Сграда соц. Най-сигурният SOC

Срещнати съкращения: SiP и SoC. Какво е това?

Технологията SiP (System-in-Package) постепенно става все по-популярна като алтернатива на SoC (System-on-Chip, „система в чип“), поне за безжичните решения.

Разликата между тези два подхода се състои в това, че в първия случай няколко кристала на интегрална схема (чипове) се комбинират в един пакет, а във втория всички възли на бъдещото готово решение се изпълняват на едно.

В същото време, когато използват SoC технологията, дизайнерите трябва да отделят повече време за разработване на връзки, оптимизиране на разположението на елементите и т.н.

Изборът между SoC и SiP винаги е много труден.
Въпреки това, тъй като много проблеми с производството и дизайна са решени или са близо до разрешаване, SiP се превръща в по-привлекателна технология, когато има малко време за създаване на завършен продукт.

Това е особено вярно, когато в системата има възли за различни стандарти (например основния логически процесор за клетъчни комуникации, Wi-Fi и Bluetooth) или когато производителят се стреми да „внедри в силиций“ технология, която не е преминала процеса на стандартизация.

Цената и времето за разработка на SoC растат експоненциално с увеличаване на сложността на дизайна, докато SiP растат почти линейно.

Ако аналоговите компоненти присъстват в дизайна, тяхната оптимална работа често изисква използването на производствени стандарти, които в никакъв случай не са минималната стойност.

Следователно, ако производството на логически интегрални схеми сега преминава през етап от 65 nm, преминавайки към по-ниски стандарти, тогава самото присъствие на аналогови компоненти в дизайна може да накара производителя да избере SiP.

В допълнение, тази технология ви позволява да поставите достатъчен брой пасивни елементи директно в кутията.

Вероятно за напълно логични дизайни SoC, които осигуряват голямо удобство на производителите на крайни продукти, ще бъдат привлекателни още дълго време.

SiP обикновено се използват в малки електронни устройства като смартфони и носими устройства.
SoC може да помогне на разработчиците да ускорят приемането на нови протоколи като Bluetooth 5 SoC, което улеснява интегрирането на Bluetooth 5 в нови продукти.

AMD Radeon Software Adrenalin Edition Драйвер 19.9.2 по избор

Новият опционален драйвер AMD Radeon Software Adrenalin Edition 19.9.2 подобрява производителността в Borderlands 3 и добавя поддръжка за Radeon Image Sharpening.

Windows 10 Кумулативна актуализация 1903 KB4515384 (добавена)

На 10 септември 2019 г. Microsoft пусна кумулативната актуализация за Windows 10 версия 1903 - KB4515384 с редица подобрения на сигурността и корекция на грешка, която счупи Windows Search и причини високо натоварване на процесора.

Драйвер за игри GeForce 436.30 WHQL

NVIDIA пусна пакета драйвери Game Ready GeForce 436.30 WHQL, който е предназначен за оптимизация в игри: "Gears 5", "Borderlands 3" и "Call of Duty: Modern Warfare", "FIFA 20", "The Surge 2" и „Code Vein“ поправя редица грешки, наблюдавани в предишни версии, и разширява списъка с дисплеи в категорията G-Sync Compatible.

Дискусиите на Форума на SOC, който се проведе в Москва в средата на ноември, не спират в социалните мрежи и блогове. Модераторът на пленарната секция Олег Седов помоли лекторите да не спорят за термини и определения, оставяйки това за по-нататъшно обсъждане. Бих искал да се върна към отложената тема, като говоря за термини или по-скоро за съществуването на SIEM без SOC и SOC без SIEM.

Какво означава "О"?

Участниците в SOC Forum дадоха различни отговори на въпроса какво е SOC. Някои дефиниции завинаги са влезли в колекцията от афоризми на събитието и са достойни за споменаване: „СОЦ и службата за информационна сигурност са едно и също”, „СОЦ е шпионка”, „В обвивка на СОК можеш да увиеш всичко, дори завържете регулаторите отгоре с лък.“ Бях особено доволен от отговора „в SOC буквата „O“ е излишна и всичко е ясно.“

И ако всичко е наистина ясно с Центъра за сигурност, тогава какво означава голямата буква „О“ в съкращението? В широк смисъл операциите се разбират като оперативни дейности, които от своя страна са „функция, насочена към непрекъснато извършване на действия за производство на един и същ продукт или предоставяне на повтаряща се услуга“. Оказва се, че в нашия контекст операциите са непрекъснато изпълнение на процеса на осигуряване на информационна сигурност или непрекъснато запазване на състоянието на сигурност на информационните активи. И ключовата дума тук е „непрекъснато“.

Създала ли е службата за информационна сигурност свой собствен SOC, като е въвела дузина класове инструменти за информационна сигурност? Услугата IS изпълнява ли функциите на SOC, който при поискване разглежда заявления и съгласува / отнема права за достъп, издава EDS, предписва правила за защитни стени? Правилно ли е да наричаме SOC процеса на закърпване на дупки след поредната повреда? Очевидно не.

Между другото, за западните колеги не всичко е ясно с терминологията. „Специалният екип, обозначен тук като SOC, може да бъде наричан по различен начин в различните организации: CSIRT (Екип за реагиране при инциденти с компютърна сигурност - екип за реагиране при инциденти с компютърната сигурност), CIRC (Център за реагиране при компютърни инциденти - център за реагиране при компютърни инциденти), CERT (компютър Emergency Response Team - компютърен екип за спешно реагиране) или много други вариации, използващи думите "мрежа", "компютър", "кибер", "инцидент", "оперативен", "защита" или "корпоративен" (C. Zimmerman. Ten Strategies на оперативен център за киберсигурност от световна класа, 2014 г.). Но - усетете разликата: докато руската професионална общност говори какво е SOC, западните колеги наричат ​​цели поколения SOC.

Например анализаторите на Ernst & Young преброиха три поколения. Ранните SOC разчитаха на предупреждения за известни вируси и сигнатури за проникване, позволявайки на организациите да идентифицират добре познати профили на атака. SOC от второ поколение осъзнаха необходимостта от работа 24x7 и въвеждането на инструменти за активна защита на информацията за намаляване на времевия прозорец между откриването на известна атака и нейното блокиране. Третото поколение SOC е допълнено с процеси за обмен на информация, анализи на тенденциите на атаки и използвани инструменти и е надарено с функции за намиране на аномалии в големи обеми данни - всичко това за прилагане на проактивен мониторинг и защита.

По-подробно разделение, на пет поколения, беше извършено от консултанти от HP Security Intelligence and Operations Consulting (SIOC). Те анализираха развитието на темата за SOC от 1975 г. до 2014 г., започвайки с изолирането на задачата за редовен преглед на одитните регистрационни файлове на събитията за информационна сигурност и завършвайки с генерирането на проактивни подходи за намиране на вектори на атака, които все още не са приложени срещу компания.

SIEM съществува, но SOC така и не се появи

Наскоро в един от блоговете беше повдигната интересна тема: SIEM продукт ли е или процес? На първо място, управлението на информацията за сигурността и събитията (SIEM) е продукт с логиката на събиране, агрегиране и филтриране, обединяване, съхранение и търсене, корелация, известяване и отговор, визуализация, анализ/разследване на събития за информационна сигурност. Но заедно с продукта потребителят обикновено получава описание на функциите и инструкциите, а това вече са процеси. За някои услуги за информационна сигурност закупуването на такъв продукт ще се превърне в отправна точка при внедряването на SIEM процеси, докато други, напротив, ще се нуждаят от гъвкав SIEM продукт, който може да бъде персонализиран, за да отговаря на съществуващите SIEM процеси на компанията. Да, случва се някои SIEM процеси вече да съществуват, но все още няма SIEM продукт.

Можете да разгледате по-отблизо процесите, изградени около продукта SIEM. Има много чуждестранни препоръки по този въпрос, например се предлага процесите да се разделят на три групи (A. Chuvakin. SIEM analytics: Process importants more than products).

1. Основните (поддържащи) процеси описват следните процедури:
   • събиране и създаване на одит на източниците на събития за информационна сигурност;
   • оценка на качеството на работата на SIEM и нейното развитие;
   • Настройки на съдържанието на SIEM (правила, отчети, табла за управление и др.).
2. Процесите за съответствие описват следните процедури:
   • редовен преглед на докладите за събития, свързани със сигурността на информацията;
   • реакция при установено несъответствие с нормативните изисквания
3. Процесите, които са свързани с непрекъснат мониторинг и разследвания в реално време (те са от най-голям практически интерес), описват следните процедури:
   • определяне на реда, по който се обработват уведомленията за инциденти;
   • профилиране на поведението на потребителите и системите за прекъсване на фалшивите сигнали;
   • анализ на входящи IoCs (индикатори за компрометиране) и оценка на тяхната приложимост към инфраструктурата и източниците на събития в SIEM;
   • отговор на идентифицирани инциденти със сигурността на информацията;
   • намаляване на вероятността от повторна поява на обработени инциденти.

Всяка процедура съдържа редица правила и инструкции. Екип от консултанти по информационна сигурност може да състави няколко десетки документи от различни нива, въз основа на редица препоръки, например NIST SP 800-92 „Ръководство за управление на логове за компютърна сигурност“ и SP 800-61 R2 „Ръководство за обработка на инциденти в компютърната сигурност ". Все пак общата посока на тези документи, мисля, е ясна.

Какво е SOC?

През последните години SIEM интеграторите и производителите активно представят на масите идеята, че SOC е „SIEM платформа + SIEM процеси + хора“. Колко вярна е тази формула, забравено ли е нещо важно?

Това, което е постигнато в чужбина, е обобщаване на мненията и запълване на концепцията за SOC с онези идеи и функции, с които повечето експерти са съгласни. „SOC е централизиран корпоративен екип за наблюдение на сигурността, създаден, за да намали рисковете на една организация чрез използване на технологии и процеси за откриване на инциденти, ограничаването им, анализиране и намаляване на щетите“ (Създаване на SOC, SANS, 2015 г.). Обърнете внимание на ключовия момент „за да се намалят рисковете на организацията“, което показва, първо, разбиране на рисковете и второ, целенасоченото насърчаване на бизнеса в посока на тяхното намаляване.

Оказва се, че SOC не започва с хора и технологии, а преди всичко с разбиране на мисията и задачите от най-високо ниво на подобни дейности в компанията. След това изграждането на SOC изисква дефиниране на ключови показатели за успех и KPI за постигането им. Липсата на бизнес цел при закупуване на SIEM ще превърне целия процес на SIEM в безпринципно наблюдение, което според статистиката на Solar Security ще престане да бъде интересно за 80% от компаниите след една година.

Следните идеи могат да се използват за създаване на SOC:

• предотвратяване на киберпрестъпления, насочени към бързо изтегляне на пари от компанията;
• поддържане на сигурността на информационните активи на компанията по време на периоди на сливания и придобивания;
• предотвратяване на измами с клиентски сметки и кражба на пари;
• предотвратяване на компрометиране на критична клиентска информация, получена за обработка;
• разкриване на нарушения на режима на търговска тайна или боравене с други видове поверителна информация.

Списъкът с документи, които според Десетте стратегии на оперативен център за киберсигурност от световна класа трябва да бъдат разработени за организиране на такива дейности в компания, ще ви помогне най-накрая да „усетите“ SOC:

• устава на SOC, подписан от ръководителя на организацията,
• определя мисията и отговорността на SOC;
• Правомощия на SOC - допълва устава на SOC с описание на задълженията на SOC и задължава други отдели на компанията да спомагат за постигането на целите и задачите на SOC;
• План за развитие на SOC - набор от краткосрочни и дългосрочни задачи, разбираеми за екипа на SOC и външните партньори;
• оперативни, функционални и системни изисквания за изпълнение на задачите на СОК;
• бюджет на SOC;
• описание на архитектурата на подсистемата за мониторинг и др.

