга и управления осуществляет сбор первичных данных мониторинга информационной безопасности с наблюдаемых подконтрольных объектов (ПКО) и их анализ. При этом мониторинг информационной безопасности может быть как активным, так и пассивным.

Активный мониторинг характеризуется тем, что на события, которые нарушают заданную политику безопасности, заранее определено воздействие, которое, как ожидается, должно привести к решению возникшей проблемы.

Пассивный мониторинг предполагает сбор информации с удаленных источников в режиме чтения. В случае выходов значений параметров за пределы, определенные как «нормальные», оператор предпринимает соответствующие шаги для устранения возникшей ситуации и нормализации параметров. Такой вид аудита наиболее прост в реализации, но обеспечивает менее высокий уровень защиты по сравнению с активными методами.

Системы мониторинга ИБ также могут быть классифицированы по типу объектов воздействия и в соответствии с этим признаком разделены на системы, предназначенные для мониторинга и управления ресурсами, событиями, активностью.

К числу представителей систем мониторинга и управления ресурсами вычислительных устройств являются системы MRTG и CACTI. Системы данного типа не позволяют в режиме реального времени отслеживать какие-либо показатели, но имеют возможность сохранять статистику и отображать ее в виде графиков.

В рамках мониторинга и управления событиями, как правило, ставится задача отслеживания как событий уровня ОС, так и событий на аппаратном уровне. При этом в отличие от случая использования систем мониторинга и управления ресурсами, возможна настройка срабатывания при наступлении определенных событий. Для отслеживания и реагирования на события могут быть использованы, например, системы Nagios и Zabbix.

Примерами систем мониторинга и управления активностью являются HP OpenView и IBM Tivoli. Это комплексные системы, которые в зависимости от возникновения событий активности генерируют ответные действия для восстановления требуемых показателей [1].

Системы мониторинга и управления ИБ являются естественным развитием систем мониторинга ИБ и могут быть условно разделены на три класса:

SIM (Security Information Management) ‑ предназначены для сбора событий преимущественно с сетевого оборудования. Основной задачей SEM-решения является анализ событий ИБ и отправка уведомлений о нарушениях в масштабе времени, близком к реальному;

SEM (Security Event Management) ‑ позволяют консолидировать и долгосрочно хранить события от систем информационной безопасности и приложений, осуществляют ретроспективный анализ и расследование инцидентов ИБ, анализ пользовательской активности, а также контроль над соблюдением политик и требований по ИБ [2];

SIEM (Security Information and Event Management) ‑ решения, которые обрабатывают события безопасности, поступающие как от оборудования, так и от приложений различного уровня. Они обеспечивают соответствие нормативным стандартам и стандартам безопасности на предприятиях (COBIT, FISMA, GLBA, HIPAA, ISO 17799, PCI DSS, SOX и др.), обладают достаточной гибкостью и могут быть адаптированы к особенностям структуры компании и используемой ИТ-инфраструктуры.

SIM- и SEM-системы по отдельности служат для решения лишь части задач. В полноценной системе ИБ необходимо фиксировать и анализировать с максимально возможной оперативностью событий всех типов. Поэтому на практике внедряются преимущественно комбинированные SIEM-решения, такие как:

— CA Security Command Center;

— Cisco MARS;

— Arcsight Enterprise Security Manager;

— Novell Sentinel;

— Symantec Security Information Manager;

— NetForensics nFX One;

— IBM Tivoli Security Operations Manager;

— Checkpoint Eventia, Checkpoint SmartDefence;

— GFI LANguard, GFI EventsManager.

Частным случаем систем мониторинга и управления информационной безопасностью являются системы управления и мониторинга средствами защиты информации от несанкционированного доступа (СЗИ от НСД), обеспечивающие возможность централизованного управления, конфигурирования и мониторинга функционирования СЗИ от НСД, установленных на подконтрольных объектах системы.

Система мониторинга и управления СЗИ от НСД в общем случае может предоставлять следующие возможности:

— управление техническими средствами, доступом к коммутационным портам и периферийным устройствам;

— управление пользователями;

— управление оперативным оповещением о критических событиях и журналами событий ИБ подконтрольных объектов;

— защита от НСД и контроль целостности собственного ПО.

Требования к системе мониторинга и управления СЗИ от НСД, как правило, достаточно высоки: полнота спектра выявляемых атак, высокий уровень производительности, минимальная доля ложных срабатываний, предварительная диагностика причин возникновения нештатной ситуации, наличие подсистемы собственной безопасности, максимально возможная степень автоматизации мер по реагированию и пр.

