Bygga soc. Den säkraste SOC
Träffade förkortningar: SiP och SoC. Vad är detta?
SiP-tekniken (System-in-Package) blir gradvis mer och mer populär som ett alternativ till SoC (System-on-Chip, ”system-in-chip”), åtminstone för trådlösa lösningar.
Skillnaden mellan dessa två tillvägagångssätt ligger i det faktum att i det första fallet kombineras flera integrerade kretskristaller (chips) i ett paket, och i det andra exekveras alla noder i den framtida färdiga lösningen på en.
Samtidigt, när man använder SoC-teknik, måste designers lägga mer tid på att utveckla anslutningar, optimera arrangemanget av element etc.
Valet mellan SoC och SiP är alltid väldigt svårt.
Men eftersom många tillverknings- och designproblem har lösts eller är nära att lösas, blir SiP en mer attraktiv teknik när det finns lite tid att skapa en färdig produkt.
Detta gäller särskilt när det finns noder för olika standarder i systemet (till exempel kärnlogikprocessorn för cellulär kommunikation, Wi-Fi och Bluetooth), eller när tillverkaren försöker "implementera i kisel" teknologi som inte har gått igenom standardiseringsprocessen.
Kostnaden och utvecklingstiden för SoCs växer exponentiellt med ökande designkomplexitet, medan SiPs växer nästan linjärt.
Om analoga komponenter finns i designen kräver deras optimala prestanda ofta användning av produktionsstandarder som inte på något sätt är minimivärdet.
Därför, om produktionen av logiska IC:er nu går igenom 65 nm-steget och går mot lägre standarder, så kan bara närvaron av analoga komponenter i designen få tillverkaren att välja SiP.
Dessutom låter denna teknik dig placera ett tillräckligt antal passiva element direkt inuti höljet.
Det är troligt att för helt logiska konstruktioner kommer SoCs som ger stor bekvämlighet för slutprodukttillverkare fortfarande att vara attraktiva under lång tid framöver.
SiPs används ofta i små elektroniska enheter som smartphones och wearables.
SoC kan hjälpa utvecklare att påskynda antagandet av nya protokoll som Bluetooth 5 SoC, vilket gör det lättare att integrera Bluetooth 5 i nya produkter.
AMD Radeon Software Adrenalin Edition Driver 19.9.2 Tillval
Den nya AMD Radeon Software Adrenalin Edition 19.9.2 Valfri drivrutin förbättrar prestandan i Borderlands 3 och lägger till stöd för Radeon Image Sharpening.
Windows 10 kumulativ uppdatering 1903 KB4515384 (tillagd)
Den 10 september 2019 släppte Microsoft den kumulativa uppdateringen för Windows 10 version 1903 - KB4515384 med ett antal säkerhetsförbättringar och en fix för en bugg som bröt Windows Search och orsakade hög CPU-användning.
Driver Game Ready GeForce 436.30 WHQL
NVIDIA har släppt drivrutinspaketet Game Ready GeForce 436.30 WHQL, som är designat för optimering i spel: "Gears 5", "Borderlands 3" och "Call of Duty: Modern Warfare", "FIFA 20", "The Surge 2" och "Code Vein", fixar ett antal buggar som setts i tidigare utgåvor och utökar listan över skärmar i kategorin G-Sync-kompatibla.
Diskussioner om SOC Forum, som ägde rum i Moskva i mitten av november, slutar inte på sociala nätverk och bloggar. Ordföranden för plenarsektionen, Oleg Sedov, bad talarna att inte bråka om termer och definitioner och lämnade detta för vidare diskussion. Jag skulle vilja återgå till det uppskjutna ämnet genom att prata om termer, eller snarare, om existensen av SIEM utan SOC och SOC utan SIEM.
Vad betyder "O"?
SOC Forumdeltagare gav en mängd olika svar på frågan om vad SOC är. Vissa definitioner har för alltid kommit in i samlingen av aforismer av evenemanget och är värda att nämna: "SOC och informationssäkerhetstjänsten är en och samma", "SOC är en kikare", "Du kan slå in vad som helst i en SOC-omslag, till och med knyt regulatorer ovanpå med en rosett.” Jag var särskilt nöjd med svaret "i SOC är bokstaven "O" överflödig, och allt är klart."
Och om allt är riktigt klart med säkerhetscentret, vad betyder då den rymliga bokstaven "O" i förkortningen? I vid mening förstås Operations som operativa aktiviteter, som i sin tur är "en funktion som syftar till att kontinuerligt utföra åtgärder för produktion av samma produkt eller tillhandahållande av en återkommande tjänst." Det visar sig att i vårt sammanhang är Operations en kontinuerlig implementering av processen för att säkerställa informationssäkerhet eller kontinuerligt bevarande av säkerhetstillståndet för informationstillgångar. Och nyckelordet här är "kontinuerlig".
Har informationssäkerhetstjänsten skapat sin egen SOC genom att introducera ett dussin klasser av informationssäkerhetsverktyg? Utför IS-tjänsten funktionerna för SOC, som på begäran behandlar ansökningar och godkänner/återkallar åtkomsträttigheter, utfärdar en EDS, föreskriver regler om brandväggar? Är det korrekt att kalla SOC processen att lappa hål efter en annan skada? Uppenbarligen inte.
Förresten, för västerländska kollegor är inte allt klart med terminologin. "Det speciella teamet, här betecknat som SOC, kan hänvisas till olika i olika organisationer: CSIRT (Computer Security Incident Response Team - datorsäkerhetsincidentresponsteam), CIRC (Computer Incident Response Center - datorincidentsvarscenter), CERT (Computer Security Incident Response Team) Emergency Response Team - datornödteam) eller många andra varianter som använder orden "nätverk", "dator", "cyber", "incident", "operativ", "skydd" eller "företag" (C. Zimmerman. Ten Strategies av ett verksamhetscenter för cybersäkerhet i världsklass, 2014). Men - känn skillnaden: medan det ryska professionella samfundet pratar om vad SOC är, kallar västerländska kollegor hela generationer av SOC.
Ernst & Youngs analytiker räknade till exempel tre generationer. Tidiga SOC:er förlitade sig på varningar för kända virus- och intrångssignaturer, vilket gjorde det möjligt för organisationer att identifiera välkända attackprofiler. Andra generationens SOC har kommit att inse behovet av att arbeta 24x7 och implementera aktiva informationsskyddsverktyg för att minska tidsfönstret mellan upptäckten av en känd attack och dess blockering. Den tredje generationen av SOC kompletteras med informationsutbytesprocesser, analys av attacktrender och använda verktyg, och är utrustad med funktioner för att hitta avvikelser i stora datamängder – allt detta för implementering av proaktiv övervakning och skydd.
En mer detaljerad uppdelning, i fem generationer, genomfördes av konsulter från HP Security Intelligence and Operations Consulting (SIOC). De analyserade utvecklingen av SOC-ämnet från 1975 till 2014, och började med isoleringen av uppgiften att regelbundet granska revisionsloggarna för informationssäkerhetshändelser och slutade med genereringen av proaktiva metoder för att hitta attackvektorer som ännu inte har implementerats mot företag.
SIEM finns, men SOC dök aldrig upp
Nyligen togs ett intressant ämne upp i en av bloggarna: är SIEM en produkt eller en process? Först och främst är SIEM (Security Information and Event Management) en produkt med logiken för insamling, aggregering och filtrering, sammanslagning, lagring och sökning, korrelation, meddelande och svar, visualisering, analys/utredning av informationssäkerhetshändelser. Men tillsammans med produkten får användaren vanligtvis en beskrivning av funktionerna och instruktionerna, och dessa är redan processer. För vissa informationssäkerhetstjänster kommer köp av en sådan produkt att bli utgångspunkten i implementeringen av SIEM-processer, medan andra tvärtom kommer att behöva en flexibel SIEM-produkt som kan anpassas för att passa företagets befintliga SIEM-processer. Ja, det händer att vissa SIEM-processer redan finns, men det finns ingen SIEM-produkt ännu.
Du kan ta en närmare titt på de processer som är byggda kring SIEM-produkten. Det finns många utländska rekommendationer i detta ämne, till exempel föreslås det att dela upp processer i tre grupper (A. Chuvakin. SIEM analytics: Process matters more than products).
