Статьи
Моніторинг інформаційної безпеки | HP ArcSight - система моніторингу інформаційної безпеки
Назад до списку статей
Віктор Сердюк, кандидат технічних наук, CISSP,
Генеральний директор ЗАТ «ДиалогНаука»
Журнал "InformationSecurity. Інформаційна безпека" №1, 2013
www.itsec.ru
На сьогоднішній день все більше компаній стикається з необхідністю обробки журналів подій, які реєструються в інформаційних системах, з метою виявлення можливих атак. При цьому навіть в невеликій компанії в журналах аудиту може реєструватися до декількох десятків подій в секунду, що робить їх аналіз в ручному режимі тривалим і вкрай неефективним. Для того, щоб автоматизувати процес збору та аналізу інформації про події інформаційної безпеки можуть використовуватися спеціалізовані системи моніторингу.
Моніторинг інформаційної безпеки - замовити рішенняПоняття системи моніторингу інформаційної безпеки
Система моніторингу подій інформаційної безпеки (СМІБ) призначена для автоматизації процесу збору та аналізу інформації про події безпеки, що надходять з різних джерел. В якості таких джерел можуть виступати засоби захисту інформації, общесистемное і прикладне ПО, телекомунікаційне забезпечення та ін. СМІБ включає в себе наступні компоненти:
- програмно-технічна частина - реалізується на основі продуктів з моніторингу подій безпеки класу SIEM (Security Information and Event Management);
- документационная частина - включає в себе набір документів, що описують основні процеси, пов'язані з виявленням і реагуванням на інциденти безпеки;
- кадрова складова - має на увазі виділення співробітників, відповідальних за роботу з СМІБ.
Програмно-технічна частина СМІБ включає наступні компоненти:
- агенти моніторингу, призначені для збору інформації, що надходить від різних джерел подій, що включають в себе засоби захисту, общесистемное і прикладне ПО, телекомунікаційне забезпечення та ін .;
- сервер подій, що забезпечує централізовану обробку інформації про події безпеки, яка надходить від агентів. Обробка здійснюється відповідно до правил, які задаються адміністратором безпеки;
- сховище даних, що містить результати роботи системи, а також дані, отримані від агентів;
- консоль управління системою, що дозволяє в реальному масштабі часу переглядати результати роботи системи, а також керувати її параметрами.
Типова структура системи моніторингу інформаційної безпеки відображена на малюнку.
Натисніть на картинку, щоб її збільшити
Структура системи моніторингу інформаційної безпеки
Документационная частина СМІБ передбачає розробку пакета нормативних документів з управління інцидентами безпеки. Як правило, для цього формується політика управління інцидентами ІБ, яка визначає класифікацію інцидентів, загальний порядок реагування, відповідальність за реалізацію даного документа та ін. На основі цієї політики для кожного з видів інцидентів безпеки розробляється окремий регламент, що описує детальний порядок реагування на різні види інцидентів .
Кадрова складова СМІБ передбачає виділення різних ролей, відповідальних за супровід центру. Як правило, виділяють наступні ролі в складі СМІБ:
- системний адміністратор, який відповідає за підтримку загальносистемного апаратного забезпечення СМІБ;
- адміністратор безпеки, що забезпечує управління настройку параметрів функціонування СМІБ;
- оператор, що виконує завдання перегляду результатів роботи СМІБ і реалізації базових функцій реагування на типові інциденти;
- аналітик, що забезпечує аналіз і реагування на складні види інцидентів.
Основні етапи створення СМІБ
Процес впровадження будь-якої системи моніторингу подій інформаційної безпеки включає в себе наступні основні етапи:
- обстеження автоматизованої системи. В рамках обстеження проводиться ідентифікація основних джерел подій безпеки, визначення технології збору, зберігання і обробки даних. За результатами обстеження формуються вимоги до архітектури і функціональним можливостям системи моніторингу інформаційної безпеки.
- розробка технічного проекту, в якому описується конфігурація обладнання та програмного забезпечення, порядок впровадження, схема інформаційних потоків, вимоги до зовнішнього оточення системи моніторингу і т.д .;
- навчання співробітників, які будуть відповідати за експлуатацію системи моніторингу інформаційної безпеки;
- створення пілотного району для тестового впровадження системи моніторингу інформаційної безпеки. Якщо об'єктом моніторингу є територіально-розподілена система, що охоплює кілька філій, то в якості тестового сегмента, як правило, вибирається найбільш великий підрозділ, на якому можна апробувати рішення, описані в технічному проекті.
- промислове впровадження системи моніторингу. Впровадження проводиться з урахуванням результатів, отриманих в процесі тестового впровадження системи моніторингу;
- технічний супровід системи моніторингу інформаційної безпеки.