И така, SIEM продукт в рамките на SOC е една от технологиите за автоматизиране на рутинни задачи, свързани с обработка на регистрационни файлове. По принцип SOC без SIEM може да постигне цели на високо ниво - единственият въпрос е ефективността и зрелостта на използваните методи. Въпреки това, според HP SIOC, който проведе повече от 110 одита на 87 SOC, нито един SOC без SIEM не отговаря дори на минималното ниво на зрялост.

Най-пълното разбиране за това как SOC трябва да бъде организиран идва от доклада на Ernst & Young „SOC срещу киберпрестъпността“. Може да се твърди, че SOC започва с подкрепа от висшето ръководство, дефиниране на мисия, инвестиране и разработване на стратегия, продължава с набиране на персонал, изграждане на методология, използване на необходимите технологии и среда за минимизиране на рисковете за информационната сигурност, анализиране на тенденциите и периодично докладване и завършва с непрекъснато процеси на подобряване.

Повечето от задачите на SOC (предимно обработката на събития за информационна сигурност в SIEM, анализ на тенденции на атаки, агрегиране на информация за заплахи, разследване на инциденти) могат да бъдат възложени на доставчик на MSSP. Но, разбирате ли, трудно е да възложите идеята и мисията за стартиране на SOC в една компания, отговорността за инциденти и загуби. А отговорността на доставчика на MSSP трябва да бъде обсъдена отделно в близко бъдеще.

Предпоставки за създаване на Център за оперативно управление на информационната сигурност

Според руски експерти по информационна сигурност в момента нивото на информационна сигурност в руските компании не е много високо в сравнение със западните, но темповете на развитие са многократно по-високи. Това се дължи не само на новите разпоредби и закони, като 152-FZ, PCI DSS, STO BR, но и на осъзнаването, че информационната сигурност трябва да се разглежда сериозно, систематично изграждане на процеси. В противен случай съществува риск не само от загуба на инфраструктурни елементи, но и от реални финансови загуби.

Сизифов труд

В една бързо развиваща се инфраструктура сега няма десетки устройства, а стотици и дори хиляди. Някои рутери или защитни стени могат да бъдат няколко десетки. Всички те преминават през огромно количество информация, всички събития, възникващи на устройства, се записват във вътрешни дневници. Но те всъщност са безполезни, тъй като е невъзможно централизирано да се наблюдават толкова много събития, да се правят анализи и да се идентифицират инциденти, които нарушават политиката за информационна сигурност.

Така например в почти всяка организация виждаме ситуация, при която потребителският достъп до финансова информация и транзакции в бази данни не се регистрира. А в случай на неоторизиран достъп или изтичане на информация от базата данни е невъзможно да се проследи кой е направил промени в таблиците, откъде е направен достъпът и кой е копирал критични данни.

Съответно, въпреки огромния брой антивируси, екрани и други инструменти за активна защита на информацията, няма единна картина на това, което се случва в инфраструктурата. Всички защитни елементи са индивидуално конфигурирани и работят, но между тях няма единна връзка, която да позволи ефективно използване на набор от инструменти за защита, да идентифицира инциденти възможно най-бързо и да се научи да действа проактивно.

Как можете да подобрите ефективността на текущия набор от инструменти за информационна сигурност, различно мрежово оборудване и приложения? Експертите на Jet Infosystems виждат решение на много актуални проблеми за осигуряване на информационна сигурност и повишаване на ефективността на корпоративната защита в изграждането на център за контрол на информационната сигурност. Нека дефинираме какво имаме предвид под това понятие, какви елементи могат да бъдат включени, как да постигнем ефективност при идентифициране и елиминиране на инциденти, свързани с информационната сигурност.

SOC практика в Русия

Преди да изразим експертно мнение и да дадем препоръки, ще разгледаме няколко подхода за организиране на центрове за контрол на информационната сигурност в Русия. Най-общо казано, SOC е част от цялостния процес на управление на информационната сигурност заедно с управлението на риска, контрола на изтичането на информация и контрола на достъпа. В повечето руски компании, които изграждат SOC, всички тези процеси протичат успоредно с разработването на стратегия за информационна сигурност.

Основното са хората

Нека разгледаме конкретни, най-ярките примери. Един от най-големите центрове за контрол на информационната сигурност е на телекомуникационен оператор. Компанията обхваща няколко държави и има над 40 000 служители. Такива скали налагат свои специфики при работа с информация, особено по отношение на регистриране на събития, свързани с информационната сигурност. Центърът за операции по сигурността се основава на три основни области - процеси, хора и технологии. Всеки член на SOC знае своите роли и отговорности, правила за реагиране и процеси за взаимодействие с другите.

Внедрени в тази компания, обхващат няколко основни направления. Първо, това е подсистема за събиране и корелация на събития за информационна сигурност, която събира регистрационни файлове от повече от 2000 устройства. Данните идват от различни източници – от мрежови устройства, приложения, операционни системи, бази данни. Подсистемата за наблюдение на транзакциите на базата данни обхваща всички основни СУБД от различни производители и версии. Подсистемата за защита на базата данни е интегрирана в SOC и е един от източниците на събития за информационна сигурност, достъпни за анализ в главната конзола за наблюдение. Активно се развива подсистемата за наблюдение на състоянието на информационната сигурност и контрол на уязвимостите, която също е елемент от комплекс от технологии за защита на информацията.

Уникалността на SOC на тази компания се крие в нейния интегриран подход към информационната сигурност. Фокусът е не толкова върху технологиите, а върху процесите и хората. Именно служителите на компанията осигуряват бърза реакция на събития и инциденти, идентифицирайки и елиминирайки уязвимостите и потенциалните заплахи възможно най-бързо. Благодарение на едно табло те централизирано събират информация от различни подсистеми в реално време.

Разделение на труда

Друг интересен пример за подход за изграждане на Оперативен център за информационна сигурност идва от компания в петролната индустрия. Всъщност ръководството на компанията очаква SOC показатели за сигурност на критични данни, скорост на идентифициране и елиминиране на инциденти, както и редица други SLA показатели. Тази компания реши сама да определи критичните показатели за нивото на информационна сигурност и не да изгради собствен Център за контрол на информационната сигурност, а да предостави тези функции на фирма изпълнител, специализирана в информационната сигурност. В случая всеки е правил това, в което е добър. Петролната компания постави изисквания, базирани на нуждите на бизнеса, а експертната компания реши проблеми, които доведоха до желания резултат.

Това са двата най-ярки примера в руските компании. И двете са ефективни и решават бизнес проблеми еднакво добре. Ако планирате да развиете център за контрол на информационната сигурност във вашата компания, на първо място трябва да обърнете внимание на спецификата на индустрията, нивото на изискванията на висшето ръководство за информационна сигурност и необходимостта от отделяне на функциите за управление на информационната сигурност в отделни функционална единица.

Повече не означава по-добро

Оперативен център за управление на информационната сигурност - гаранции и увереност в нивото на информационна сигурност

Един от най-мощните инструменти за ефективно управление на информационната сигурност на всяко предприятие е Центърът за операции по сигурността (SOC), който ви позволява да контролирате и поддържате нивото на информационна сигурност, изисквано от бизнеса.

Както показва опитът, сигурността на критичните бизнес процеси на компанията, включително информационната сигурност, е едно от изискванията на съвременната бизнес практика. В тази връзка компаниите прилагат набор от организационни и технически мерки за осигуряване на информационна сигурност. Въпреки това, въвеждането само на средства за защита, като правило, не дава разбиране за това как полученото ниво на информационна сигурност съответства на изискваното и следователно мълчи за ефективността на цялата система за информационна сигурност като цяло . Вътрешните и външните одити не са достатъчни за решаване на този проблем, тъй като са периодични.

Без постоянен мониторинг на информационната сигурност в реално време е изключително трудно да имаме пълна и надеждна информация за съществуващи събития и уязвимости, текущи настройки и правилното функциониране на средствата за защита.

Компаниите едновременно внедряват част от процесите на системата за управление на информационната сигурност (ISMS) в съответствие със стандарта ISO 27001 (процес на управление на инциденти в ИС, управление на уязвимости, управление на промените, контрол на съответствието със законовите и индустриални изисквания), а също така изпълняват част от изискванията на стандарта PCI DSS (изискванията на раздели 1, 6, 10, 11, 12).

В компании с развита ИТ инфраструктура и голям брой различни инструменти за защита е много проблематично да се изгради цялостна картина без специализирани технически средства.

В допълнение, внедрените инструменти за сигурност са насочени само към намаляване на вероятността от инциденти, свързани със сигурността на информацията. Ако възникне инцидент, без бърза намеса, щетите от него могат да бъдат много сериозни. Ето защо е важно да се реагира своевременно на инциденти, установени по време на мониторинга.

В същото време нарастващите изисквания на законодателството и разпоредбите в областта на информационната сигурност (FZ № 152 „Относно личните данни“, PCI DSS, ISO / IEC 27001:2005, SOX, Basel II, STO BR IBBS-1.0- 2006, STR-K) говори за необходимостта от тяхното спазване и извършване на периодични проверки на тяхното изпълнение.

Бърза реакция при инциденти, управление на уязвимостите и контрол на спазването на изискванията на законодателството, наредбите и вътрешните корпоративни политики, за компаниите е доста трудно бързо и точно да проверят състоянието на нивото на сигурност за съответствие с изискваното, както и поддържайте сигурността на правилното ниво.

Според заключенията на нашите експерти, само изграждането на инструменти за защита без решаване на тези проблеми, като правило, не е ефективна стратегия за осигуряване на информационна сигурност в една компания.

Централизация на оперативното управление на информационната сигурност

Центърът за информационна сигурност на Jet Infosystems разработи и внедрява цялостно решение на разгледаните по-горе задачи - Център за операции по сигурността (SOC).

Центърът за оперативно управление на ИС е набор от свързани и работещи процеси за управление на ИС (мониторинг, управление на инциденти на ИС, управление на уязвимости, инвентаризация на активи, управление на промените, контрол на политиката за сигурност) и тяхната автоматизация чрез внедряване на тясно взаимосвързани и допълващи се съответни технически системи:

• Мониторинг на състоянието на ИС (мониторинг на събития на ИС, одит на действията на потребителите, управление на уязвимостите/контрол на конфигурацията);
• управление на инциденти в информационната сигурност;
• контрол на спазването на изискванията на законодателството, международни и индустриални стандарти, вътрешни корпоративни политики.

SOC предоставя пълна картина на текущото състояние на информационната сигурност в компанията, което ви позволява бързо да премахнете откритите отклонения и да осигурите определеното ниво на информационна сигурност. С негова помощ можете да проследявате събития, свързани със сигурността на информацията, възникващи в информационната система, да ги анализирате и сравнявате с други данни, да контролирате съществуващи уязвимости, да контролирате конфигурации, да проследявате степента на съответствие с изискванията на законодателството, разпоредбите и корпоративните политики и бързо реагиране на идентифицирани инциденти IB.

Центърът за оперативно управление на ИС ви позволява да наблюдавате и управлявате информационната сигурност на компанията в реално време, да сте сигурни, че е постигнато и поддържано необходимото ниво на поддръжка на ИС, да наблюдавате постигането на зададените целеви показатели за ефективност (KPI) на поддръжката на ИС.

Ключовите фактори, осигуряващи ефективността на такива центрове са: изпълнението на процесите
мониторинг, уязвимост и управление на инциденти; правилно разпределение на отговорностите между служителите в компанията; разработване и прилагане на регламенти за реагиране при инциденти по сигурността на информацията и техния последващ анализ.

Ориз. 1. Център за управление на оперативната информационна сигурност.

Мониторинг на състоянието на ИС

Мониторингът на състоянието на ИС включва няколко системи.