- Grundläggande (stödjande) processer beskriver följande procedurer:
- samla in och upprätta en revision av källorna till informationssäkerhetshändelser;
- bedöma kvaliteten på SIEM-arbetet och dess utveckling;
- SIEM-innehållsinställningar (regler, rapporter, instrumentpaneler, etc.).
- Efterlevnadsprocesser beskriver följande procedurer:
- regelbunden granskning av händelserapporter för informationssäkerhet;
- svar på identifierad bristande efterlevnad av myndighetskrav
- De processer som är förknippade med kontinuerlig realtidsövervakning och utredningar (dessa är av största praktiska intresse) beskriver följande procedurer:
- bestämma i vilken ordning incidentmeddelanden behandlas;
- profilering av användarnas och systemens beteende för att stänga av falska varningar;
- analys av inkommande IoC (kompromissindikatorer) och bedömning av deras relevans för infrastruktur och händelsekällor i SIEM;
- svar på identifierade informationssäkerhetsincidenter;
- minska sannolikheten för att bearbetade incidenter ska upprepas.
Varje procedur innehåller ett antal föreskrifter och instruktioner. Ett team av informationssäkerhetskonsulter kan sammanställa flera dussin dokument på olika nivåer, baserat på ett antal rekommendationer, till exempel NIST SP 800-92 "Guide to Computer Security Log Management" och SP 800-61 R2 "Computer Security Incident Handling Guide ". Den allmänna inriktningen för dessa dokument tror jag dock är tydlig.
Vad är SOC?
Under de senaste åren har SIEM-integratörer och -tillverkare aktivt introducerat till massorna idén att SOC är "SIEM-plattform + SIEM-processer + människor". Hur korrekt är denna formel, är något viktigt glömt?
Vad som har uppnåtts utomlands är generaliseringen av åsikter och att fylla begreppet SOC med de idéer och funktioner som de flesta experter håller med om. "SOC är ett centraliserat företagssäkerhetsövervakningsteam skapat för att minska riskerna för en organisation genom att använda teknologier och processer för att upptäcka incidenter, innehålla dem, analysera och minska skador" (Creating an SOC, SANS, 2015). Var uppmärksam på nyckelpunkten "för att minska riskerna i organisationen", vilket för det första indikerar en förståelse för riskerna, och för det andra, målmedvetet främjande av verksamheten i riktning mot att minska dem.
Det visar sig att SOC inte börjar med människor och teknologier, utan först och främst med en förståelse för uppdraget och toppuppgifterna för sådana aktiviteter i företaget. Att bygga en SOC kräver att man definierar nyckeltal för framgång och nyckeltal för att uppnå dem. Frånvaron av ett affärsmål vid köp av SIEM kommer att göra hela SIEM-processen till en principlös övervakning, som enligt Solar Securitys statistik kommer att sluta vara intressant för 80 % av företagen om ett år.
Följande idéer kan användas för att skapa en SOC:
- förebyggande av cyberbrott som syftar till att snabbt ta ut pengar från företaget;
- upprätthålla säkerheten för företagets informationstillgångar under perioder av fusioner och förvärv;
- förebyggande av bedrägerier med kundkonton och stöld av pengar;
- förhindrande av kompromettering av kritisk kundinformation som tas emot för bearbetning;
- upptäckt av överträdelser av ordningen för företagshemligheter eller hantering av andra typer av konfidentiell information.
Listan över dokument som, enligt tio strategier för ett cybersäkerhetsoperativcenter i världsklass, måste utvecklas för att organisera sådana aktiviteter i ett företag, kommer att hjälpa dig att äntligen "känna" SOC:
- SOC:s stadga, undertecknad av organisationens chef,
- definierar SOC:s uppdrag och ansvar;
- SOC-befogenheter - kompletterar SOC-stadgan med en beskrivning av SOC:s skyldigheter och ålägger andra avdelningar i företaget att hjälpa till att uppnå SOC:s mål och mål;
- SOC-utvecklingsplan - en uppsättning kortsiktiga och långsiktiga uppgifter som är förståeliga för SOC-teamet och externa partners;
- operativa, funktionella och systemkrav för genomförandet av SOC-uppgifter;
- SOC budget;
- beskrivning av övervakningsdelsystemets arkitektur m.m.
Så en SIEM-produkt inuti SOC är en av teknikerna för att automatisera rutinuppgifter relaterade till bearbetning av loggar. I princip kan SOC utan SIEM uppnå mål på hög nivå - den enda frågan är effektiviteten och mognaden hos de metoder som används. Enligt HP SIOC, som genomförde mer än 110 granskningar av 87 SOC, uppfyllde dock inte en enda SOC utan SIEM ens den lägsta mognadsnivån.
Den mest fullständiga förståelsen för hur SOC bör organiseras kommer från Ernst & Youngs rapport "SOC against cybercrime". Det kan hävdas att SOC börjar med ledningsstöd, uppdragsdefinition, investeringar och strategiutveckling, fortsätter med rekrytering, att bygga en metodik, använda nödvändig teknologi och miljö för att minimera informationssäkerhetsrisker, analysera trender och periodisk rapportering, och slutar med kontinuerlig förbättringsprocesser.
De flesta av SOC-uppgifterna (främst bearbetning av informationssäkerhetshändelser i SIEM, attacktrendanalys, aggregering av hotinformation, incidentutredning) kan läggas ut på en MSSP-leverantör. Men du förstår, det är svårt att lägga ut idén och uppdraget med att lansera en SOC i ett företag, ansvar för incidenter och förluster. Och ansvaret för MSSP-leverantören bör diskuteras separat inom en snar framtid.
Förutsättningar för skapandet av Centrum för operativ informationssäkerhetsledning
Enligt ryska informationssäkerhetsexperter är informationssäkerhetsnivån i ryska företag för närvarande inte särskilt hög jämfört med västerländska, men utvecklingstakten är många gånger högre. Detta beror inte bara på nya regler och lagar, såsom 152-FZ, PCI DSS, STO BR, utan också insikten om att informationssäkerhet måste hanteras på allvar, systematiskt bygga processer. Annars finns det en risk att inte bara förlora infrastrukturelement, utan också att ådra sig verkliga ekonomiska förluster.
Sisyfeiskt arbete
I en snabbt utvecklande infrastruktur finns det nu inte dussintals enheter, utan hundratals och till och med tusentals. Vissa routrar eller brandväggar kan vara flera dussin. Alla passerar genom en enorm mängd information, alla händelser som inträffar på enheter registreras i interna loggar. Men de är i själva verket värdelösa, eftersom det är omöjligt att centralt övervaka så många händelser, göra analyser och identifiera incidenter som bryter mot informationssäkerhetspolicyn.
Så, till exempel, i nästan alla organisationer ser vi en situation där användaråtkomst till finansiell information och transaktioner i databaser inte loggas. Och i händelse av obehörig åtkomst eller läckage av information från databasen är det omöjligt att spåra vem som gjort ändringar i tabellerna, varifrån åtkomsten gjordes och vem som kopierade kritisk data.
Följaktligen, trots det enorma antalet antivirus, skärmar och andra aktiva informationsskyddsverktyg, finns det ingen enskild bild av vad som händer i infrastrukturen. Alla skyddselement är individuellt konfigurerade och fungerar, men det finns ingen enskild länk mellan dem som skulle möjliggöra effektiv användning av en uppsättning skyddsverktyg, identifiera incidenter så snabbt som möjligt och lära sig att agera proaktivt.
Hur kan du förbättra effektiviteten hos den nuvarande uppsättningen av informationssäkerhetsverktyg, olika nätverksutrustning och applikationer? Jet Infosystems experter ser en lösning på många aktuella problem med att tillhandahålla informationssäkerhet och öka effektiviteten av företagsskydd när man bygger ett kontrollcenter för informationssäkerhet. Låt oss definiera vad vi menar med detta koncept, vilka element som kan inkluderas, hur man uppnår effektivitet i att identifiera och eliminera incidenter med informationssäkerhet.
SOC praxis i Ryssland
Innan vi uttrycker ett expertutlåtande och ger några rekommendationer kommer vi att överväga flera metoder för att organisera kontrollcenter för informationssäkerhet i Ryssland. Generellt sett är SOC en del av den övergripande informationssäkerhetshanteringsprocessen tillsammans med riskhantering, kontroll av informationsläckage och åtkomstkontroll. I de flesta ryska företag som bygger SOC:er pågår alla dessa processer parallellt med utvecklingen av en informationssäkerhetsstrategi.