Як правило, на етапі створення СМІБ підрозділ інформаційної безпеки намагається підключити систему моніторингу до найбільшої кількості джерел і отримати від них максимальний обсяг інформації. Однак необхідно брати до уваги той факт, що якщо включити всі можливі режими аудиту, то це може привести до значного збільшення навантаження на сервери, з яких виходить інформація, і, як наслідок, порушення їх працездатності. Саме тому одним із завдань на етапі обстеження є пошук компромісу між бажанням підрозділи ІБ отримувати і обробляти максимальний обсяг інформації і реальною можливістю підрозділу ІТ надати дану інформацію.
Ще одним важливим завданням, які мають вирішуватися в процесі впровадження, є визначення тих інцидентів, які будуть виявлятися в процесі роботи СМІБ. Для цього виконуються наступні дії:
- визначення типів основних інцидентів ІБ;
- визначення переліку обставин, які ведуть до інциденту ІБ;
- визначення джерела інциденту ІБ;
- визначення та пріоритезація ризиків, пов'язаних з інцидентами ІБ.
В даний час найбільшого поширення в Росії отримало рішення ArcSight компанії Hewlett Packard.
Можливості HP ArcSight
Система моніторингу і кореляції подій HP ArcSight дозволяє збирати й аналізувати повідомлення про події безпеки, що надходять від засобів захисту, операційних систем, прикладного програмного забезпечення та ін. Дана інформація збирається в єдиному центрі, обробляється і піддається аналізу відповідно до заданих правил по обробці подій, пов'язаних з інформаційною безпекою. Результати аналізу в режимі реального часу надаються адміністраторам безпеки в зручному вигляді для прийняття рішень з реагування на інциденти безпеки.
Технологія функціонування ArcSight передбачає поділ процесу обробки подій безпеки на п'ять основних етапів: фільтрація, нормалізація, агрегування, кореляція і візуалізація. В процесі фільтрації система видаляє події, які не мають прямого відношення до інцидентів інформаційної безпеки. На етапі нормалізації події приводяться до єдиного формату повідомлень ArcSight. Агрегування дозволяє видалити повторювані події, що описують один і той же інцидент. Ця процедура дозволяє значно скоротити обсяг інформації, яка зберігається і обробляється в системі моніторингу інформаційної безпеки. Сформовані повідомлення потім обробляються, використовуючи механізми кореляції, засновані на статистичних методах, а також правила вбудованої експертної системи. І, нарешті, ArcSight видає отримані результати на централізовану консоль, що працює в режимі реального часу.
ArcSight дозволяє адміністраторам безпеки сфокусуватися на реальних загрозах безпеки, забезпечуючи їх засобами, що дозволяють оперативно реагувати на загрози безпеці мережі.
Інформаційні ресурси інтегруються в систему моніторингу в якості джерел повідомлень про події інформаційної безпеки за допомогою так званих конекторів (агентів).
Для візуалізації результатів роботи системи використовується консоль адміністратора, яка в реальному режимі часу дозволяє проводити поділ подій за категоріями, кореляцію подій, як по ресурсах, так і по зловмисникам, а також здійснювати детальний аналіз. За допомогою карти порушень безпеки можна отримати уявлення про відхилення в параметрах безпеки. Крім того, консоль забезпечена інтуїтивно зрозумілим інструментальним інтерфейсом і надає неперевершені можливості для підготовки табличних і графічних звітів про безпеку.
ArcSight дозволяє здійснювати моніторинг інформаційної безпеки всіх необхідних ресурсів в режимі реального часу, отримуючи інформацію як на рівні засобів захисту, так і на рівні мережевих ресурсів, додатків і баз даних, що дозволяє побудувати комплексну систему моніторингу та управління подіями інформаційної безпеки.
Ще однією особливістю системи ArcSight є можливість реалізації процесу управління інцидентами інформаційної безпеки строго відповідно до стандартом PCI DSS.
висновок
На сьогоднішній день все більше і більше компаній приходять до розуміння того, що використання СМІБ дозволяє значно підвищити ефективність процесу управління інцидентами інформаційної безпеки. Це забезпечується за рахунок автоматизації процесу збору та аналізу інформації, яка реєструється в автоматизованій системі компанії. При цьому впровадження СМІБ також дозволяє значно підвищити ефективність вже встановлених в організації засобів захисту і отримати інструмент для оцінки ефективності роботи підрозділу інформаційної безпеки.
ЗАТ «ДиалогНаука» є ліцензіатом ФСТЕК і ФСБ і надає повний спектр послуг в сфері моніторингу інформаційної безпеки на базі системи моніторингу інформаційної безпеки і кореляції подій інформаційної безпеки HP ArcSight. У разі появи питань або інтересу до описаного рішенням по моніторингу інформаційної безпеки , Будь ласка, зв'яжіться з нами по телефону +7 (495) 980-67-76 або через форму зворотного зв'язку на сторінці « Контакти ».