IS система за управление на събития (мониторинг) (система за управление на информацията за сигурност, SIMS)прилага интегриран подход за решаване на проблемите със събиране, анализиране (корелиране) и наблюдение на събития за информационна сигурност, идващи от различни инструменти за сигурност. Помага за решаването на следните задачи:

• . управление на голям обем събития за информационна сигурност;
• получаване на пълна картина на случващото се в информационната система от гледна точка на информационната сигурност;
• мониторинг на текущото ниво на сигурност (мониторинг на постигането на зададени показатели за ефективност (KPI) на поддръжката на ИС);
• своевременно откриване на инциденти, свързани със сигурността на информацията;
• получаване на реални данни за анализ и оценка на риска;
• вземане на информирани решения за управление на информационната сигурност;
• съответствие с изискванията на законодателството и разпоредбите за наблюдение на събития за сигурност на информацията (ISO/IEC 27001:2005, PCI DSS, STO BR IBBS, Федерален закон № 152-FZ
  „Относно личните данни“ и др.).

На пазара са представени системи за управление на събития за информационна сигурност. Те се различават по функционалност, набор от задачи, които трябва да бъдат решени, обхват. Jet Infosystems използва най-гъвкавите, мощни и постоянно подобряващи се продукти, които имат висококачествена техническа поддръжка в Руската федерация и страните от ОНД: , Symantec Security Information Manager (SSIM).

Система за одит на действията на потребителитеосигурява регистриране и анализ на действията на потребителите (основно на ниво база данни), изпращане на известия в реално време и изготвяне на доклади за това кой получава достъп до каква информация и как тези действия могат да нарушат изискванията на външни регулаторни органи или вътрешни правила за информационна сигурност на компаниите.

Системата за одит на действията на потребителите контролира злонамерените действия на потребителите, предпазва от изтичане на поверителна информация и дава отговори на въпросите: „Кой? Какво направи? Кога? Където? Където? Където? С какви средства?", изготвя доклади на различни нива (от ръководителя на компанията до администратора на информационната сигурност).

Центърът за информационна сигурност на Jet Infosystems внедрява система за одит на потребителските действия, базирана на добре доказани продукти IBM Infosphere Guardium и Imperva, първият от които се интегрира лесно с продуктите на ArcSight ESM, а вторият има една от най-мощните функции за защитна стена на уеб приложения на пазара (Web Application Firewall).

Системата за управление на уязвимости/контрол на конфигурацията предоставя данни в реално време за съществуващи уязвимости, проследяване на динамиката на тяхното отстраняване, наблюдение на промените и автоматизиране на задачи като инвентаризация на ресурсите и контрол на конфигурацията. Търсенето на уязвимости на критични ресурси се извършва постоянно по различни начини: мрежово сканиране, тестове за проникване, системни проверки, анализ на сигурността на СУБД и уеб приложения. Jet Infosystems внедрява тази система на базата на продукта MaxPatrol (Positive Technologies).

Управление на инциденти в информационната сигурност

Система за управление на инциденти в информационната сигурностизвършва регистрация, бърза реакция и ефективно разрешаване на инциденти на информационната сигурност, осъществява пълен цикъл на работа с тях. Размерът на нанесените щети зависи от това колко бързо и компетентно компанията ще реагира и разреши възникналия инцидент на информационната сигурност. Следователно подготовката за разрешаване на инциденти е от особено значение.

Подготвителният етап включва планиране, определяне на отговорните лица, разделяне на отговорностите, разработване на планове за разрешаване на инциденти и т.н. След това директно се регистрират инциденти с информационната сигурност и се реагира с последващо разрешаване.

Ориз. 2. Система за управление на инциденти на информационната сигурност.

В процеса на управление на инциденти на информационната сигурност е важно не само да ги разрешите, но и да анализирате колко ефективно е организиран този процес. Необходимо е периодично да се тестват разработените планове, за да се поддържат актуални и да се подобряват своевременно. Освен това е важно да се анализират минали инциденти, за да се коригират допълнително текущите практики и да се предприемат проактивни мерки за защита.

Ако анализът разкрие незначителни отклонения, тогава се предприемат коригиращи действия. Ако обаче се открият системни грешки, установява се неефективност на прилаганите планове и др. - активиране на подготвителния етап.

Сграда Системи за управление на инциденти в информационната сигурноствключва внедряване на процес за управление на инциденти в информационната сигурност и (по избор) неговата автоматизация.

Контрол на съответствието

Система за контрол на съответствиетоВи позволява да извършвате редовни технологични проверки за съответствие на информационните системи с вътрешни фирмени политики за сигурност, технически стандарти, регулаторни изисквания, международни стандарти и др.

Тази система дава възможност за дефиниране на вътрешен стандарт, базиран на международни стандарти (ISO 27001), препоръки на производителя, "най-добри практики" NSA, NIST, CIS, вътрешни изисквания. И също така постоянно следи за спазването на стандартите за мрежово оборудване, приложни системи (ERP, CRM), операционни системи UNIX и Windows, различни СУБД.

Jet Infosystems внедрява система за контрол на съответствието, базирана на продуктите на MaxPatrol (Positive Technologies).

Как да изградим Център за операции по сигурността?

Има различни възможности за изграждане на SOC в зависимост от степента на зрялост и текущите задачи на компанията: от внедряване на отделни системи до комплексни решения. При изпълнението на сложни мащабни проекти в редица ситуации поетапното внедряване е оптимално, когато на всеки етап обхватът на SOC се увеличава както по отношение на териториалното покритие (например първо - централата, след това - регионите), така и функционалните системи (IS система за управление на събития, след - система за управление на уязвимости).

Как да използваме SOC за решаване на бизнес проблеми?

Според нас ефективността на внедряването и използването на технически средства е максимална, ако компанията ясно разбира задачите, които трябва да бъдат решени с помощта на SOC инструменти. По-долу е дадена обобщена таблица с възможни задачи на високо ниво, за решаването на които помага Оперативният център за информационна сигурност.

Разгледахме само част от най-типичните задачи, които ръководството на компанията може да постави пред отдел, който осигурява информационната сигурност на компанията. Но заслужава да се отбележи, че изброените проблеми са предпоставка за разгръщането на Центъра за оперативен контрол на информационната сигурност.

Какви ползи получава една компания при внедряването на SOC?

Първо, с помощта на SOC става възможно да се организира процес на непрекъснато подобряване на защитните мерки за осигуряване на сигурност. Постоянният анализ на текущи събития и инциденти с информационната сигурност, откриването на причините за тяхното възникване с участието на различни отдели ни позволява да оценим ефективността на текущите мерки за защита, да разберем техните недостатъци и да разработим предложения за тяхната замяна или коригиране.

Второ, въвеждането на SOC намалява преките и непреките разходи. С малък персонал, когато "няма достатъчно ръце", SOC ви позволява да намалите ресурсите, необходими за ръчна обработка на събития за информационна сигурност и с увеличаване на броя на контролираните средства за защита. В същото време не изисква увеличаване на персонала, а напротив, ви позволява да оптимизирате работата на служителите чрез пренасяне на данни на една конзола и автоматизиране на текущия анализ на събитията, свързани с информационната сигурност.

На трето място, чрез Центъра за контрол на информационната сигурност е възможно да се разделят правомощията за контрол върху ИТ системите. Средствата за сигурност, тяхното администриране и експлоатация, като правило, са под юрисдикцията на ИТ отдела, докато на информационната сигурност се възлагат само контролни функции. SOC е може би единственият контролен инструмент в ръцете на отделите за информационна сигурност, който им позволява да проследяват действията в ИТ системите, което обективно намалява влиянието на човешкия фактор и повишава нивото на информационна сигурност на компанията.

Четвърто, присъствието на Центъра за оперативно управление е просто необходимо по време на процедурата по сливане или придобиване. Центърът за оперативно управление ви позволява ефективно да приведете дъщерната компания в съответствие със стандартите за информационна сигурност, приети в основната организация. SOC дава възможност не само за бързо откриване на несъответствия, но и за проследяване на тяхното отстраняване с възможност за задаване и контрол на съответните KPI за отделите, отговорни за сливането.

И накрая, данните, предоставени от SOC, значително прецизират оценката на риска, която е в основата на избора на определени мерки за защита. В допълнение, формализирането на процедурите намалява косвените разходи на компанията, тъй като издаването на одобрения без качествена обосновка отнема значително количество работно време на служителите.

С какви средства са постигнати всички тези цели и задачи? Нека направим бърза обиколка на технологията на Оперативния център за информационна сигурност.

Ориз. 3. Таблица с възможни задачи от високо ниво, за решаването на които помага Оперативният център за информационна сигурност.

Компоненти на Оперативния център за управление на информационната сигурност

Както беше отбелязано по-рано, SOC е набор от организационни и технически мерки. Компания, която реши да внедри SOC, на първо място трябва да се погрижи за създаването на отделно подразделение или група от специалисти, управляващи Центъра. Това трябва да са анализатори, администратори и оператори на централизирани конзоли за наблюдение. Също толкова важно е да се формализират процесите за идентифициране и разрешаване на инциденти, свързани със сигурността на информацията. И ако организационната част е още повече или по-малко ясна, тогава при избора на технологии повечето клиенти се сблъскват
с трудности.

Ориз. 4. Разпределение на уязвимостите по вид критичност.

MaxPatrol - система за наблюдение на състоянието на ИС

Системата за мониторинг на състоянието на ИС е една от основните и се препоръчва за внедряване на първите етапи от изграждането на корпоративна система за информационна сигурност. Jet Infosystems използва продуктите MaxPatrol, произведени от Positive Technologies като технологична платформа за изграждане на SOC.

MaxPatrol е експертна система за откриване на грешки в защитата на ИТ ресурсите. Приложението на системата позволява:

• поддържайте актуална информацията за IT парка;
• своевременно откриване на неоторизирани промени;
• автоматично извършва инспекции, за да поддържа компютърните системи в защитено състояние.

Като следствие от всичко по-горе, системата ви позволява да откривате и своевременно премахвате пропуски в сигурността. Основните цели на използването на системата обикновено са да се контролира ефективността на процесите на информационна сигурност, да се контролират промените и политиките за сигурност, да се инвентаризират ИТ активите и да се оцени сигурността на инфраструктурата на компанията.

Решението MaxPatrol е система от експертен клас. Неговият най-важен компонент е ежедневно актуализирана база от знания, която съдържа изчерпателна информация за съществуващите заплахи за IS (вируси, троянски коне, уязвимости на приложен софтуер и др.). Базата от знания се поддържа от водещи експерти в индустрията. Информацията съдържа подробни препоръки за отстраняване на установените недостатъци, изисквания към квалификацията на обслужващия персонал. Уникалните евристични проверки ви позволяват да откривате нови уязвимости и да проверявате нестандартни системи и системи по ваш собствен дизайн.

Системата MaxPatrol ви позволява да автоматизирате и централизирате процесите на оценка на ефективността на управлението на ИТ и IS услуги, наблюдение на състоянието на информационната сигурност, съответствие със стандартите и търсене на уязвимости в информационни системи от всякакъв мащаб. Това дава възможност за своевременно получаване на пълна картина на състоянието на сигурността, както на цялата система, така и на отделни възли.

Ориз. 5. Информация за степента на съответствие на инфраструктурата на дружеството с изискванията на CIS.

Какви са предпоставките за придобиването и внедряването на системата MaxPatrol?

Често процедурите за инвентаризация, оценките на сигурността и контролът на политиките за сигурност се извършват нередовно или на дълги интервали. Това води до факта, че информацията губи своята релевантност и ситуацията излиза извън контрол. Интегрираният подход и интелигентните средства за автоматизация, внедрени в MaxPatrol, осигуряват минимизиране на разходите за труд, необходими за решаване на задачите за мониторинг на ИТ и информационната сигурност, което позволява своевременно откриване на проблеми, повишаване на управляемостта и сигурността на информационната система.

Използвайки обширната и постоянно актуализирана база от знания на MaxPatrol, администраторите могат бързо да създават шаблони за конфигурация на референтна система, да проследяват несъответстващи политики за сигурност на системата и ефективно да разрешават идентифицираните пропуски. Механизмите за генериране на отчети ви позволяват да проследявате промените в сигурността на отделни възли и отдели, както и да контролирате бизнес показатели, като степента на съответствие със стандартите, ефективността на премахване на несъответствията и нивото на контрол върху информационната инфраструктура. Фигура 5 е доклад за съответствие на PCI DSS от най-високо ниво (CIS Benchmarks).