Huvudsaken är människor
Låt oss titta på specifika, de mest slående exemplen. En av de största kontrollcentralerna för informationssäkerhet tillhör en telekomoperatör. Företaget täcker flera länder och har över 40 000 anställda. Sådana skalor ger sina egna särdrag för arbetet med information, särskilt när det gäller att registrera händelser relaterade till informationssäkerhet. Security Operations Center bygger på tre grundläggande områden - processer, människor och teknik. Varje SOC-medlem känner till sina roller och ansvarsområden, regler för att svara och processer för att interagera med andra.
Implementerat i detta företag, täcker flera huvudområden. För det första är det ett undersystem för insamling och korrelation av informationssäkerhetshändelser som samlar in loggar från mer än 2000 enheter. Data kommer från olika källor - från nätverksenheter, applikationer, operativsystem, databaser. Databastransaktionsövervakningsundersystemet täcker alla större DBMS från olika tillverkare och versioner. Databasskyddsundersystemet är integrerat i SOC och är en av källorna till informationssäkerhetshändelser som är tillgängliga för analys i huvudövervakningskonsolen. Delsystemet för att övervaka tillståndet för informationssäkerhet och kontrollera sårbarheter utvecklas aktivt, vilket också är en del av ett komplex av informationssäkerhetsteknologier.
Det unika med detta företags SOC ligger i dess integrerade syn på informationssäkerhet. Fokus ligger inte så mycket på teknik, utan på processer och människor. Det är företagets anställda som ger snabba svar på händelser och incidenter, identifierar och eliminerar sårbarheter och potentiella hot så snabbt som möjligt. Tack vare en enda instrumentpanel samlar de centralt in information från olika delsystem i realtid.
Arbetsfördelning
Ett annat intressant exempel på hur man bygger ett Information Security Operations Center kommer från ett företag inom oljeindustrin. Faktum är att företagets ledning förväntar sig SOC-indikatorer för säkerheten för kritisk data, hastigheten för att identifiera och eliminera incidenter, samt ett antal andra SLA-indikatorer. Detta företag bestämde sig för att själv fastställa de kritiska indikatorerna för informationssäkerhetsnivån och inte bygga sitt eget kontrollcenter för informationssäkerhet, utan att ge dessa funktioner till ett entreprenörsföretag som specialiserat sig på informationssäkerhet. I det här fallet gjorde alla det han var bra på. Oljebolaget ställde krav utifrån verksamhetens behov och expertbolaget löste problem som ledde till önskat resultat.
Dessa är de två mest slående exemplen i ryska företag. Båda är effektiva och löser affärsproblem lika bra. Om du planerar att utveckla ett kontrollcenter för informationssäkerhet i ditt företag, bör du först och främst vara uppmärksam på branschens särdrag, nivån på högsta ledningens krav för informationssäkerhet och behovet av att separera hanteringsfunktioner för informationssäkerhet i en separat funktionell enhet.
Mer betyder inte bättre
Operational Information Security Management Center - garantier och förtroende för nivån på informationssäkerhet
Ett av de mest kraftfulla verktygen för att effektivt hantera informationssäkerheten för alla företag är Security Operations Center (SOC), som låter dig kontrollera och upprätthålla den informationssäkerhetsnivå som verksamheten kräver.
Som erfarenheten visar är säkerheten för företagets kritiska affärsprocesser, inklusive informationssäkerhet, ett av kraven på modern affärspraxis. I detta avseende implementerar företag en uppsättning organisatoriska och tekniska åtgärder för att säkerställa informationssäkerhet. Införandet av endast skyddsmedel ger dock som regel ingen förståelse för hur den mottagna informationssäkerhetsnivån motsvarar den erforderliga, och är därför tyst om effektiviteten av hela informationssäkerhetssystemet som helhet . Interna och externa revisioner är inte tillräckliga för att lösa detta problem, eftersom de är periodiska.
Utan konstant övervakning av informationssäkerhet i realtid är det extremt svårt att ha fullständig och tillförlitlig information om befintliga händelser och sårbarheter, aktuella inställningar och hur skyddsverktygen fungerar korrekt.
Företag implementerar samtidigt en del av processerna för ledningssystemet för informationssäkerhet (ISMS) i enlighet med ISO 27001-standarden (IS incidenthanteringsprocess, sårbarhetshantering, förändringshantering, kontroll av efterlevnad av lagar och branschkrav), och uppfyller även en del av kraven i PCI DSS-standarden (kraven i avsnitt 1, 6 , 10, 11, 12).
I företag med utvecklad IT-infrastruktur och ett stort antal olika skyddsverktyg är det mycket problematiskt att bygga en helhetsbild utan specialiserade tekniska medel.
Dessutom är de implementerade säkerhetsverktygen endast inriktade på att minska sannolikheten för informationssäkerhetsincidenter. Om en incident inträffar, utan omedelbart ingripande, kan skadan från den bli mycket allvarlig. Därför är det viktigt att reagera i tid på incidenter som identifieras under övervakningen.
Samtidigt kommer de växande kraven från lagstiftning och förordningar inom informationssäkerhetsområdet (FZ nr. 152 "On Personal Data", PCI DSS, ISO / IEC 27001:2005, SOX, Basel II, STO BR IBBS-1.0- 2006, STR-K) talar om behovet av att följa dem och genomföra regelbundna kontroller av deras genomförande.
Snabb respons på incidenter, sårbarhetshantering och kontroll av efterlevnaden av kraven i lagar, förordningar och interna företagspolicyer, det är ganska svårt för företag att snabbt och korrekt kontrollera tillståndet för säkerhetsnivån för överensstämmelse med den nödvändiga, samt upprätthålla säkerheten på rätt nivå.
Enligt våra experters slutsatser är det i regel ingen effektiv strategi för att säkerställa informationssäkerheten i ett företag att bara bygga upp skyddsverktyg utan att lösa dessa problem.
Centralisering av operativ informationssäkerhetshantering
Jet Infosystems informationssäkerhetscenter har utvecklat och implementerar en heltäckande lösning på de uppgifter som diskuterats ovan - Security Operations Center (SOC).
IS Operations Management Center är en uppsättning relaterade och fungerande IS-hanteringsprocesser (övervakning, IS-incidenthantering, sårbarhetshantering, tillgångsinventering, förändringshantering, säkerhetspolicykontroll) och deras automatisering genom implementering av nära sammankopplade och kompletterande relevanta tekniska system:
- IS-tillståndsövervakning (IS-händelseövervakning, granskning av användaråtgärder, sårbarhetshantering/konfigurationskontroll);
- hantering av incidenter för informationssäkerhet;
- kontroll av efterlevnaden av kraven i lagstiftning, internationella och industristandarder, interna företagspolicyer.
SOC ger en komplett bild av det aktuella tillståndet för informationssäkerhet i företaget, vilket gör att du snabbt kan eliminera upptäckta avvikelser och säkerställa den specificerade nivån av informationssäkerhet. Med dess hjälp kan du spåra informationssäkerhetsrelaterade händelser som inträffar i informationssystemet, analysera och jämföra dem med annan data, kontrollera befintliga sårbarheter, kontrollera konfigurationer, spåra graden av efterlevnad av kraven i lagstiftning, förordningar och företagspolicyer, och snabbt svara på identifierade incidenter IB.
IS Operational Management Center låter dig övervaka och hantera företagets informationssäkerhet i realtid, vara säker på att den erforderliga nivån av IS-underhåll uppnås och upprätthålls, övervaka uppnåendet av de uppsatta målprestandaindikatorerna (KPI) för IS-underhåll.
Nyckelfaktorerna för att säkerställa effektiviteten hos sådana centra är: genomförandet av processer
övervakning, sårbarhet och incidenthantering; korrekt ansvarsfördelning mellan anställda inom företaget; utveckling och implementering av regelverk för att reagera på informationssäkerhetsincidenter och deras efterföljande analys.
Ris. 1. Driftcentral för informationssäkerhet.
IS statlig övervakning
IS tillståndsövervakning omfattar flera system.
