|
|
  |
Главная страница / Архитектура отрасли Управление разнородными средствами защитыУ производителей и аналитиков сегодня можно встретить множество наименований для систем данного класса – SIM (Security Information Management), SEM (Security Event Management), STM (Security Threat Management) и т. д. Как основа всех систем используется ряд единых механизмов – корреляция событий, идентификация защищаемых ресурсов и их классификация, систематизация событий и т. д. Далее начинаются различия. SIM-системы ориентированы на анализ собираемых данных, генерацию отчетов и управление инцидентами и рисками. Иными словами, это инструмент руководителей служб управления информационными (операционными) рисками, информационной безопасности и внутреннего аудита. SEM-системы носят более приземленный характер и ориентированы на оперативное управление средствами защиты, получая от них и анализируя события в реальном времени. STM-системы являются развитием SEM-систем и дополняют их возможности реагированием на обнаруженные атаки. Со временем различия между этими решениями будут стираться благодаря объединению в одном решении (SEIM), которое и является мечтой большинства потребителей, вынужденных сегодня приобретать разрозненные продукты для выполнения своих задач. На стыке веков, когда рынок управления информационной безопасностью только зарождался, производители фокусировались на одном аспекте – управлении событиями, получаемыми от разных средств защиты. По прошествии всего двух-трех лет ситуация кардинальным образом изменилась. Сегодня под управлением понимается сигнализация о тревоге, реагирование на атаки, восстановление систем, генерация сводных отчетов и интеграция с системами сетевого и системного управления. Однако пока рынок не насыщен, и приходится выбирать между двумя основными задачами, которые будет решать приобретаемая система управления, – консолидация событий от разнородных средств для сигнализации о тревоге и аудита либо отражение атак в реальном времени. Эффективная SEIM-система должна, помимо всего прочего, поддерживать следующие основные механизмы управления событиями: консолидация (event consolidation); агрегирование (event aggregation); корреляция (event correlation); приоритезация (event prioritization). Первый шаг в снижении нагрузки на администратора – объединение всех событий от разнородных средств защиты информации в одном хранилище, т. е. консолидация. Она необходима тогда, когда администратор просто шалеет от постоянно мелькающих на экране сообщений, которые невозможно не то что проанализировать, но даже и просто отследить. Несколько миллионов событий в день – это уже реальность наших дней. А в крупных сетях ежедневная порция информации, которая сваливается на администратора, может превысить десятки миллионов событий. Ни один человек не в состоянии справиться с подобными объемами информации. Для решения этой задачи требуется не менее трех-четырех полностью загруженных специалистов. Немногие компании способны на выделение таких ресурсов. Консолидация – не просто сбор и помещение данных в единое хранилище. Это еще и их нормализация, т. е. устранение избыточности. Другими словами, в процессе нормализации SEIM удаляет повторяющиеся данные об атаках, полученных, например, от системы обнаружения атак и межсетевого экрана, и исключает возможную противоречивость. Идеальной является ситуация, когда одни данные о факте атаки хранятся только в одном месте. На этом этапе может также происходить приведение всех данных к единому времени (при этом должно храниться и оригинальное время фиксации события). Это особенно важно, если управляемые средства защиты разбросаны по всем часовым поясам нашей необъятной Родины. SIM-система требует длительного хранения данных, следовательно, немаловажным аспектом является применение механизмов сжатия. Учитывая, что производители средств защиты до сих пор не пришли к унификации формата сообщений об атаках, каждый разработчик SEIM по-своему решает проблему приведения всех сообщений к единому виду. Надо сказать, что задача это нетривиальная, так как системы обнаружения атак, межсетевые экраны, средства VPN, антивирусные системы и т. д. фиксируют разные параметры, связанные с несанкционированными действиями. Собрав все данные в одном месте, мы не избавились от огромных объемов информации, отображаемых на консоли администратора безопасности. Механизм агрегирования (группирования однотипных событий вместе) позволяет получить на экране вместо 10000 повторяющихся строк всего одну, но дополненную новым параметром – «количество событий». Иными словами, агрегирование облегчает отображение данных и их анализ. Но и этого недостаточно. Агрегирование не исключает появления сообщений об атаках, которые не несут никакой