Един от факторите, влияещи върху непрекъснатостта на ИТ услугите, ресурсите и системите, е състоянието на техните конфигурационни настройки, липсата на неоторизирани услуги и софтуер на работни станции и сървъри, наличието на инсталирани актуализации и пачове. Ежедневно се откриват нови грешки и уязвимости в приложните системи, мрежовите услуги и операционните системи.

ИТ отделите управляват голямо количество разнороден софтуер и хардуер – работни станции, сървъри и мрежово оборудване на централни и териториални офиси – които трябва да бъдат контролирани и наблюдавани за случващото се в тях. Ако това не бъде направено, управлението на ИТ инфраструктурата става невъзможно.

Като резултат:

Настройките на мрежовото оборудване не отговарят на разработените лични политики и препоръки на производителя;
- на сървърите се изпълняват неоторизирани услуги, отворени са неоторизирани портове;
на работните станции е инсталиран нелицензиран или неразрешен софтуер;
- настройките на работните станции не съответстват на разработените лични политики и препоръки на производителя;
- антивирусният софтуер не се актуализира на работни станции и сървъри;
- системният софтуер не е актуален и няма инсталирани най-новите корекции за сигурност.

Това увеличава риска от сривове и сривове в работата на ИТ услуги, ресурси и системи. Честите повреди и сривове в работата на ИТ услугите водят до дезорганизация на работните процеси и престои на служителите поради невъзможност да изпълняват служебните си задължения и в крайна сметка до икономически щети от липсата на ресурси. Трудно е да се контролира ИТ инфраструктурата без определени технически стандарти. Следователно е необходимо да се определят специфични технически изисквания (стандарти) за системите и да се контролират с помощта на подходящи средства за автоматизация. Правенето му ръчно отнема много време и е неефективно.

За подобряване на ефективността Jet Infosystems препоръчва създаването на вътрешни процеси, които осигуряват непрекъснат автоматизиран контрол на информационните системи. Контролите трябва да осъществяват постоянен мониторинг и да проследяват промените в настройките на мрежовото оборудване, операционните системи на сървърите и работните станции.

Важни стъпки:

• организира контрол на съответствието на информационните системи с вътрешните корпоративни изисквания и изискванията на производителите;
• своевременно идентифициране и отстраняване на отклонения в IP;
• оценка на ефективността на ИТ отделите и процесите за контрол на ИТ инфраструктурата.

По този начин използването на MaxPatrol ще автоматизира и централизира процесите по управление и контрол на ИТ инфраструктурата и ще предотврати различни видове инциденти. Например атаки от външни и вътрешни нарушители, използване на нелицензиран софтуер, несъответствие с изискванията на техническите стандарти и вътрешни политики. В същото време ще бъдат намалени икономическите щети от липсата на ресурси и загубата на поверителна информация и ще бъдат изпълнени редица изисквания за информационна сигурност, наложени от международните платежни системи.

От какво се състои базираното на MaxPatrol решение?

Системата MaxPatrol е базирана на тристепенна архитектура, която осигурява висока скалируемост и позволява системата да бъде внедрена в големи корпоративни мрежи. Основен компонент на продукта е MP Server - модул за управление на продукта. Това е сървърен компонент, който изпълнява всички основни функции на разпределен скенер за сигурност: сканиране, събиране на данни, обработка и запазване в база данни и генериране на отчети. Всеки MP Server включва модул MP Scanner, който извършва сканиране. Ако е необходимо, към MP сървъра могат да се добавят допълнителни скенери, което ви позволява да увеличите производителността и да вземете предвид мрежовата топология при сканиране (например наличието на защитни стени и инструменти за сигурност). В допълнение, допълнителен скенер може да бъде преместен извън изследвания мрежов сегмент и едновременно да сканира както вътре в мрежата, така и извън нея.

Консолидационен сървър (MP консолидационен сървър)натрупва информация от различни MP сървъри и ви позволява да изградите пълна картина на сигурността на голяма разпределена информационна система. Като хранилище на информация може да се използва вътрешна база данни или външна корпоративна СУБД. Като външна СУБД се използва Microsoft SQL Server 2000/2005.

Локален сървър за актуализиране (MP Local Update Server)се използва като единна опорна точка за базата от знания и изпълнимите модули на актуалните компоненти.

Мобилен сървър (MP мобилен сървър)се използва като удобен работен инструмент за одитори в областта на информационната сигурност. Това решение е идеално за тестове за проникване и одити от вътрешни одитори. Наличието на вграден модул за консолидация позволява, след проверка на географски отдалечени мрежи и поделения (или физически изолирани сегменти), резултатите да се използват в обща отчетност, изготвена от продукта, базиран на MP Consolidation Server.

Очевидно продуктът MaxPatrol е корпоративно решение за наблюдение на състоянието на информационната сигурност и е в състояние да решава проблеми от всякаква сложност във всякакъв мащаб. Решението е лесно мащабируемо, всички негови компоненти са централизирани.

Ориз. 6. Пример за архитектура MaxPatrol за географски разпределена компания.

Управление на инциденти в информационната сигурност

Управлението на инциденти в информационната сигурност в Центъра за наблюдение и управление на информационната сигурност се осъществява чрез набор от организационни процеси и процедури. Осигуряват регистрация, бърза реакция и ефективно разрешаване на инциденти със сигурността на информацията, както и пълен цикъл на работа с инциденти. Размерът на нанесените й щети зависи от това колко бързо и компетентно компанията ще реагира и разреши възникналия инцидент на информационната сигурност. В тази връзка подготовката за разрешаване на инциденти е от особено значение.

Подготвителният етап за внедряване на процесите включва планиране, определяне кой е отговорен, разделяне на отговорностите, разработване на планове за разрешаване на инциденти и др. Освен това инцидентите с ИВ се регистрират директно, реагират и разрешават.

В процеса на управление на инциденти на информационната сигурност е важно не само да ги разрешите, но и да анализирате ефективността на предприетите мерки. Необходимо е периодично да се тестват разработените планове, за да се поддържат актуални и за навременни корекции. Освен това е необходимо да се анализират възникналите инциденти, за да се вземат проактивни мерки за защита.

Ако анализът разкрие незначителни отклонения, тогава се предприемат коригиращи действия. При откриване на системни грешки, неефективност на приложените планове и т.н. се активира подготвителният етап.

Ориз. 7. Подобряване ефективността на службата за сигурност.

IS система за управление на събития (мониторинг).

Системата за управление на IS събития, която е част от Центъра, прилага интегриран подход за решаване на проблемите на събиране, анализиране (корелация) и контрол на IS събития от различни инструменти за защита. Това дава възможност за ефективно идентифициране на инциденти с ИБ в реално време с последващото им прехвърляне към системата за управление на инциденти, получаване на реални данни за анализ и оценка на риска, вземане на разумни и адекватни решения за осигуряване на ИБ.

Системата за събиране и корелация на събития за информационна сигурност е „гума“ по рода си, основен инструмент за идентифициране и разследване на инциденти с информационната сигурност. Целите на внедряването на системи за мониторинг на събития в повечето случаи са да се намалят щетите от инциденти със сигурността на информацията чрез своевременното им откриване и реагиране на тях. Чрез формализиране и автоматизиране на процеса на управление на инциденти е възможно да се постигнат намаления на разходите, както и да се повиши степента на съответствие с изискванията на руските и международните стандарти.

Въвеждането на системи от този клас спомага за значително повишаване на ефективността на услугата за информационна сигурност и ще осигури на всички технологични подразделения на компанията инструмент за автоматизирана обработка на събития.

Говорейки за ефективността на информационната сигурност, не трябва да забравяме, че ефективността се постига от действията на хората, работещи в службата за сигурност. По-долу предоставяме обобщена таблица на съответствието на ролите, изискванията и необходимите SOC инструменти за типично звено за информационна сигурност.

Според нас най-популярните и технически завършени продукти в момента са ArcSight Enterprise Security Manager, RSA enVision, Symantec Security Information Manager.
Тези продукти ви позволяват да изпълнявате почти всяка задача, свързана със събирането на събития, анализ и идентифициране на заплахи за информационната сигурност. По-долу ще разгледаме всеки от тях поотделно и ще се спрем на техните предимства и разлики.

Нека започнем прегледа с продукта ArcSight на HP, лидер на световния и руския пазар в решенията SIEM (Информация за сигурност и управление на събития).

ArcSight ESM

Фирмен продукт ArcSight, наскоро придобит от HP, в момента е лидер в индустрията, както по отношение на броя на внедряванията в Русия и в чужбина, така и по отношение на функционалността. Инсталира се както под формата на софтуер, така и под формата на софтуерни и хардуерни системи, което осигурява уникална гъвкавост при избор на архитектура за внедряване и планиране на скалируемостта на решението. Това дава възможност да се получи детайлен контрол и предвидимост на цената на системата като цяло.

Решенията на Arcsight са проектирани да събират, обработват, корелират и реагират на събития, свързани със сигурността на информацията, имат свойствата на мащабируемост, надеждност, разширяемост и устойчивост на грешки. Решенията се изграждат на базата на продукта Решение за сигурност на ArcSight Enterprise, чието ядро ​​е продуктът ArcSight ESM (Enterprise Security Manager). Този продукт осигурява събиране, обработка и съхранение на събития за сигурност, които могат да идват от различни източници. ArcSight ESMподдържа интеграция с голям брой приложни системи и устройства (общо около триста) и идва с няколко хиляди предварително инсталирани правила за корелация.

Системата включва агента Flex Connector, който позволява интеграция с всякакъв тип приложения и устройства.

Съхранението и анализът на регистрационните файлове за одит се извършва с помощта на решението ArcSight Logger- софтуерен и хардуерен комплекс, който може да улавя и анализира всички данни от одитните регистрационни файлове на организацията, осигурявайки компресирано и икономично хранилище за съхранение на логове.

За по-просто и по-ефективно събиране на информация за събития, свързани със сигурността, софтуерни и хардуерни системи могат да се използват като част от базирано на ArcSight решение. ArcSight конектори. Тези устройства са първият ешелон за събиране и обработка на събития, привеждане на регистрационните файлове във формат ArcSight. След това обработените събития от Connector Appliances се изпращат или към ESM базата данни, или към регистраторите.

Класическа продуктово базирана архитектура на решение ArcSightпредставено на С тази архитектура нормализираните събития се съхраняват в базата данни на ESM и оригиналните регистрационни файлове на събития могат да бъдат изпратени до Logger устройства за съхранение и докладване на одитори, които имат изисквания регистрационните файлове да бъдат непроменени.

Ориз. 8. Архитектура на системата за събиране и анализ на събития за информационна сигурност, базирана на продуктите на ArcSight.

За повече информация относно продуктите на ArcSight посетете уебсайта на производителя на адрес www.arcsight.com.

ArcSight ESM ви позволява да събирате и анализирате доклади за пробиви в сигурността от системи за откриване на проникване, защитни стени, операционни системи, приложения, антивирусни системи и всеки друг източник на събития. Тази информация се събира в единен център, обработва се и се анализира в съответствие с определените правила за обработка на събития, свързани със сигурността.

Технологията ArcSight ESM осигурява обработка на събития за сигурност в четири фази: нормализиране, агрегиране, корелация и визуализация. Във фазата на нормализиране и агрегиране събитията за сигурност се събират от всички системи за откриване на проникване (защитни стени, операционни системи, приложения и антивирусни системи) и се редуцират до един формат на съобщението Common Event Format (CEF). Генерираните съобщения са свързани помежду си. Корелационните механизми се основават както на статистически методи, така и на допълнително създадени правила. ArcSight ESM показва резултатите на централизирана конзола (разработена в Java технология), която работи в реално време.