IS händelsehantering (övervakning) system (Security Information Management System, SIMS) implementerar ett integrerat tillvägagångssätt för att lösa problemen med att samla in, analysera (korrelera) och övervaka informationssäkerhetshändelser som kommer från olika säkerhetsverktyg. Det hjälper till att lösa följande uppgifter:
- . hantering av en stor mängd informationssäkerhetshändelser;
- få en fullständig bild av vad som händer i informationssystemet ur informationssäkerhetssynpunkt;
- övervaka den nuvarande säkerhetsnivån (övervaka uppnåendet av specificerade prestandaindikatorer (KPI) för underhåll av IS);
- snabb upptäckt av informationssäkerhetsincidenter;
- få verkliga data för riskanalys och bedömning;
- fatta välgrundade beslut om informationssäkerhetshantering;
- överensstämmelse med kraven i lagstiftning och förordningar för övervakning av informationssäkerhetshändelser (ISO/IEC 27001:2005, PCI DSS, STO BR IBBS, Federal Law No. 152-FZ
"Om personuppgifter" etc.).
Händelsehanteringssystem för informationssäkerhet finns representerade på marknaden. De skiljer sig åt i funktionalitet, utbud av uppgifter som ska lösas, omfattning. Jet Infosystems använder de mest flexibla, kraftfulla och ständigt förbättrade produkterna som har högkvalitativ teknisk support i Ryska federationen och OSS-länderna: , Symantec Security Information Manager (SSIM).
Revisionssystem för användaråtgärder tillhandahåller registrering och analys av användaråtgärder (främst på databasnivå), skickar aviseringar i realtid och förbereder rapporter om vem som får tillgång till vilken information och hur dessa åtgärder kan bryta mot kraven från externa tillsynsorgan eller interna informationssäkerhetsreglerföretag.
Kontrollsystemet för användaråtgärder kontrollerar skadliga användaråtgärder, skyddar mot läckor av konfidentiell information och ger svar på frågorna: "Vem? Vad gjorde du? När? Var? Var? Var? Med vilka medel?", förbereder rapporter på olika nivåer (från företagets chef till administratören av informationssäkerhet).
Jet Infosystems informationssäkerhetscenter implementerar ett system för granskning av användaråtgärder baserat på väl beprövade produkter IBM Infosphere Guardium och Imperva, varav den första integreras enkelt med ArcSight ESM-produkter, och den andra har en av de mest kraftfulla webbapplikationsbrandväggarna på marknaden (Web Application Firewall).
Sårbarhetshantering/konfigurationskontrollsystemet tillhandahåller realtidsdata om befintliga sårbarheter, spårar dynamiken i deras eliminering, övervakar förändringar och automatiserar uppgifter som resursinventering och konfigurationskontroll. Sökandet efter sårbarheter hos kritiska resurser genomförs löpande på olika sätt: nätverksskanning, penetrationstester, systemkontroller, säkerhetsanalys av DBMS och webbapplikationer. Jet Infosystems implementerar detta system baserat på produkten MaxPatrol (positiv teknik).
Hantering av incidenter inom informationssäkerhet
Incidenthanteringssystem för informationssäkerhet utför registrering, snabb respons och effektiv lösning av informationssäkerhetsincidenter, genomför en hel cykel av arbete med dem. Storleken på skadorna beror på hur snabbt och kompetent företaget reagerar och löser den informationssäkerhetsincident som uppstått. Därför är det särskilt viktigt att förbereda sig för att lösa incidenten.
I det förberedande skedet ingår planering, fastställande av ansvariga, ansvarsuppdelning, utvecklingsplaner för att lösa incidenter etc. Därefter registreras informationssäkerhetsincidenter direkt och besvaras med efterföljande lösning.
Ris. 2. Incidenthanteringssystem för informationssäkerhet.
I processen att hantera informationssäkerhetsincidenter är det viktigt att inte bara lösa dem, utan också att analysera hur effektivt denna process är organiserad. Det är nödvändigt att regelbundet testa de utvecklade planerna för att hålla dem uppdaterade och förbättras i tid. Dessutom är det viktigt att analysera tidigare incidenter för att ytterligare anpassa nuvarande praxis och vidta proaktiva skyddsåtgärder.
Om analysen avslöjar mindre avvikelser vidtas korrigerande åtgärder. Om systemfel upptäcks upptäcks dock de tillämpade planernas ineffektivitet osv. - aktivering av det förberedande skedet.
Byggnad Incidenthanteringssystem för informationssäkerhet innebär implementering av en process för hantering av informationssäkerhetsincidenter och (valfritt) dess automatisering.
Efterlevnadskontroll
Efterlevnadskontrollsystem låter dig utföra regelbundna tekniska kontroller av informationssystemens överensstämmelse med företagets interna säkerhetspolicyer, tekniska standarder, regulatoriska krav, internationella standarder, etc.
Detta system ger en möjlighet att definiera en intern standard baserad på internationella standarder (ISO 27001), tillverkarens rekommendationer, "best practice" NSA, NIST, CIS, interna krav. Och övervakar även ständigt efterlevnaden av standarder för nätverksutrustning, applikationssystem (ERP, CRM), UNIX- och Windows-operativsystem, olika DBMS.
Jet Infosystems implementerar ett efterlevnadskontrollsystem baserat på MaxPatrol-produkter (Positive Technologies).
Hur bygger man Security Operations Center?
Det finns olika alternativ för att bygga en SOC beroende på graden av mognad och företagets nuvarande uppgifter: från implementering av individuella system till komplexa lösningar. Vid implementering av komplexa storskaliga projekt i ett antal situationer är ett stegvis genomförande optimalt, när omfattningen av SOC i varje skede utökas både när det gäller territoriell täckning (till exempel först - huvudkontoret, sedan - regioner) och funktionell system (IS händelsehanteringssystem, efter - sårbarhetshanteringssystem).
Hur använder man SOC för att lösa affärsproblem?
Enligt vår uppfattning är effektiviteten av implementering och användning av tekniska medel maximal om företaget tydligt förstår de uppgifter som ska lösas med hjälp av SOC-verktyg. Nedan finns en sammanfattningstabell med möjliga uppgifter på hög nivå som Information Security Operations Center hjälper till att lösa.
Vi har bara tagit hänsyn till en del av de mest typiska uppgifter som en företagsledning kan ställa för en avdelning som säkerställer företagets informationssäkerhet. Men det är värt att notera att de listade frågorna är en förutsättning för utbyggnaden av Information Security Operational Control Center.
Vilka fördelar får ett företag när man implementerar SOC?
För det första, med hjälp av SOC, blir det möjligt att organisera en process för kontinuerlig förbättring av skyddsåtgärder för att säkerställa säkerheten. Konstant analys av aktuella händelser och informationssäkerhetsincidenter, att ta reda på orsakerna till deras förekomst med inblandning av olika avdelningar gör att vi kan utvärdera effektiviteten av nuvarande skyddsåtgärder, förstå deras brister och utveckla förslag för att ersätta eller justera dem.
För det andra minskar införandet av SOC direkta och indirekta kostnader. Med en liten personalstyrka, när det "inte finns tillräckligt med händer", låter SOC dig minska de resurser som krävs för manuell bearbetning av informationssäkerhetshändelser och med en ökning av antalet kontrollerade skyddsmedel. Samtidigt kräver det inte en ökning av personalen, utan tvärtom låter det dig optimera de anställdas arbete genom att föra data till en konsol och automatisera den pågående analysen av informationssäkerhetshändelser.
För det tredje, med hjälp av kontrollcentret för informationssäkerhet, är det möjligt att separera kontrollbefogenheterna över IT-system. Säkerhetsverktyg, deras administration och drift ligger som regel under IT-avdelningens jurisdiktion, medan informationssäkerheten endast tilldelas kontrollfunktioner. SOC är kanske det enda kontrollverktyget i händerna på informationssäkerhetsavdelningar, vilket gör det möjligt för dem att spåra åtgärder i IT-system, vilket objektivt minskar inflytandet från den mänskliga faktorn och ökar informationssäkerheten i företaget.
För det fjärde är närvaron av Operational Management Center helt enkelt nödvändig under fusions- eller förvärvsförfarandet. Det operativa ledningscentret tillåter dig att effektivt bringa det anslutna företaget i linje med de informationssäkerhetsstandarder som antagits i moderorganisationen. SOC gör det möjligt att inte bara snabbt upptäcka avvikelser, utan också att spåra deras eliminering med möjligheten att ställa in och kontrollera relevanta nyckeltal för de avdelningar som ansvarar för sammanslagningen.