Также основополагающим требованием является необходимость консолидации всей информации, связанной с функционированием СЗИ от НСД, и возможность на основании результатов работы системы прийти к адекватному выводу относительно того, «что происходит на самом деле» и «как должно быть». К сожалению, на данный момент не существует универсального продукта, полностью удовлетворяющего данному требованию.

Рассмотрим, какие дополнительные функции системы управления и мониторинга СЗИ от НСД могут быть реализованы для обеспечения получения наиболее полной информации о событиях, происходящих в защищаемой системе:

— фиксация в оперативном журнале результатов контроля целостности компонентов на подконтрольном объекте, а также фиксация в собственном журнале фактов изменения настроек и попыток несанкционированного доступа к ПО системы мониторинга и управления. При этом контроль целостности собственного программного обеспечения и настроек, а также программного обеспечения, указанного как «объекты контроля» системы, обеспечивается с помощью возможностей СЗИ от НСД, функционирующих в составе подконтрольных объектов, в том числе, серверного оборудования системы управления и мониторинга СЗИ от НСД;

— возможность просмотра настроек СЗИ от НСД на подконтрольных объектах средствами ПО системы;

— удаленное управление процессами контроля целостности файловой системы ПКО средствами СЗИ от НСД;

— доставка и обновление ПО в соответствии с заданными политиками или по запросу пользователей. С использованием данного функционала администратор может:

— задавать требуемые политики для различных приложений, которые необходимо в дальнейшем будет рассылать на ПКО с возможностью получения от ПКО информации о версии установленных на них СЗИ от НСД;

— составлять расписание рассылки ПО (например, ежедневно/еженедельно/в фиксированное время/по изменению и т. д.);

— задавать каталог на ПКО, в который необходимо установить или откуда следует загрузить комплект ПО;

— задавать политику, применяемую в случае неудачной установки/доставки ПО на ПКО;

— использование механизмов виртуализации ПО. В этом случае ПО, необходимое для установки на ПКО, упаковывается в виртуальные программные пакеты и доставляется пользователю. Виртуальные пакеты содержат все файлы, требуемые данные и параметры реестра приложений, они записываются и устанавливаются в определенный раздел на жестком диске ПКО. После активации любое приложение из виртуального пакета может быть сразу запущено и никаких дополнительных настроек и инсталляций не требуется;

— удаленный рабочий стол и сопутствующие механизмы для подключения к ПКО при устранении проблем (может быть полезно в случае реализации задач, связанных с сетевым управлением);

— дедупликация (технология, при помощи которой обнаруживаются и исключаются избыточные данные в дисковом хранилище) при осуществлении резервного копирования. Эта функция может быть полезна, но ее функционирование во многом зависит от типа данных, которые сохраняются при резервном копировании;

— повышение удобства использования системы мониторинга и управления СЗИ от НСД для ее персонала в части:

— возможности назначения различных типов оповещений для разных видов событий ИБ. Система мониторинга и управления СЗИ от НСД должна предусматривать возможность задания приоритетов для обнаруживаемых атак или уязвимостей;

— возможность индивидуальной настройки эксплуатирующим персоналом системы параметров отображения оперативных журналов, получаемых от подконтрольных объектов.

Таким образом, на данный момент не существует системы мониторинга и управления СЗИ от НСД, позволяющей объединить все данные, связанные с функционированием СЗИ от НСД, на основании результатов работы которой можно было бы сделать вывод, «что происходит на самом деле» и «как должно быть». Обычно такие системы служат для решения лишь части задач, связанных с информационной безопасностью. Реализация перечисленных выше функций системы управления и мониторинга СЗИ от НСД позволит получить более полную информацию о событиях, происходящих в защищаемой системе.

Список использованных источников

1 Сильнов Д. С. Современные системы удаленного мониторинга вычислительных ресурсов: состояние, проблемы, перспективы // Безопасность информационных технологий. М., 2011. № 3. С. 57–60.

2 Башлыков М. А. Мониторинг, анализ и управление ИБ // Information Security/ Информационная безопасность. М., 2008. № 1, С. 50-51.

Автор: Сухарева С. В.

Дата публикации: 01.01.2013

Библиографическая ссылка: Сухарева С. В. Перспективные направления развития системы мониторинга и управления средствами защиты информации от несанкционированного доступа // Комплексная защита информации. Электроника инфо. Материалы XVIII Международной конференции 21–24 мая 2013 года, Брест (Республика Беларусь). 2013. С. 144–145.