Агрегирането на събития е процес на премахване на дублирани събития, за да се намали количеството на входящите данни и да се спести време за последваща обработка и анализ. Това е особено важно, например, при сканиране на портове, когато същите събития се генерират многократно от защитните стени. Агрегирането на събития също се използва за премахване на дублирания от множество IDS системи.

Корелационните механизми са не по-малко интересни и важни при работа със събития. ArcSight ESM уникално комбинира две корелационни технологии, т.е. идентифициране на атаки, които не могат да бъдат идентифицирани от едно събитие. Първият се основава на правила за корелация и разделя фалшивите доклади за нарушаване на сигурността от важни инциденти. Той активира правилата на политиката за сигурност. Сценариите за подозрителна дейност могат да бъдат създадени от разработчиците на софтуер, консултантските фирми и самите потребители. Втората технология – статистическа корелация – се основава на категоризацията и оценката на заплахите и се използва за идентифициране на потенциални пробиви и аномалии в сигурността. И двете технологии се различават по начина, по който работят и се допълват взаимно.

Можете да корелирате събития не само от регистрационните файлове на операционната система или регистрационните файлове на мрежовите устройства, но и по-сложни събития от различни SOC компоненти. Така,
Напоследък стана популярна и доказва своята ефективност схема за централизиран анализ на събития, получени от различни SOC продукти, като MaxPatrol, Imperva, IBM Guardium и дори други SIM системи, като Cisco MARS или enVision. . Това внедряване намалява скоростта на обработка на събития и увеличава шансовете за откриване на заплахи.
Използвайки възможностите за визуализация на ArcSight ESM, операторите, анализаторите и администраторите могат бързо да получат цялата информация за състоянието на сигурността на мрежата и, ако е необходимо, да разследват и да реагират на нарушения на сигурността, преди те да започнат да засягат критични информационни ресурси. Решенията на ArcSight са уникални с това, че могат да се използват както от професионалисти по сигурността, анализатори или одитори, така и от ръководители на отдели за информационна сигурност, проследяващи индикатори на високо ниво чрез конзолата за визуализация.

Ориз. 9. Комбиниране на различни SOC компоненти с помощта на ArcSight.

Внедряването на система за мониторинг, базирана на продуктите на ArcSight, дава възможност за автоматизиране на процеса на вземане на решения за реакция при събития, свързани с пробив в сигурността. В същото време използването на системи за мониторинг позволява значително да се повиши ефективността на вече инсталираните в организацията средства за защита.

Естествено възниква въпросът какви събития могат и трябва да бъдат наблюдавани? Какви отчети да конфигурирате, какви параметри да се показват на онлайн конзолата за наблюдение?

Според нашия опит, ако говорим за общите задачи и фокуса на отчетите, тогава, като правило, говорим за генериране на отчети за честотата на задействане на правилата на защитната стена и промяна на настройките на мрежовото оборудване. Това ви позволява да оптимизирате работата на защитната стена чрез регулиране на реда, в който се задействат правилата и гъвкав одит на настройките. Също така важни са докладването за наличието на антивирусни инструменти и техните актуализации на наблюдаваните системи, известяване за промени в конфигурацията на критични системи, регистриране на достъпа до одитни файлове, наблюдение на целостта на файловите данни и одит на вътрешните системни ресурси.

Ориз. 10. Пример за операционна конзола за управление на събития за анализатор.

Изпълнението на задачи, свързани с управлението на потребителски акаунти, обикновено се осъществява чрез контролиране на промените в правилата за пароли (наблюдение на промените в привилегиите на потребителските акаунти в домейна, промяна и добавяне на нови потребители, създаване на акаунти с права на локален администратор и създаване и изтриване на акаунт в рамките на кратък период от време).

Често системите от клас SIEM се позиционират като системи за наблюдение на действията на всички потребители. Това е доста неясно понятие. И така, какво може да се направи с ArcSight? Нашите експерти отбелязват, че най-интересно и ефективно е проследяването на няколко последователни (числото N е зададено в системата) неуспешни опити за регистрация в домейн в рамките на X минути, откриване на регистрация в информационната система на потребител, който е в командировка или на почивка. Освен това е полезно да се контролира използването на административен достъп до информационни системи (ресурси), използващи несигурни протоколи и използването на административни привилегии от потребители, на които не е предоставен такъв достъп. Системата с потребителски акаунти е една от уязвимостите във всяка инфраструктура. С помощта на решенията на ArcSight можете да контролирате използването на акаунти, зададени от производителя на оборудването, както и да проследявате повторното използване на потребителски акаунти, които вече са активни в системата. Системата визуално визуализира тези и други приложени задачи и ги показва на екрана, което е много удобно.

Ориз. 11. Пример за така обичания от лидерите в интерфейса ArcSight "голям червен бутон".

Почти всяка организация разполага с оборудване на Cisco в своя флот, в големите компании броят му може да достигне няколкостотин единици. Това поражда проблеми с обработката на огромен брой събития, генерирани от устройства. Някои компании ограничават задържането на регистрационни файлове до няколко часа, което прави невъзможно разследването на инциденти, които са отпреди месеци или дори седмици. Системи като ArcSight позволяват не само да съхраняват всички събития от устройствата на Cisco за дълго време, но и да решават редица приложни задачи, като откриване и предотвратяване на неоторизиран достъп до корпоративна мрежа или мрежови атаки срещу мрежа и отделни услуги. Системата може да проверява действията на администраторите на мрежово оборудване. От интересните събития те обикновено изтъкват проследяване на влизане / излизане на устройства с известие за събития за оторизация на Cisco ACO за вградени акаунти от забранени мрежови сегменти или проследяване на събития за промени в конфигурациите на оборудването на Cisco. Освен това е възможно да се проследи дейност, насочена към сканиране на мрежата или наличието на злонамерен софтуер във вътрешната мрежа на компанията. Обхватът на задачите, които трябва да се решат, е изключително широк и е ограничен само от въображението на администратора на ArcSight или специалиста по информационна сигурност.

RSA EnVision

Друг силен играч на пазара за събиране и анализ на събития за информационна сигурност, според нас, е решението RSA enVision, произведено от EMC. Платформата RSA enVision позволява на организацията да изгради единно, интегрирано решение за управление на журнали три в едно, което опростява съответствието на индустрията, подобрява сигурността и намалява риска и оптимизира ИТ инфраструктурата и поддръжката. Всички тези предимства се постигат чрез автоматично събиране, анализ, уведомяване за инциденти, одит на регистрационните файлове на събития, докладване и сигурно съхранение на всички регистрационни файлове.

Ориз. 12. Визуализация на действията на потребителите и откриване на нарушители.

Системата RSA enVision решава цял набор от проблеми. Това е събирането на събития от устройства и одит на действията на администраторите / потребителите на IS. Системата също така осигурява корелация на събития, съхранение на събития за информационна сигурност с възможност за техния последващ анализ и обработка за период от най-малко три години, контрол на събирането на данни от цялото оборудване, включително технологичните мрежи, и известяване в случай на повреди.

В същото време RSA enVision за всяко получено IS събитие съдържа следната информация:

• IP адрес (ID, име на хост) на възела;
• IP адрес (ID, име на хост) на терминала, от който са изпълнени командите;
• потребителско име;
• вид съобщение;
• час и дата на съобщението;
• оригиналното тяло на съобщението, разделено на полета.

Платформата RSA enVision ви позволява да извличате регистрационни файлове едновременно от десетки хиляди устройства, включително сървъри на Windows, защитни стени на Checkpoint и рутери на Cisco без
инсталиране на агенти върху тях, което гарантира непрекъснатост и пълнота на събирането на данни.

Йоахим Кюне, старши регионален директор продажби, HP:

„Осигуряването на безопасността и сигурността на информацията в една организация не е тривиална задача. В миналото фокусът беше върху вируси, ботове, червеи и хакове извън организацията. Сега и в близко бъдеще компаниите трябва да обръщат все повече внимание на изтичането на информация, финансовите измами и различни видове измамни действия, произтичащи от служителите на самата организация. Всички нови регулаторни изисквания и законодателни актове, свързани с информационната сигурност, са насочени към идентифициране и предотвратяване именно на тези вътрешни заплахи.

Никога не е било толкова трудно да се гарантира сигурността на бизнеса. В резултат на това стойността на автоматизираните системи за наблюдение на събития за сигурност на информацията за осигуряване на съответствие с нормативните изисквания е по-голяма от всякога. Модерна система за събиране и анализ на събития за информационна сигурност (SIEM, Security Information and Event Management system) трябва да може да събира събития за информационна сигурност, да ги анализира и идентифицира рисковете, свързани с информационната сигурност, което ще ви позволи бързо да идентифицирате, приоритизирате и предотвратявате изтичане на информация, хакерски атаки и вътрешни заплахи.

Платформата Enterprise Threat and Risk Management (ETRM), базирана на продуктите и решенията на ArcSight, ви позволява да свържете събития от различни информационни системи с информация за потребителски роли и мрежов трафик, за да идентифицирате нарушителите на информационната сигурност, да разберете какво се е случило, кога и къде. Продуктите на ArcSight са решения за настоящето и бъдещето. Ние предоставяме системата за мониторинг, от която се нуждаете днес, но технологии като виртуализация, облачни изчисления и модерни сложни бизнес приложения стават все по-важни в инфраструктурата на всяка организация. Решенията на ArcSight ни позволяват да решим проблемите с осигуряването на информационната сигурност на тези модерни услуги и технологии сега, използвайки платформата ETRM.

Повече подробности за възможностите на платформата можете да намерите на сайта на производителя www.rsa.com.

Използвайки своя собствен авангарден дизайн, IPDB архитектурата, вече внедрена в стотици организации по света, RSA enVision е в състояние да събира всички данни на всички нива на информационната инфраструктура - от мрежови устройства до приложения. Подсистемата за анализ на LogSmart IPDB анализира както входящи данни в реално време, така и вече съхранени данни. Подсистемата предоставя информация под формата на срезове от данни и отчети, които могат да задоволят широк спектър от нужди на заинтересованите страни в организацията - от ИТ отдела до отдела за сигурност, от съответствие с политиката и анализ на риска до управлението на компанията. Особеността на подсистемата LogSmart IPDB е, че тя не използва приложения на трети страни, което определя нейната безпрецедентна производителност. Този показател е изключително важен в мрежи със сложна и разклонена архитектура.

Платформата RSA enVision може да бъде разгърната или като самостоятелно plug-and-play решение, или като част от мащабируема, устойчива на грешки, разпределена архитектура, за да отговори на изискванията на голяма корпоративна мрежа. Което и решение да изберете, то ще включва целия необходим софтуер без допълнителни разходи. Уеб-базираната администрация и наличието на Event Explorer, нашия изключително усъвършенстван инструмент за анализ, осигуряват функционалност за интуитивен контрол и разширено, много подробно разследване на инциденти.

Когато се внедри като самостоятелно решение (серия ES), един функционално завършен и защитен хардуерен и софтуерен комплекс (HSC) извършва събирането, обработката, анализа и съхранението на данни.

В случай на избор на разпределена архитектура (серия LS), на необходимите места се инсталират специализирани HSC, всеки от които изпълнява своята ключова задача: локални и отдалечени колектори събират данни, сървъри за данни управляват събраните данни, а сървърите за приложения извършват анализ на данни и генериране на отчети. Самите данни могат да се съхраняват с помощта на голямо разнообразие от решения за съхранение от RSA и EMC.

Нека обърнем внимание на отличителните черти на този продукт. На първо място, заслужава да се отбележи цялостният подход на производителя към сигурността. Всеки знае продуктите SecurID на RSA, системите за съхранение на компанията-майка на RSA EMC и наскоро придобитата Netwitness, която е най-новата разработка и най-новата технология за ИТ сигурност. Това гарантира лесна интеграция на различните компоненти на системата за мониторинг и показва сериозността на подхода към информационната сигурност.
RSA enVision има редица функции, които го правят популярен и използван наравно с продуктите на ArcSight. В Русия няколко компании използват продукта enVision заедно с ArcSight, решавайки сложни проблеми на мониторинга на събитията за информационна сигурност в индустриални мрежи. Технологичното оборудване включва устройства от производители като Ericsson, Siemens, Nokia, Cisco VPN, Citrix терминални сървъри и др.