Och slutligen förfinar uppgifterna från SOC avsevärt riskbedömningen, som ligger till grund för valet av vissa skyddsåtgärder. Dessutom minskar formaliseringen av rutiner företagets indirekta kostnader, eftersom frågor om godkännanden utan kvalitativ motivering tar en betydande del av de anställdas arbetstid.
Med vilka medel uppnås dessa mål och mål? Låt oss ta en snabb rundtur i tekniken i Information Security Operations Center.
Ris. 3. En tabell med möjliga uppgifter på hög nivå som Information Security Operations Center hjälper till att lösa.
Komponenter i Operational Information Security Management Center
Som nämnts tidigare är SOC en uppsättning organisatoriska och tekniska åtgärder. Ett företag som bestämmer sig för att implementera SOC måste först och främst ta hand om att skapa en separat division eller grupp av specialister som hanterar centret. Dessa bör vara analytiker, administratörer och operatörer av centraliserade övervakningskonsoler. Det är lika viktigt att formalisera processerna för att identifiera och lösa informationssäkerhetsincidenter. Och om den organisatoriska delen är ännu mer eller mindre tydlig, så står de flesta kunder inför när man väljer teknik
med svårigheter.
Ris. 4. Fördelning av sårbarheter efter typ av kritik.
MaxPatrol - IS-tillståndsövervakningssystem
IS-tillståndsövervakningssystemet är ett av de grundläggande och rekommenderade för implementering i de första stadierna av att bygga ett företagsinformationssäkerhetssystem. Jet Infosystems använder MaxPatrol-produkter tillverkade av Positive Technologies som en teknisk plattform för att bygga SOC.
MaxPatrol är ett expertsystem som används för att upptäcka fel i skyddet av IT-resurser. Tillämpningen av systemet tillåter:
- hålla information om IT-parken uppdaterad;
- upptäcka obehöriga ändringar i tid;
- automatiskt utföra inspektioner för att hålla datorsystem i ett säkert tillstånd.
Som en konsekvens av allt ovanstående låter systemet dig upptäcka och omedelbart eliminera säkerhetsluckor. Huvudmålen med att använda systemet är vanligtvis att övervaka effektiviteten i informationssäkerhetsprocesser, kontrollera förändringar och säkerhetspolicyer, inventera IT-tillgångar och bedöma säkerheten i företagets infrastruktur.
MaxPatrol-lösningen är ett expertklasssystem. Dess viktigaste komponent är en dagligen uppdaterad kunskapsbas som innehåller omfattande information om befintliga IS-hot (virus, trojaner, sårbarheter i tillämpningsprogram, etc.). Kunskapsbasen underhålls av ledande branschexperter. Informationen innehåller detaljerade rekommendationer för att eliminera de identifierade bristerna, krav på underhållspersonalens kvalifikationer. Unika heuristiska kontroller låter dig upptäcka nya sårbarheter och kontrollera icke-standardiserade system och system av din egen design.
MaxPatrol-systemet låter dig automatisera och centralisera processerna för att utvärdera effektiviteten av IT- och IS-tjänsthantering, övervaka tillståndet för informationssäkerhet, överensstämmelse med standarder och söka efter sårbarheter i informationssystem av vilken skala som helst. Detta gör det möjligt att i tid få en fullständig bild av säkerhetsläget, både av hela systemet och av enskilda noder.
Ris. 5. Information om graden av överensstämmelse av företagets infrastruktur med CIS-krav.
Vilka är förutsättningarna för anskaffning och implementering av MaxPatrol-systemet?
Ofta utförs inventeringsprocedurer, säkerhetsbedömningar och kontroll av säkerhetspolicyer oregelbundet eller med långa intervaller. Detta leder till att informationen förlorar sin relevans, och situationen blir utom kontroll. Ett integrerat tillvägagångssätt och intelligenta automationsverktyg implementerade i MaxPatrol säkerställer minimeringen av arbetskostnader som krävs för att lösa IT- och informationssäkerhetsövervakningsuppgifter, vilket möjliggör snabb upptäckt av problem, vilket ökar informationssystemets hanterbarhet och säkerhet.
Med hjälp av MaxPatrols omfattande och ständigt uppdaterade kunskapsbas kan administratörer snabbt skapa referensmallar för systemkonfiguration, spåra icke-kompatibla systemsäkerhetspolicyer och effektivt lösa identifierade luckor. Mekanismer för rapportgenerering låter dig spåra förändringar i säkerheten för enskilda noder och avdelningar, samt kontrollera affärsmått, såsom graden av efterlevnad av standarder, effektiviteten av att eliminera inkonsekvenser och nivån på kontroll över informationsinfrastrukturen. Figur 5 är en PCI DSS-överensstämmelserapport på toppnivå (CIS Benchmarks).
En av faktorerna som påverkar kontinuiteten för IT-tjänster, resurser och system är tillståndet för deras konfigurationsinställningar, frånvaron av obehöriga tjänster och programvara på arbetsstationer och servrar, närvaron av installerade uppdateringar och patchar. Nya buggar och sårbarheter upptäcks dagligen i applikationssystem, nätverkstjänster och operativsystem.
IT-avdelningar hanterar en stor mängd heterogen mjukvara och hårdvara - arbetsstationer, servrar och nätverksutrustning på huvudkontor och territoriella kontor - som måste kontrolleras och övervakas för vad som händer i den. Om detta inte görs blir det omöjligt att hantera IT-infrastrukturen.
Som ett resultat:
Inställningar för nätverksutrustning överensstämmer inte med tillverkarens utvecklade privata policyer och rekommendationer;
- obehöriga tjänster körs på servrarna, obehöriga portar är öppna;
olicensierad eller obehörig programvara installeras på arbetsstationer;
- Inställningar för arbetsstationer motsvarar inte tillverkarens utvecklade privata policyer och rekommendationer;
- Antivirusprogramvaran uppdateras inte på arbetsstationer och servrar;
- Systemprogramvaran är inte uppdaterad och har inte de senaste säkerhetskorrigeringarna installerade.
Detta ökar risken för fel och fel i driften av IT-tjänster, resurser och system. Frekventa misslyckanden och misslyckanden i arbetet med IT-tjänster leder till desorganisering av arbetsprocesser och stillestånd för anställda på grund av oförmåga att utföra sina arbetsuppgifter, och i slutändan till ekonomisk skada på grund av bristande resurser. Det är svårt att kontrollera IT-infrastruktur utan vissa tekniska standarder. Därför är det nödvändigt att definiera specifika tekniska krav (standarder) för system och kontrollera dem med hjälp av lämpliga automationsverktyg. Att göra det manuellt är mycket tidskrävande och ineffektivt.
För att förbättra effektiviteten rekommenderar Jet Infosystems att skapa interna processer som ger kontinuerlig automatiserad kontroll av informationssystem. Kontroller måste implementera konstant övervakning och spåra förändringar i inställningarna för nätverksutrustning, operativsystem för servrar och arbetsstationer.
Viktiga steg:
- att organisera kontroll av överensstämmelse av informationssystem med interna företagskrav och tillverkarnas krav;
- identifiera och eliminera avvikelser i IP i tid;
- utvärdera effektiviteten hos IT-avdelningar och IT-infrastrukturkontrollprocesser.
Användningen av MaxPatrol kommer således att automatisera och centralisera processerna för att hantera och kontrollera IT-infrastrukturen, och förhindra olika typer av incidenter. Till exempel attacker från externa och interna inkräktare, användning av olicensierad programvara, avvikelse med kraven i tekniska standarder och interna policyer. Samtidigt kommer de ekonomiska skadorna från bristande resurser och förlust av konfidentiell information att minska och ett antal informationssäkerhetskrav som ställs av internationella betalningssystem kommer att uppfyllas.
Vad består en MaxPatrol-baserad lösning av?
MaxPatrol-systemet är baserat på en arkitektur i tre nivåer, vilket säkerställer hög skalbarhet och gör att systemet kan implementeras i stora företagsnätverk. Huvudkomponenten i produkten är MP Server - en produkthanteringsmodul. Detta är en serverkomponent som utför alla huvudfunktionerna i en distribuerad säkerhetsskanner: skanna, samla in data, bearbeta och spara dem i en databas och generera rapporter. Varje MP-server inkluderar en MP Scanner-modul som utför skanning. Vid behov kan ytterligare skannrar läggas till MP-servern, vilket gör att du kan öka prestanda och ta hänsyn till nätverkstopologin vid skanning (till exempel närvaron av brandväggar och säkerhetsverktyg). Dessutom kan ytterligare en skanner flyttas utanför det studerade nätverkssegmentet och samtidigt skanna både inom och utanför nätverket.