угрозы. Необходима более интеллектуальная обработка событий, которую обеспечивает механизм корреляции. Получив сообщение о том, что, например, сеть атакована червем Slammer, многие администраторы приходят в ужас и лихорадочно начинают вспоминать, «пропатчили» ли они свои узлы. А что, если даже самая серьезная атака не нанесет вам никакого вреда по той простой причине, что у вас нет серверов на базе MS SQL? Даже если они есть, но вы их давно защитили? Аналогичная ситуация происходит и с другими атаками, которые отвлекают внимание администратора и требуют вмешательства. Предположим, что на них вообще не надо реагировать (как ни парадоксально это звучит). Ведь не каждый хакер знает всю подноготную вашей сети и зачастую наугад пытается атаковать ваши ресурсы. Такая атака не только не нанесет никакого ущерба, но и в принципе не может быть применима к вашей сети. Хорошо, если ваша сеть небольшого размера, и вы помните, что и где у вас установлено. А если нет? Куда лучше, если сообщения, не несущие никакой угрозы, вообще бы не показывались на консоли и не отвлекали бы от более важных дел. Механизм корреляции, т. е. поиск взаимосвязей между разнородными данными, как раз и решает эту проблему, снимая с администраторских плеч нагрузку, связанную с проведением ручного анализа и сопоставлением разрозненных данных. В такой корреляции участвуют события от разных средств защиты – систем предотвращения вторжений, сканеров безопасности, антивирусов, межсетевых экранов и т. п. Одна и та же атака может иметь различные последствия для разных узлов корпоративной сети. Например, узел, работающий под управлением ОС Solaris 2.5.1, уязвим для давно ставшей классикой атаки Ping of Death, а узел, работающий под ОС Windows 2000 или XP, не подвержен данной атаке. Другой пример – наличие модема. Если он подключен к компьютеру с выполнением всех требований по обеспечению информационной безопасности, то это нормальная ситуация, не требующая пристального внимания администратора безопасности. А вот модем, подключенный с целью обхода межсетевого экрана и других периметровых средств защиты, должен быть немедленно удален. Система мониторинга разнородных средств защиты должна предусматривать возможность задания приоритетов для обнаруживаемых атак или уязвимостей. От этого зависит, чему будет уделять внимание администратор безопасности в первую очередь. Приобретая сегодня DVD-диск, вы можете быть уверены, что с высокой степенью вероятности он подойдет к вашему DVD-проигрывателю. Война форматов закончилась, и выиграл в этой войне потребитель. На поле информационной безопасности битва в самом разгаре – производители пока не могут договориться о единых форматах, которые бы позволяли эффективно «понимать» решения конкурирующих решений. А значит, и SEM-системы, способные собирать сигналы тревоги от любой системы защиты, пока на рынке не представлены. Как правило, лучшие в своем классе системы поддерживают наиболее известных и распространенных производителей средств защиты – Cisco, Check Point, ISS, McAfee, Snort и т. д. Кстати, здесь есть очень тонкий момент, на который необходимо обращать внимание при выборе системы управления информационной безопасности. Многие производители в своих рекламных материалах упоминают про поддержку огромного количества разнородных средств защиты (до нескольких десятков) и перечисляют известнейшие имена. Но… на самом деле под поддержкой понимается только сбор данных от этих средств, не более того. Производитель SEIM должен обновлять свое решение так же часто, как и все из поддерживаемых ими систем. С выходом обновления для системы обнаружения атак или сканера система корреляции также должна пополнить свою базу знаниями о новых уязвимостях и атаках. В противном случае она не сможет анализировать неизвестные ей события. Об этом умалчивают многие производители таких средств, считая, что достаточно указать факт поддержки разнообразных средств анализа защищенности, межсетевых экранов, систем обнаружения атак, proxy-серверов и т. д. Максимум, на что вы можете надеяться, устанавливая подобный продукт, – это сбор данных из разных источников без функции агрегирования и корреляции. Современные системы управления информационной безопасности поддерживают не только средства защиты (межсетевые экраны, системы обнаружения атак, сканеры безопасности, антивирусы и т. д.), но и операционные системы, базы данных, приложения (например, Web-браузеры), сетевое оборудование и пр. Для этого в серьезных решениях присутствует специальный модуль (так называемый parser), который умеет разбирать сигналы тревоги практически любого «неизвестного» изначально приложения. Такие сигналы тревоги могут поступать через SNMP, syslog, текстовый файл и т. д. Главная страница / Архитектура отрасли |