Тези задачи се появиха поради факта, че административните функции за управление на технологичното оборудване се изпълняват не от служители на компанията, а от организация на трета страна, т.е. управлението е изнесено. В тази връзка имаше нужда от тотален контрол на всички операции на подобни системи. Тук продуктът enVision се оказа по-удобен от ArcSight, тъй като първият вече има вградена IPDB система за съхранение и събраните данни се съхраняват непроменени, във формат, защитен от промени. Тези данни могат да служат като доказателствена база за разследване на инциденти и могат да се съхраняват дълго време поради различни механизми за компресиране. С IPDB технологиите устройствата RSA enVision могат да осигурят висока производителност при събиране на данни със скромни хардуерни изисквания без тежката артилерия на SAN, Oracle клъстери и други подобни.

Високата скорост на обработка на входните данни опростява процеса на настройка на системата - в началния етап на внедряване не е необходимо да се разбере кои събития да се запазят, кои да се филтрират и кои да се обработват в реално време.

Ориз. 13. Уеб интерфейс Event Explorer от RSA.

Имайте предвид, че на практика се оказа, че свързването на нестандартно устройство с лошо структуриран регистър на събития е по-лесно, отколкото в ArcSight, което изисква сложно разработване на специални конектори, дълго анализиране на формати на журнали в специализирана среда за разработка.

Освен това има специална техника, която ви позволява постепенно да свързвате нови регистрационни файлове, тоест да анализирате новите съобщения стъпка по стъпка и да ги добавяте към анализатора, докато се обработват. В същото време нови парсери могат да се използват за предварително събрани данни.

Описаните по-горе функции позволяват не само да се събират събития от конкретни устройства на индустриалната мрежа, но и да се съпоставят, както и да се идентифицират инциденти. В допълнение, в този случай корелацията може да се извърши и със събития, събрани от устройства за сигурност, работни станции и други класически източници на събития за информационна сигурност.

Ориз. 14. Лесно управление на инциденти със SSIM.

Symantec Security Information Manager

Дълго време един от най-популярните продукти в Русия за наблюдение и управление на инциденти с информационната сигурност беше продуктът Security Information Manager, произведен от Symantec. Подобно на конкурентни решения, SSIM изпълнява функциите за събиране на събития за информационна сигурност от различни устройства и приложения, анализи и идентифициране на инциденти за информационна сигурност. Въз основа на събраните данни Symantec SIM ви помага да идентифицирате, приоритизирате, анализирате и смекчите заплахите за сигурността, насочени към най-критичните ви бизнес приложения.

Картографиране в реално време на слабостите в сигурността на мрежата и хоста, използвайки услугата Глобална разузнавателна мрежа на Symantec- едно от основните предимства на този продукт, което го прави система за бърза реакция при инциденти с акцент върху гарантирането на сигурността на информационните ресурси, които са най-важни за бизнеса.

Symantec Global Intelligence Network е глобална мрежа, която използва капани за откриване на злонамерена дейност по целия свят. Цялата тази информация се обработва в правила и се използва в Symantec SIM при анализиране и корелиране на събития.

Анализът на сигурността в реално време се извършва с помощта на външен стандарт за идентифициране на заплахи за сигурността – процес, описан в отворени стандарти Работна група за разпределено управление (DMTF). Този метод осигурява класификация на заплахи и проблеми със сигурността, като се вземат предвид степента на въздействие на събитието върху околната среда, методът на атака и целевите ресурси.

Ориз. 15. Административната конзола ви позволява да проследявате не само техническа информация, но и да изграждате карти на събития от най-високо ниво.

Тази класификация, наречена Ефекти, механизми и ресурси (EMR), е в основата на системата за анализ на данни на Symantec SIM. Поради гъвкавостта на базираните на шаблони интелигентни правила, едно правило може да заеме мястото на няколко по-специфични правила, използвани в стандартните подходи. В резултат на това е много по-лесно да се поддържат и създават правила, които могат да покриват много условия.

Напомняме, че освен да събират данни, организациите трябва да спазват официалните изисквания за съхранение на архиви, като гарантират правилното функциониране на средствата за съхранение и извличане на данни. Продуктът Symantec SIM превъзхожда стандартните продукти за контрол на информацията за сигурност, базирани на релационни бази данни, които имат допълнителни първоначални разходи и изискват продължително администриране на база данни. Със Symantec SIM не се изисква администриране на база данни. Освен това записва събития в архивни файлове на посоченото място. Архивът е реализиран като самостоятелен модул, който следи използването на диска и времето за съхранение на отделните архивни файлове. Когато се достигне определено ограничение на дисковото пространство или датата на изтичане на файла, Symantec SIM изтрива старите архивни файлове, за да освободи място за нови. Можете да избирате между устройство, директно свързано устройство (DAS), мрежово свързано хранилище (NAS) или мрежа за съхранение (SAN) за съхранение на файлове. Важно предимство на Symantec SIM Archives е, че те са по-бързи от обикновените бази данни, тъй като, за разлика от няколкостотин функции на бази данни, те са оптимизирани за една задача - съхраняване на голям обем от събития. Коефициентът на компресия в Symantec SIM достига 30:1. Нормализираните данни, заедно с оригиналната информация за събитието, се улавят и съхраняват за анализ на инцидента. И накрая, архивите са цифрово подписани, за да се гарантира поверителност и цялост.

Силата на продукта е и подходът на производителя към комплексни решения. Всеки е запознат със защитата на крайна точка SEP, Symantec DLP и други решения за информационна сигурност от Symantec.

Завършвайки прегледа на основните решения в областта на мониторинга и управлението на инциденти на информационната сигурност, бих искал да отбележа следното. Всички разглеждани продукти са лидери в своята ниша и с тяхна помощ можете да решите почти всяка задача, свързана със събирането и анализа на събития за информационна сигурност.

След това нека поговорим за сравнително нова посока за Русия - решения за наблюдение на действията на потребителите в бази данни и бизнес приложения. Тази област на информационната сигурност едва набира популярност, въпреки че контролът на транзакциите в корпоративните бази данни според нас е един от ключовите моменти в цялостната система за информационна сигурност.

Наблюдение на действията на потребителите на бази данни и приложения

Системите за управление на електронни документи, хранилищата на лични данни, данните от клиентските разплащателни карти имат все по-голяма търговска стойност и се превърнаха в основна цел за нападателите. Широкото въвеждане на уеб приложения, появата на нови услуги, лавинообразното разширяване на ИТ инфраструктурата на организациите доведе до невъзможността да се контролират информационните потоци в базите данни, действията на потребителите с данни от бизнес приложения с конвенционални средства.

В отговор на тези тенденции се появиха специализирани системи, които гарантират сигурността на такива сложни, многослойни, географски разпределени системи.

Функционалността на мониторинга на активността в базите данни се опитва да бъде внедрена от всички големи производители на СУБД и бизнес приложения, но предимствата на вградените контроли също пораждат техните недостатъци. Инструментите на СУБД не са достатъчно гъвкави, за да направят разлика между потребител и нападател. Използването на собствени инструменти за регистриране води до многократно увеличаване на натоварването на сървърите, намаляване на производителността на приложенията и качеството на предоставяните услуги.

Инструментите за контрол на трафика на заявки към бази данни на трети страни се появиха на вътрешния пазар сравнително наскоро. Интересът към тези инструменти се дължи на нарастващия проблем с вътрешните нападатели, нарастващата честота на кражба на данни, както и наличието на различни нормативни документи, изискващи контрол на достъпа до чувствителни данни.

Ориз. 16. Прилагане на метода "пулиране на връзки" при организиране на достъпа до базата данни на потребителите на приложението.

Системите за одит и контрол на действията на потребителите на бази данни ви позволяват да регистрирате потребителски дейности на ниво база данни и да анализирате събраната информация. Това позволява известия в реално време и докладване за това кой каква информация има достъп и как тези действия могат да нарушат външни регулаторни изисквания или вътрешни разпоредби за сигурност.

Вече почти всяка организация използва уеб приложения (например интернет банкиране), бизнес приложения като SAP, OEBS, Siebel и частни разработки. Повечето от тези приложения работят на тристепенна архитектура. Тази архитектура е избрана за оптимизиране на производителността на приложението и е внедрена с помощта на метода „обединяване на връзки“, който използва един акаунт за достъп до базата данни. Този метод крие имената на крайните потребители на приложенията, които имат достъп до базата данни, т.е. става невъзможно да се идентифицира крайният потребител на приложението, което е поискало информацията. Ще има само един потребител на СУБД за пула за връзки - AppUser.

Този метод за организиране на достъпа на потребителите на бизнес приложения до информация, съхранявана в корпоративни бази данни, осигурява редица предимства, като например увеличаване на производителността на приложението, намаляване на натоварването на СУБД и т.н., но в същото време намалява нивото на информационна сигурност на приложение, тъй като става невъзможно да се контролират действията на крайните потребители.

По този начин, измествайки баланса в посока на повишаване на нивото на информационна сигурност, трябва да пожертвате качеството на услугите и обратно.

Оптималното решение е използването на специализирани решения, които биха поели функционалността на контрола на информационните потоци и в същото време няма да повлияят на работата на информационните системи.

Многослойната архитектура на корпоративните приложения непрекъснато се променя, необходимо е да се контролират потребителите на приложения според текущите им роли и да се обърне специално внимание на контрола на привилегированите потребители. В допълнение към потребителите на приложения, потребителите на бази данни трябва да бъдат наблюдавани чрез наблюдение както на достъп на ниво приложение, така и на директен достъп на ниво СУБД. Осигуряването на прозрачност на всички дейности е ключов момент за предотвратяване на измамни дейности. Решенията от клас DAM помагат да се контролират всички СУБД сесии (влизания, SQL код, изходи и т.н.), всички СУБД изключения (грешки, неуспешни опити за оторизация), да се блокират нежелани сесии и да се генерират известия за различни събития, свързани със сигурността на информацията. В допълнение към наблюдението на активността в базите данни, решенията от клас DAM ви позволяват да управлявате промени в DBMS обекти и среда и да управлявате уязвимостите на DBMS. Предотвратяването на изтичане на данни от базата данни се осъществява чрез проверка на извлечената информация, откриване на аномалии в работата, автоматично откриване и класифициране на критични данни.

IBM Guardium, Imperva, Oracle DBF и други наблюдават целия SQL трафик от клиента към сървъра, включително локални заявки, а не само отделни SQL заявки, конфигурирани с опции за одит на DBMS. По този начин рискът от пропускане на всяко събитие, свързано с базата данни, е сведен до минимум. Всеки достъп до базата данни се записва, след което се анализира въз основа на правилата, въведени в системата, и ако те бъдат задействани, се генерира IS събитие.

Правилата позволяват не само проследяване на такива стандартни събития като факта на влизане / излизане от базата данни, достъп до данни, промяна на структурата на базата данни и т.н., но също така ви позволяват да контролирате количеството изтеглени данни, приложението, използвано за достъп до база данни. По този начин е възможно да се проследи неоторизирано копиране или изтриване на информация, кражба на бази данни. Всички правила се задават лесно с помощта на GUI и не са необходими задълбочени познания по SQL/PL-SQL. Също така е възможно да зададете филтри за наличието на определени думи, условия в SQL заявки, да дефинирате списък с доверени потребители и източници на заявки. Такова филтриране чрез стандартни инструменти за СУБД е или невъзможно, или изисква писане на сложни SQL скриптове, като например при използване на Oracle Fine-Grained Auditing.