Consolidation Server (MP Consolidation Server) samlar information från olika MP-servrar och låter dig bygga en helhetsbild av säkerheten i ett stort distribuerat informationssystem. En intern databas eller en extern företags-DBMS kan användas som ett arkiv med information. Microsoft SQL Server 2000/2005 används som ett externt DBMS.
Lokal uppdateringsserver (MP Local Update Server) används som en enda stödpunkt för kunskapsbasen och körbara moduler av aktuella komponenter.
Mobilserver (MP Mobile Server) används som ett bekvämt arbetsverktyg för revisorer inom informationssäkerhetsområdet. Denna lösning är idealisk för penetrationstester och revisioner av internrevisorer. Närvaron av en inbyggd konsolideringsmodul gör det möjligt att, efter att ha kontrollerat geografiskt avlägsna nätverk och divisioner (eller fysiskt isolerade segment), använda resultaten i allmän rapportering som utarbetats av produkten baserad på MP Consolidation Server.
Uppenbarligen är MaxPatrol-produkten en företagslösning för att övervaka informationssäkerhetens tillstånd och kan lösa problem av vilken komplexitet som helst i vilken skala som helst. Lösningen är lätt skalbar, alla dess komponenter är centraliserade.
Ris. 6. Ett exempel på MaxPatrol-arkitekturen för ett geografiskt distribuerat företag.
Hantering av incidenter inom informationssäkerhet
Informationssäkerhetsincidenthantering inom Information Security Monitoring and Management Center implementeras av en uppsättning organisatoriska processer och procedurer. De tillhandahåller registrering, snabba svar och effektiv lösning av informationssäkerhetsincidenter, samt en hel cykel av att arbeta med incidenter. Storleken på skadorna beror på hur snabbt och kompetent företaget reagerar och löser den informationssäkerhetsincident som uppstått. I detta avseende är förberedelser för att lösa incidenter av särskild vikt.
I det förberedande skedet för genomförandet av processer ingår att planera, fastställa vem som är ansvarig, separera ansvar, ta fram planer för att lösa incidenter m.m. Vidare registreras IS-incidenter direkt, besvaras och löses.
I processen att hantera incidenter med informationssäkerhet är det viktigt att inte bara lösa dem, utan också att analysera effektiviteten av de åtgärder som vidtas. Det är nödvändigt att regelbundet testa de utvecklade planerna för att hålla dem uppdaterade och för snabba justeringar. Dessutom är det nödvändigt att analysera de incidenter som inträffat för att kunna vidta proaktiva skyddsåtgärder.
Om analysen avslöjar mindre avvikelser vidtas korrigerande åtgärder. Om systemfel upptäcks, de tillämpade planernas ineffektivitet etc. upptäcks, aktiveras förberedelsesteget.
Ris. 7. Förbättring av säkerhetstjänstens effektivitet.
IS händelsehanteringssystem (övervakning).
IS-händelsehanteringssystemet, som är en del av centret, implementerar ett integrerat tillvägagångssätt för att lösa problemen med att samla in, analysera (korrelera) och kontrollera IS-händelser från olika skyddsverktyg. Detta gör det möjligt att effektivt identifiera IS-incidenter i realtid med deras vidare överföring till incidenthanteringssystemet, för att få verklig data för riskanalys och bedömning, att fatta rimliga och adekvata beslut för att säkerställa IS.
Insamlings- och korrelationssystemet för informationssäkerhetshändelser är ett "däck" i sitt slag, ett grundläggande verktyg för att identifiera och utreda informationssäkerhetsincidenter. Målen med att implementera händelseövervakningssystem är i de flesta fall att minska skadorna från informationssäkerhetsincidenter genom att snabbt upptäcka och reagera på dem. Genom att formalisera och automatisera incidenthanteringsprocessen är det möjligt att uppnå kostnadsminskningar, samt att öka graden av överensstämmelse med kraven i ryska och internationella standarder.
Införandet av system av denna klass hjälper till att avsevärt öka effektiviteten för informationssäkerhetstjänsten och kommer att förse företagets alla tekniska divisioner med ett verktyg för automatiserad händelsebearbetning.
På tal om effektiviteten av informationssäkerhet, får vi inte glömma att effektivitet uppnås genom åtgärder från personer som arbetar inom säkerhetstjänsten. Nedan ger vi en sammanfattande tabell över överensstämmelsen mellan roller, krav och nödvändiga SOC-verktyg för en typisk informationssäkerhetsenhet.
Enligt vår mening är de mest populära och tekniskt kompletta produkterna just nu ArcSight Enterprise Security Manager, RSA enVision, Symantec Security Information Manager.
Dessa produkter låter dig implementera nästan alla uppgifter relaterade till insamling av händelser, analys och identifiering av hot mot informationssäkerheten. Nedan kommer vi att överväga var och en av dem separat och uppehålla oss vid deras fördelar och skillnader.
Låt oss börja granskningen med HP:s ArcSight-produkt, världs- och rysk marknadsledare inom SIEM-lösningar (Security Information and Event Management).
ArcSight ESM
Företagsprodukt ArcSight, som nyligen förvärvats av HP, är för närvarande branschledande, både när det gäller antalet implementeringar i Ryssland och utomlands, och när det gäller funktionalitet. Den installeras både i form av mjukvara och i form av mjuk- och hårdvarusystem, vilket ger unik flexibilitet i val av implementeringsarkitektur och planering av lösningens skalbarhet. Detta gör det möjligt att få detaljerad kontroll och förutsägbarhet av kostnaden för systemet som helhet.
Arcsights lösningar är designade för att samla in, bearbeta, korrelera och svara på informationssäkerhetshändelser, har egenskaperna skalbarhet, tillförlitlighet, töjbarhet och feltolerans. Lösningar byggs utifrån produkten ArcSight Enterprise Security Solution, vars kärna är produkten ArcSight ESM (Enterprise Security Manager). Denna produkt tillhandahåller insamling, bearbetning och lagring av säkerhetshändelser som kan komma från olika källor. ArcSight ESM stöder integration med ett stort antal applikationssystem och enheter (cirka trehundra totalt) och kommer med flera tusen förinstallerade korrelationsregler.
Systemet inkluderar Flex Connector-agenten, som möjliggör integration med alla typer av applikationer och enheter.
Lagring och analys av revisionsloggar utförs med hjälp av lösningen ArcSight Logger- ett mjukvaru- och hårdvarukomplex som kan fånga och analysera all data i organisationens revisionsloggar, vilket ger ett komprimerat och ekonomiskt arkiv för lagring av loggar.
För enklare och effektivare insamling av information om säkerhetshändelser kan mjukvara och hårdvara användas som en del av en ArcSight-baserad lösning. ArcSight-anslutningar. Dessa enheter är den första delen av insamling och bearbetning av händelser, vilket för loggarna till formatet ArcSight. Därefter skickas de bearbetade händelserna från Connector Appliances antingen till ESM-databasen eller till Loggarna.
Klassisk produktbaserad lösningsarkitektur ArcSight presenteras den Med denna arkitektur lagras normaliserade händelser i ESM-databasen, och de ursprungliga händelseloggarna kan skickas till Logger-enheter för lagring och rapportering till revisorer som har krav på att loggar ska vara oförändrade.
Ris. 8. Arkitektur av systemet för att samla in och analysera informationssäkerhetshändelser baserat på ArcSight-produkter.
För mer information om ArcSight-produkter, besök tillverkarens webbplats på www.arcsight.com.
ArcSight ESM låter dig samla in och analysera rapporter om säkerhetsintrång från intrångsdetekteringssystem, brandväggar, operativsystem, applikationer, antivirussystem och alla andra händelser. Denna information samlas in i ett enda centrum, bearbetas och analyseras i enlighet med de angivna reglerna för bearbetning av händelser relaterade till säkerhet.
ArcSight ESM-tekniken tillhandahåller bearbetning av säkerhetshändelser i fyra faser: normalisering, aggregering, korrelation och visualisering. I normaliserings- och aggregeringsfasen samlas säkerhetshändelser in från alla system för intrångsdetektering (brandväggar, operativsystem, applikationer och antivirussystem) och reduceras till ett enda meddelandeformat för Common Event Format (CEF). De genererade meddelandena är korrelerade med varandra. Korrelationsmekanismer bygger på både statistiska metoder och dessutom skapade regler. ArcSight ESM visar resultaten till en centraliserad konsol (utvecklad i Java-teknik) som fungerar i realtid.
Händelseaggregering är processen att ta bort dubbletter av händelser för att minska mängden inkommande data och spara tid för efterföljande bearbetning och analys. Detta är särskilt viktigt, till exempel vid skanning av portar, när samma händelser upprepade gånger genereras av brandväggar. Händelseaggregation används också för att ta bort dubbletter från flera IDS-system.
Korrelationsmekanismer är inte mindre intressanta och viktiga när man arbetar med händelser. ArcSight ESM kombinerar unikt två korrelationsteknologier, d.v.s. identifiering av attacker som inte kan identifieras från en enskild händelse. Den första är baserad på korrelationsregler och skiljer falska rapporter om säkerhetsintrång från viktiga incidenter. Det aktiverar säkerhetspolicyreglerna. Misstänkta aktivitetsscenarier kan skapas av mjukvaruutvecklare, konsultföretag och användare själva. Den andra tekniken - statistisk korrelation - baseras på kategorisering och bedömning av hot och används för att identifiera potentiella säkerhetsöverträdelser och anomalier. Båda teknikerna är olika i sättet de fungerar och kompletterar varandra.
Du kan korrelera händelser inte bara från operativsystemloggar eller nätverksenhetsloggar, utan också mer komplexa händelser från olika SOC-komponenter. Så,
Nyligen har ett system för att centralisera analysen av händelser som tas emot från olika SOC-produkter, såsom MaxPatrol, Imperva, IBM Guardium och till och med andra SIM-system, som Cisco MARS eller enVision, blivit populärt och bevisar dess effektivitet.
. Denna implementering minskar hastigheten på händelsebearbetningen och ökar chanserna att upptäcka hot.
Genom att använda visualiseringsfunktionerna hos ArcSight ESM kan operatörer, analytiker och administratörer snabbt få all information om nätverkets säkerhetsstatus och vid behov undersöka och svara på säkerhetsöverträdelser innan de börjar påverka kritiska informationsresurser. ArcSights lösningar är unika genom att de kan användas av både säkerhetsproffs, analytiker eller revisorer, såväl som chefer för informationssäkerhetsavdelningar, som spårar indikatorer på hög nivå genom visualiseringskonsolen.
Ris. 9. Kombinera olika SOC-komponenter med ArcSight.
Implementeringen av ett övervakningssystem baserat på ArcSight-produkter gör det möjligt att automatisera beslutsprocessen för att svara på säkerhetsintrång. Samtidigt gör användningen av övervakningssystem det möjligt att avsevärt öka effektiviteten hos de skyddsmedel som redan är installerade i organisationen.
Frågan uppstår naturligtvis, vilka händelser kan och bör övervakas? Vilka rapporter ska konfigureras, vilka parametrar ska visas på onlineövervakningskonsolen?
Enligt vår erfarenhet, om vi pratar om rapporternas allmänna uppgifter och fokus, talar vi som regel om att generera rapporter om hur ofta brandväggsregler utlöses och inställningar för nätverksutrustning ändras. Detta gör att du kan optimera driften av brandväggen genom att reglera i vilken ordning regler utlöses och flexibel granskning av inställningar. Viktiga är också rapportering om förekomsten av antivirusverktyg och deras uppdateringar på övervakade system, meddelanden om konfigurationsändringar av kritiska system, loggning av åtkomst till revisionsfiler, övervakning av fildatas integritet och granskning av interna systemresurser.
Ris. 10. Ett exempel på en operativ händelsehanteringskonsol för en analytiker.
Att utföra uppgifter relaterade till att hantera användarkonton implementeras vanligtvis genom att kontrollera ändringar i lösenordspolicyn (övervaka ändringar i användarkontoprivilegier i domänen, ändra och lägga till nya användare, skapa konton med lokala administratörsrättigheter och skapa och ta bort ett konto inom en kort period av tid).
Ofta är SIEM-klasssystem placerade som system för övervakning av alla användares handlingar. Detta är ett ganska vagt koncept. Så vad kan göras med ArcSight? Våra experter noterar att den mest intressanta och effektiva spårningen av flera på varandra följande (talet N är inställt i systemet) misslyckade försök att registrera sig på domänen inom X minuter, upptäckt av registrering i informationssystemet för en användare som är på affärsresa eller på semester. Dessutom är det användbart att kontrollera användningen av administrativ åtkomst till informationssystem (resurser) med hjälp av osäkra protokoll och användningen av administrativa privilegier av användare som inte har beviljats sådan åtkomst. Användarkontosystemet är en av sårbarheterna i vilken infrastruktur som helst. Med hjälp av ArcSight-lösningar kan du styra användningen av konton som ställts in av utrustningstillverkaren, samt spåra återanvändningen av användarkonton som redan är aktiva i systemet. Systemet visualiserar visuellt dessa och andra tillämpade uppgifter och visar dem på skärmen, vilket är mycket bekvämt.
Ris. 11. Ett exempel på den "stora röda knappen" som är så älskad av ledarna i ArcSight-gränssnittet.
Nästan alla organisationer har Cisco-utrustning i sin flotta, i stora företag kan antalet nå flera hundra enheter. Detta ger upphov till problem med bearbetningen av ett stort antal händelser som genereras av enheter. Vissa företag begränsar lagringen av loggar till några timmar, vilket gör det omöjligt att undersöka incidenter som är månader eller till och med veckor gamla. System som ArcSight tillåter inte bara att lagra alla händelser från Cisco-enheter under lång tid, utan också lösa ett antal tillämpade uppgifter, som att upptäcka och förhindra obehörig åtkomst till ett företagsnätverk eller nätverksattacker på ett nätverk och enskilda tjänster. Systemet kan granska åtgärderna hos administratörer av nätverksutrustning. Av de intressanta händelserna pekar de vanligtvis ut spårning av in-/utgång till enheter med meddelande om auktoriseringshändelser på Cisco ACO för inbyggda konton från förbjudna nätverkssegment eller spårningshändelser om ändringar i Ciscos utrustningskonfigurationer. Dessutom är det möjligt att spåra aktivitet som syftar till att skanna nätverket eller förekomsten av skadlig programvara på företagets interna nätverk. Utbudet av uppgifter som ska lösas är extremt brett och begränsas endast av fantasin hos ArcSight-administratören eller informationssäkerhetsspecialisten.
RSA EnVision
En annan stark aktör på marknaden för insamling och analys av informationssäkerhetshändelser, enligt vår mening, är RSA enVision-lösningen tillverkad av EMC. RSA enVision-plattformen gör det möjligt för en organisation att bygga en enda, integrerad, tre-i-ett-logghanteringslösning som förenklar efterlevnad i branschen, förbättrar säkerheten och minskar riskerna samt optimerar IT-infrastruktur och underhåll. Alla dessa fördelar uppnås genom automatisk insamling, analys, incidentmeddelanden, granskning av händelseloggar, rapportering och säker lagring av alla loggar.
Ris. 12. Visualisering av användaråtgärder och upptäckt av överträdare.
RSA enVision-systemet löser en hel rad problem. Detta är insamlingen av händelser från enheter och granskningen av administratörers/IS-användares åtgärder. Systemet tillhandahåller även händelsekorrelation, lagring av informationssäkerhetshändelser med möjlighet till efterföljande analys och bearbetning av dem under en period av minst tre år, kontroll av datainsamling från all utrustning, inklusive tekniska nätverk, och avisering vid fel.
Samtidigt innehåller RSA enVision för varje mottagen IS-händelse följande information:
- IP-adress (ID, värdnamn) för noden;
- IP-adress (ID, värdnamn) för terminalen från vilken kommandona utfördes;
- användar ID;
- meddelandetyp;
- tid och datum för meddelandet;
- meddelandets ursprungliga brödtext, uppdelad i fält.