Политиките за сигурност се използват за предотвратяване на неоторизирана или подозрителна потребителска активност. Политиките за сигурност ви позволяват да ограничите достъпа до бази данни или конкретни таблици въз основа на различни параметри:

• потребителски акаунти;
• IP адреси;
• MAC адреси;
• мрежови протоколи;
• видове SQL команди;
• Име на приложението;. време на деня и др.

Решенията от клас DAM контролират цялата дейност в базите данни, предоставяйки подробни отчети за по-нататъшно разследване на събития, свързани със сигурността на информацията, автоматизирайки процеса на одит за съответствие с нормативните изисквания и предотвратявайки изтичане на информация. Такива отчети могат да съдържат различна информация като SQL грешки или неуспешни опити за удостоверяване; административни команди, например промяна на структурата на база данни - DDL (create, drop, alter); заявки за избор на данни (избор); команди, които управляват акаунти, техните роли и права за достъп, например DML (grant, revoke) и други команди, свързани със спецификата на СУБД.

IBM Guardium

Продуктът IBM Guardium ви позволява да реализирате пълен цикъл на информационна сигурност в базите данни. Той може автоматично да събира и класифицира информация за съществуващи бази данни и вида на данните, съхранявани в тях, така че да не пропуснете новосъздадени бази данни или тестови инсталации. Продуктът има вграден скенер за уязвимости, който ви позволява да идентифицирате и контролирате уязвимостите на СУБД сървърите. Тази функционалност до известна степен дублира функционалността на MaxPatrol, но е тясно специализирана и оптимизирана за работа със СУБД. Въпреки широкия набор от функции, реализирани в Guardium, две от тях остават най-популярни. Това е непрекъснат одит и регистриране на всички заявки в базата данни и възможност за блокиране на неоторизиран достъп до данни. Освен това блокирането на потребителските сесии на базата данни се изпълнява на ниво агент, което прави възможно да се избегне инсталирането на устройства Guardium при прекъсване на мрежата.

Агентите събират информация за всички заявки към СУБД, извършени от субектите на достъп и върнатите от тях данни, които впоследствие се изпращат до сървърите за събиране и корелация, където се взема решение за предупреждение или блокиране на достъпа.

Ориз. 17. Лесна работа с правила в Guardium.

Решението ви позволява точно да идентифицирате обекта на достъп по редица показатели, като MAC адрес или IP адрес на компютъра, от който се осъществява достъп, потребителско име в ОС, потребителско име в приложението, потребителско име в СУБД.

За всяко устройство се формира универсална политика за сигурност, формирана от три вида правила. Правила от първи клас - Правила за достъп - това са правила за контролиране на достъпа до средата, които ви позволяват да ограничите достъпа до обектите на базата данни въз основа на събраната информация. Правила от втори клас - Правила за изключения - правила за обработка на изключения, като грешки при достъп до несъществуващ обект, неуспешен опит за удостоверяване. И последният тип правила - Правила за екструзия - правила за обработка на стойности, върнати на потребителя, които анализират данните, получени от потребителя в резултат на заявка към базата данни, и решават за по-нататъшни действия.

Удобството на този подход е, че правилата могат да се комбинират за създаване на политика за сигурност, присвояване на приоритети или задаване на условията за определяне на инциденти въз основа на резултатите от обработката на правилата.

Агентите, инсталирани на всеки СУБД сървър, имат общ конфигурационен файл, който определя адреса на резервния колектор за агента, като се вземе предвид очакваното пиково натоварване на резервния колектор. По този начин всички агенти се управляват централно и в случай на повреда на едно от устройствата, натоварването се прехвърля към други устройства, което осигурява непрекъснатост на наблюдението.

Информацията, постъпваща в устройството, се свежда до типична форма, независимо от оригиналния формат (нормализирана) и филтрирана. Механизмът за определяне на необходимостта от съхраняване на тази или онази информация се определя с помощта на вътрешни правила, които съставляват политиката за сигурност на устройството.

Ориз. 18. Пример за нормализирана информация, съхранявана в базата данни Guardium.

В същото време всяка заявка се анализира и разлага на отделни полета, чиято комбинация в различни версии позволява получаване на информация под формата на произволен отчет.

В същото време Guardium предоставя възможност за регистриране не само на датата и часа на влизане (излизане) на потребителя в системата (от системата), резултата от опита за влизане (успешен или неуспешен), но и други параметри, вкл. времето, когато е извършено действие, началният час и прекратяването на сесията, протоколите за достъп до СУБД, мрежовите параметри на клиента и сървъра, потребителското име в базата данни и ОС и много други.

Възникващите инциденти, свързани със задействането на правилата за политика за сигурност, резултатите от корелацията на събитията и други резултати се качват на агрегаторното устройство. Това ви позволява да прилагате централизирано наблюдение на активността на потребителите, да разполагате с пълна информация за възникващи инциденти за всички защитени бази данни, автоматично и централно да уведомявате оторизирани служители и да управлявате процеса на реагиране на инциденти с помощта на вградената система за управление на инциденти.

Guardium предоставя вграден механизъм за съпоставяне на събития за нарушаване на правилата, за да генерира предупреждения за правилните ситуации в средата - например можете да генерирате едно предупреждение за подозрителна дейност, когато се появят множество събития, като например отказан достъп на множество СУБД сървъри от един и същ клиент IP адреси. Чрез комбиниране на правила в политики можете да създадете гъвкава система за контрол и наблюдение на достъпа до средата на СУБД.

Ориз. 19. IBM Guardium архитектура за разпределени компании. Възможно е да се събират данни както с помощта на пасивен мониторинг през SPAN порта, така и с помощта на агенти.

Основното предимство на продукта IBM Guardium е, че ви позволява да се интегрирате с почти всяко приложение, дори и домашни. Интеграцията на Guardium с приложения ви позволява да правите абсолютно прозрачни заявки от потребителите на приложения към бази данни, а корелацията на събития на ниво агрегатор ви позволява да получите пълна картина на това, което се случва в инфраструктурата на базите данни и бизнес приложенията.

Вторият силен играч на руския пазар е Imperva и нейната продуктова линия SecureSphere. Подходът на Imperva е малко по-различен от този на IBM. Продуктите от линията Imperva SecureSphere позволяват цялостна защита на уеб приложенията, както и достатъчно надеждна защита на данните, предавани чрез уеб приложения и съхранявани в бази данни. И съвсем наскоро компанията представи нов продукт в линията SecureSphere File Security, който ви позволява да наблюдавате достъпа до файлове, включително достъп от привилегировани потребители и приложения, да откривате и уведомявате за нарушения на правилата за сигурност и да блокирате, ако е необходимо.

SecureSphere File Security е част от SecureSphere Data Security Suite и се интегрира с цялостната ви база данни и сигурност на приложението.

Ориз. 20. Цялостният подход на Imperva за защита на бази данни и приложения.

Имперва

Наред с класическите инструменти за защита на периметъра и хоста (ME, IDS / IPS, криптиране на канали за данни, антивирусен софтуер и др.), се използват и допълнителни мерки за защита. Това може да бъде използване на виртуална клавиатура, карти със сесийни ключове, въвеждане на показания на картинката код, проверка на въведените данни и др. Но прилагането на такива мерки по една или друга причина не винаги е възможно. Не е необичайно служителите, разработили уеб приложения, просто вече да не работят за компанията, а също и когато е твърде трудоемко да се модифицира или промени кодът.

Недостатъкът на базовите инструменти за защита е, че те често не са достатъчно ефективни в борбата срещу атаки срещу уеб приложения. Ето защо, за да ги защитите, е необходимо да използвате специализирани средства. За да се гарантира сигурността на приложенията, се използват защитни стени за уеб приложения (WAF, Web Application Firewall). Най-често решенията от този клас са софтуерни и хардуерни системи, които прилагат набори от правила и политики за сигурност към наблюдавания HTTP трафик, преминаващ от приложения към базата данни и обратно. Тези решения ви позволяват да контролирате добре познати типове атаки като Cross-site Scripting (XSS) или SQL инжектиране. Чрез персонализиране на правила за бизнес приложения можете да откриете и блокирате много атаки. Обемът работа за извършване на това персонализиране обаче може да бъде значителен и тази работа трябва да се извърши, когато се правят промени в приложението.

Появата на решения от този клас беше повлияна от стандарта PCI DSS, който изисква защита на информацията за кредитни карти в публични уеб приложения чрез поне един от два метода: чрез анализиране на кода на уеб приложението: ръчно, чрез сканиране на изходни кодове или уязвимост оценка или чрез задаване на точково прилагане на политика за сигурност и централизиран автоматизиран метод.

Решенията от клас WAF често се наричат ​​„защитни стени за дълбока проверка на пакети“ (ITU с дълбока проверка на пакети), т.к. те анализират всяка заявка и отговор на слоевете HTTP/HTTPS/SOAP/XML-RPC/уеб услуги. В същото време данните в самата база данни остават незащитени, използването им не се следи (всъщност се проверяват само част от мрежовите заявки към базата данни, идващи от сървъра на приложения). Подобно на конвенционалните защитни стени за защита на периметъра, WAF са необходими, но не винаги достатъчни.

Устройствата SecureSphere WAF са проектирани да защитават уеб приложенията от широк спектър от заплахи. За разлика от традиционните IPS системи, устройствата SecureSphere могат да проследяват уеб сесии, да сравняват елементи на структурата на уеб приложението (бисквитки, опции, полета на формуляри и т.н.) с очакваните елементи, съхранени в техните профили, и да профилират HTTP, HTTPS и XML трафик. Сред най-честите атаки, насочени към уеб приложения, са атаките срещу бизнес логиката (подправяне на параметри), отвличане на сесия, повторение на сесия, заместване на фрагменти от данни (инжектиране на бисквитки, отравяне на бисквитки), отгатване на парола. , незаконна модификация на HTTP пакети (двойно кодиране, злонамерено кодиране ) и атаки срещу XML и SOAP.

Кое е по-добро?

Когато става въпрос за сравняване на продуктите на Imperva с IBM Guardium, има няколко ключови разлики. Първо, Guardium използва вътрешна база данни за съхраняване на данни за мониторинг и одит, докато Imperva съхранява събраните данни във файлове. И двата подхода имат както предимства, така и недостатъци. Съхраняването на данни за наблюдение в базата данни значително намалява скоростта на обработка на заявки и записи в съхранение. Но увеличава скоростта на работа с такива данни. По-лесно е да изтеглите отчет от структурирана база данни, отколкото от файлово хранилище. Второ, решението на IBM е много по-трудно за внедряване, докато продуктите на Imperva могат да бъдат поставени в режим на обучение и да изградят базова линия за няколко седмици, въз основа на която можете бързо да формирате политика за сигурност. Но трудността при внедряването на продуктите на Guardium се дължи на огромния брой настройки, параметри и функции, което от своя страна дава предимство на опитен изпълнител под формата на способността да изпълнява всяка задача. Друга ключова разлика е размерът на доставчика. Софтуерният гигант IBM осигурява отлично ниво на техническа поддръжка за потребителите, но всички промени в продукта се извършват с премереното и бавно темпо, присъщо на всички големи компании. В същото време Imperva е доста малък, няма официално представителство в Русия и техническа поддръжка за рускоезични потребители, но има възможност да прави промени в продукта възможно най-бързо и точно, задоволявайки сложни потребителски заявки .

Уредите Imperva автоматично профилират уеб приложенията, за да моделират тяхната структура. Чрез анализиране на уеб трафика за определен период от време те създават профил на стандартно поведение на приложението (автоматично бели списъци на уеб приложение и потребителска активност). След това устройствата извършват корелационен анализ на отклонения от профила със сигнатури на атака и, ако е необходимо, блокират заплахата.

Използването на профили е мощен инструмент за откриване на необичайно потребителско поведение, грешки в системната логика, определяне на типични роли и коректността на предоставяне на роли. Подобен подход е валиден за продуктите за защита на бази данни на Imperva. За да се определи базовото състояние на контролирана СУБД среда, платформата Imperva първо работи в режим на обучение за известно време, като анализира целия трафик в средата. По време на учебния процес платформата натрупва и анализира статистика за натоварването на SQL трафика. След обучение автоматично се генерират политики за тяхното разглеждане и по-нататъшно прилагане от персонала, управляващ платформата, както за нормалното функциониране на средата, така и за аномално поведение (достъп до критични данни от неизвестни IP адреси, достъп до системни таблици или копиране на данни от продуктивни системи към други машини). Необходимо е да се осигури максимална сигурност по време на периода на обучение на платформата Imperva, така че подозрителната дейност да не навлезе в основния "каст" на нормалното функциониране на средата или внимателно да анализира, редактира и приеме политиките, предложени от платформата след обучението .

Ориз. 21. Удобен интерактивен интерфейс за анализ на одитни данни.

Приложни аспекти на SOC

Всяка компания, която реши да изгради Оперативен център за информационна сигурност, на първо място очаква от SOC повишаване на ефективността при решаване на определени приложни проблеми в областта на информационната сигурност и осигуряване на подходящо ниво на информационна сигурност. Това могат да бъдат както частни задачи за защита на информацията и оперативно управление, така и изпълнението на всякакви изисквания в областта на информационната сигурност. След това ще разгледаме основните приложни аспекти на прилагането на SOC в руската реалност.
На първо място, това е защитата на личните данни и данните за притежателите на платежни пластмасови карти.

SOC и защита на личните данни

Необходимостта от гарантиране на сигурността на личните данни в наше време е обективна реалност. Информацията за човек е от голяма стойност. Освен това в ръцете на измамник той се превръща в оръжие за престъпление, в ръцете на уволнен служител - в средство за отмъщение, в ръцете на вътрешен човек - продукт за продажба на конкурент. Ето защо личните данни днес имат нужда от най-сериозна защита!

Днес едва ли е възможно да си представим дейността на една организация без обработка на информация за дадено лице. Във всеки случай организацията съхранява и обработва данни за служители, клиенти, партньори и доставчици. Изтичане, загуба или неразрешена промяна на лични данни води до непоправими щети, а понякога и до пълно спиране на дейността на компанията.
Разбирайки важността и стойността на информацията за дадено лице, както и като се грижи за спазването на правата на своите граждани, държавата изисква от организациите да осигурят надеждна защита на личните данни. Федералният закон на Руската федерация от 27 юли 2006 г. N 152-FZ „За личните данни“ урежда отношенията, свързани с обработката и защитата на информация, която принадлежи на физически лица (субекти на лични данни).

Личните данни се отнасят до „всяка информация, принадлежаща на конкретно физическо лице, или данни, които могат еднозначно да идентифицират такова лице“. Това може да бъде фамилия, име, бащино име, година, месец, дата и място на раждане, адрес, семейство, социално, имотно състояние, образование, професия, доход, друга информация, принадлежаща към субекта на ПД.

Операторът на ПД е „държавен орган, общински орган, юридическо или физическо лице, организиращо или извършващо обработването на лични данни, както и определящо целите и съдържанието на обработването на лични данни“, т.е. , всички организации, които имат собствени отдели по човешки ресурси, съхраняват и обработват данни за клиенти, партньори, контрагенти и др.

Руското законодателство предвижда гражданска, наказателна, административна, дисциплинарна и друга отговорност за нарушаване на изискванията на Федерален закон № 152 „За личните данни“.
Системата за защита на PD е неразделна част от цялостната система за сигурност на организацията (използват се съществуващите разработки на информационната сигурност на организацията, ако е необходимо, се създават нови системни компоненти, които се интегрират без влошаване на производителността и не усложняват инфраструктурата).

Системата за защита PD повишава действителната сигурност и допринася за изпълнението на бизнес изискванията за опазване на търговската тайна.

При изграждането на SOC като част от внедряването на системата за защита на личните данни, специалистите на нашата компания използват съвременни технологии от водещи производители в областта на защитата на информацията. Те включват по-специално решения от класа за управление на информацията за сигурност (ArcSight, Symantec, RSA envision), наблюдение на активността на базата данни (IBM Guardium, Imperva), управление на идентичността и управление на правата на информация (Oracle), предотвратяване на загуба на данни („Jet Infosystems“ , Symantec, RSA), Configuration&Vulnerability Management (Positive Technologies).

Продукти от класа Security Information Management, като ArcSight, Symantec SIM и RSA enVision, се използват за осигуряване на централизирано управление на системата за защита на личните данни, което е изискване на точка 2.4. раздел II. Методи и средства за защита на информацията от неоторизиран достъп Заповед на FSTEC на Русия № 58 от 5 февруари 2010 г. Тези системи събират, анализират (корелират) и контролират събитията за информационна сигурност от различни инструменти за сигурност, което позволява ефективно идентифициране на информационната сигурност инциденти в реално време, с последващото им прехвърляне към системата за управление на инциденти в информационната сигурност, за получаване на реални данни за анализ и оценка на риска, за вземане на информирани решения за осигуряване на информационна сигурност и защита на личните данни.
Решенията за защита на бази данни, като IBM Guardium, Imperva и Oracle, ви позволяват да реализирате функциите за регистрация и счетоводство (в съответствие с параграф 2.3 от раздел II. Методи и методи за защита на информацията от неоторизиран достъп на Заповед на FSTEC на Русия № 58 от 5 февруари 2010 г.) изисква всички потребители към бази данни, съдържащи лични данни, без да намалява производителността на СУБД сървърите и да засяга значително инфраструктурата на информационните системи. Продукти от това ниво са особено необходими в големи географски разпределени организации. По този начин решенията на IBM Guardium действат като единна точка за контрол на достъпа за всички потребители, включително привилегированите, до бази данни на всеки производител.

Изискването за предоставяне на анализ на сигурността в съответствие с точка 2.2 от раздел II. Методи и средства за защита на информацията от неоторизиран достъп Заповед на FSTEC на Русия № 58 от 5 февруари 2010 г. се прилага от специалисти от Jet Infosystems с помощта на продукта MaxPatrol от Positive Technologies. Тази система ви позволява да провеждате редовна инвентаризация на IP ресурси, да идентифицирате уязвимостите, свързани с грешки в софтуерната конфигурация на информационните системи за лични данни, които могат да бъдат използвани от нарушител за атака на системата, да наблюдавате промените в настройките на мрежовото оборудване, операционните системи на сървърите и работни станции.

SOC и PCI DSS

Като част от всеки проект за привеждане на инфраструктурата в съответствие с изискванията на PCI DSS, могат да бъдат идентифицирани няколко ключови бизнес задачи. Първо, необходимо е да се опрости максимално процеса на одит, и второ, да се спестят външни одитори, както и да се ограничи достъпът на одиторите до критична информация. И, разбира се, съхранявайте данните от одита за дълго време, така че винаги да имате бърз достъп до необходимите отчети.

Нашите експерти твърдят, че изпълнението на всички изисквания на PCI DSS и решаването на вътрешните проблеми на клиента се извършва най-лесно и ефективно с помощта на инструментите на Security Operations Center.

Изискванията на стандарта PCI DSS по отношение на СУБД съдържат редица изисквания, които са необходими за изпълнение и се изпълняват от нашите специалисти като част от проекти за привеждане на инфраструктурата в съответствие със стандарта. Всяка система за обработка на платежни карти трябва да може да контролира появата на данни за платежни карти в обекти, които не осигуряват тяхното съдържание. Съгласно изискване 6.1 на стандарта PCI DSS трябва да се проследяват инсталираните актуализации за защита и възможността за извършване на виртуални актуализации. Изискване 6.2 уточнява необходимостта от класиране на откритите уязвимости за по-нататъшното им ефективно отстраняване. Съответствието с PCI DSS изискване 8.5.8 трябва да може да открива използването на групови, споделени или вградени акаунти. Изисквания 10.2.1 на стандарта PCI DSS по отношение на СУБД говори за необходимостта от регистриране на всеки достъп до данните на платежни карти. Тъй като данните за платежните карти се съхраняват в бази данни, е необходимо да се контролира достъпът на всички потребители до базите данни и особено на привилегированите потребители, както е посочено в изискване 10.2.2. Необходимо е да се контролира не само достъпът до данните, но и всички действия, извършвани с администраторски права. Освен това е необходимо не само да се следи достъпът до данните на разплащателната карта, но също така, в съответствие с изискване 10.2.3, да се гарантира, че достъпът до всички регистрационни файлове на събития се регистрира. Изискване 10.2.4 на стандарта PCI DSS по отношение на СУБД гласи, че е необходимо да могат да се регистрират неуспешни опити за логически достъп и 10.2.5 относно необходимостта да се регистрира използването на механизми за идентификация и удостоверяване. Необходимо е също така да се регистрира създаването и изтриването на системни обекти на СУБД сървъра и да се гарантира, че регистрационните файлове са защитени от промени. Изискване 11.3 задължава да се търсят уязвимости и грешки в конфигурацията и средата на СУБД.

Всички тези и някои други изисквания за контрол на действията на потребителите, които имат достъп до данните на разплащателните карти, могат да бъдат успешно изпълнени само с помощта на SOC решения. Очевидно е невъзможно да се регистрират всички събития, да се контролират регистрационните файлове, да се проверяват за уязвимости и да се предпазват от течове по неавтоматизиран метод.

SOC и вътрешни задачи

Освен че отговарят на изискванията на редица регулатори, SOC са предназначени да решават бизнес проблемите на клиентите. Тези задачи включват борба с измамите и организиране на взаимодействие между отделите за ИТ и информационна сигурност с разработването на единни правила, стандарти за информационна сигурност и контрол върху тяхното прилагане.

Понякога сме изправени пред много ясна, но тясна задача, като контролиране на промени или изтриване на фактури, качване на конкретни отчети, достъп до застрахователни полици на определени служители или наблюдение на съответствието на определени настройки на мрежовото оборудване с изискванията за информационна сигурност.

Обхватът на задачите, решавани с помощта на SOC, е необичайно широк. Можете да внедрите почти всяка функционалност, която изисква събиране на информация, нейната обработка и разработване на мерки за реагиране, независимо дали става въпрос за мрежово оборудване, работни станции, бази данни или технологично оборудване, например базови станции на телеком оператори.

Накрая

Въпреки факта, че центровете за оперативно управление на информационната сигурност в Русия все още не са много разпространени, вече има уникален опит в изграждането на такива центрове и примери, които могат да се използват като пример за всички организации. В момента има около 50 внедрявания на системи за мониторинг и управление на инциденти в информационната сигурност, базирани на продуктите ArcSight ESM, Symantec SIM и RSA enVision. Лидерството в тази област в Русия уверено се държи от ArcSight, който има повече от 30 внедрявания. Броят на инсталациите на MaxPatrol също варира около 50, но трябва да се има предвид, че MaxPatrol е сравнително нов продукт, който се появи на пазара преди няколко години и според прогнозите на експертите до края на 2011 г. Базираните на MaxPatrol системи за управление на уязвимостите може да достигнат сто. В областта на защитата на бази данни с наложени средства броят на внедряванията на продуктите Guardium, Imeprva, Embarcodero и Netforensics Dataone вече надхвърли петдесет и не само телекомуникационни компании и големи банки, тъй като те традиционно обръщат внимание на информационната сигурност, но и компании от индустриалния сектор проявяват интерес към такива продукти., малки доставчици на услуги и дори държавни компании, тъй като продуктите са сертифицирани от FSTEC, придобивайки способността да защитават поверителна информация в правителствени организации.

Окуражаващо е, че нарастващ брой компании не само прилагат различни защити, но вече се възползват напълно от пълноценните SOC. От най-известните центрове за оперативно управление на информационната сигурност могат да се откроят SOC в Beeline, MTS, TNK-BP и редица други големи организации, информация за които можете да намерите в мрежата.

Не е ли време да помислите за всички прелести и предимства на организирането на Оперативен център за информационна сигурност във вашата компания?