RSA enVision-plattformen låter dig extrahera loggfiler samtidigt från tiotusentals enheter, inklusive Windows-servrar, Checkpoint-brandväggar och Cisco-routrar utan
installera agenter på dem, vilket garanterar kontinuiteten och fullständigheten i datainsamlingen.
Joachim Kuehne, Senior Regional Sales Director, HP:
"Att säkerställa säkerhet och säkerhet för information i en organisation är inte en trivial uppgift. Tidigare har fokus legat på virus, bots, maskar och hacks utanför organisationen. Nu och inom en snar framtid måste företag ägna mer och mer uppmärksamhet åt informationsläckor, ekonomiska bedrägerier och olika typer av bedrägliga handlingar som härrör från de anställda i själva organisationen. Alla nya myndighetskrav och rättsakter relaterade till informationssäkerhet syftar till att identifiera och förebygga just dessa interna hot.
Det har aldrig varit så svårt att säkerställa affärssäkerhet. Som ett resultat är värdet av automatiserade händelseövervakningssystem för informationssäkerhet för att säkerställa efterlevnad av regulatoriska krav större än någonsin. Ett modernt system för att samla in och analysera informationssäkerhetshändelser (SIEM, Security Information and Event Management system) ska kunna samla in informationssäkerhetshändelser, analysera dem och identifiera risker förknippade med informationssäkerhet, vilket gör att du snabbt kan identifiera, prioritera och förebygga informationsläckor, hackerattacker och interna hot.
Plattformen Enterprise Threat and Risk Management (ETRM) baserad på ArcSights produkter och lösningar låter dig korrelera händelser från olika informationssystem med information om användarroller och nätverkstrafik för att identifiera informationssäkerhetsöverträdare, förstå vad som hände, när och var. ArcSights produkter är lösningar för nuet och framtiden. Vi tillhandahåller det övervakningssystem du behöver idag, men teknologier som virtualisering, cloud computing och moderna komplexa affärsapplikationer blir allt viktigare i alla organisationers infrastruktur. ArcSights lösningar gör det möjligt för oss att lösa problemen med att säkerställa informationssäkerheten för dessa moderna tjänster och teknologier nu med hjälp av ETRM-plattformen."
Mer information om plattformens möjligheter finns på tillverkarens webbplats på www.rsa.com.
Genom att använda sin egen banbrytande design, IPDB-arkitekturen, som redan är implementerad i hundratals organisationer runt om i världen, kan RSA enVision samla in all data på alla nivåer av informationsinfrastruktur - från nätverksenheter till applikationer. LogSmart IPDB-analysundersystemet analyserar både inkommande realtidsdata och redan lagrade data. Delsystemet tillhandahåller information i form av dataskivor och rapporter som kan tillgodose ett brett spektrum av behov hos organisationens intressenter – från IT-avdelningen till säkerhetsavdelningen, från policyefterlevnad och riskanalys till företagsledning. Det speciella med LogSmart IPDB-undersystemet är att det inte använder tredjepartsapplikationer, vilket bestämmer dess oöverträffade prestanda. Denna indikator är extremt viktig i nätverk av komplex och förgrenad arkitektur.
RSA enVision-plattformen kan distribueras antingen som en fristående plug-and-play-lösning eller som en del av en skalbar, feltolerant, distribuerad arkitektur för att möta kraven i ett stort företagsnätverk. Vilken lösning du än väljer kommer den att innehålla all nödvändig programvara utan extra kostnad. Webbaserad administration och tillgängligheten av Event Explorer, vårt mycket avancerade analysverktyg, ger funktionalitet för intuitiv kontroll och avancerad, mycket detaljerad incidentutredning.
När det distribueras som en fristående lösning (ES-serien), utför ett funktionellt komplett och säkert hård- och mjukvarukomplex (HSC) insamling, bearbetning, analys och lagring av data.
I fallet med att välja en distribuerad arkitektur (LS-serien) installeras specialiserade HSC:er på de nödvändiga platserna, som var och en utför sin nyckeluppgift: lokala och fjärranslutna samlare samlar in data, dataservrar hanterar insamlade data och applikationsservrar utför dataanalys och rapportgenerering. Själva data kan lagras med en mängd olika lagringslösningar från RSA och EMC.
Låt oss vara uppmärksamma på de utmärkande egenskaperna hos denna produkt. Först och främst är det värt att notera tillverkarens heltäckande inställning till säkerhet. Alla känner till RSA:s SecurID-produkter, RSA:s moderbolag EMC:s lagringssystem, och nyligen förvärvade Netwitness, som är den senaste utvecklingen och det senaste inom IT-säkerhetsteknik. Detta säkerställer enkel integrering av olika komponenter i övervakningssystemet och indikerar allvaret i strategin för informationssäkerhet.
RSA enVision har ett antal funktioner som gör den populär och används i paritet med ArcSight-produkter. I Ryssland använder flera företag produkten enVision tillsammans med ArcSight, för att lösa komplexa problem med att övervaka informationssäkerhetshändelser i industriella nätverk. Teknologisk utrustning inkluderar enheter från tillverkare som Ericsson, Siemens, Nokia, Cisco VPN, Citrix terminalservrar och liknande.
Dessa uppgifter uppstod på grund av det faktum att de administrativa funktionerna för hantering av teknisk utrustning inte utförs av företagets anställda, utan av en tredjepartsorganisation, d.v.s. förvaltningen är utlagd. I detta avseende fanns det ett behov av total kontroll över alla operationer på sådana system. Här visade sig enVision-produkten vara bekvämare än ArcSight, eftersom den förstnämnda redan har ett inbyggt IPDB-lagringssystem och den insamlade datan lagras oförändrad, i ett format skyddat från förändringar. Dessa data kan fungera som en evidensbas för incidentutredningar och kan lagras under lång tid på grund av olika kompressionsmekanismer. Med IPDB-teknologier kan RSA enVision-apparater leverera hög datainsamlingsprestanda med blygsamma hårdvarukrav utan det tunga artilleriet av SAN, Oracle-kluster och liknande.
Den höga hastigheten för bearbetning av indata förenklar processen att ställa in systemet - i det inledande skedet av implementeringen finns det inget behov av att ta reda på vilka händelser som ska sparas, vilka som ska filtreras och vilka som ska behandlas i realtid.
Ris. 13. Webbgränssnitt Event Explorer från RSA.
Observera att det i praktiken visade sig att det är lättare att ansluta en icke-standardiserad enhet med en dåligt strukturerad händelselogg än i ArcSight, vilket kräver komplex utveckling av speciella kontakter, lång analys av loggformat i en specialiserad utvecklingsmiljö.
Dessutom finns det en speciell teknik som gör att du kan ansluta nya loggar gradvis, det vill säga tolka nya meddelanden steg för steg och lägga till dem i parsern allt eftersom de bearbetas. Samtidigt kan nya parsers användas för tidigare insamlad data.
Funktionerna som beskrivs ovan gör det möjligt att inte bara samla in händelser från specifika enheter i det industriella nätverket, utan också att korrelera dem, såväl som att identifiera incidenter. Dessutom, i detta fall, kan korrelation också utföras med händelser som samlats in från säkerhetsanordningar, arbetsstationer och andra klassiska källor för informationssäkerhetshändelser.
Ris. 14. Enkel incidenthantering med SSIM.
Symantecs säkerhetsinformationshanterare
Under en lång tid var en av de mest populära produkterna i Ryssland för övervakning och hantering av informationssäkerhetsincidenter Security Information Manager-produkten tillverkad av Symantec. Liksom konkurrenskraftiga lösningar utför SSIM funktionerna att samla informationssäkerhetshändelser från olika enheter och applikationer, analyser och identifiera informationssäkerhetsincidenter. Baserat på insamlad data hjälper Symantec SIM dig att identifiera, prioritera, analysera och mildra säkerhetshot som riktar sig till dina mest kritiska affärsapplikationer.
Realtidskartläggning av nätverks- och värdsäkerhetssvagheter med hjälp av tjänsten Symantec Global Intelligence Network- en av de viktigaste fördelarna med denna produkt, vilket gör den till ett system för snabb respons på incidenter med tonvikt på att säkerställa säkerheten för informationsresurser som är viktigast för verksamheten.
Symantec Global Intelligence Network är ett globalt nätverk som använder fällor för att upptäcka skadlig aktivitet runt om i världen. All denna information bearbetas till regler och används i Symantec SIM när man analyserar och korrelerar händelser.
Säkerhetsanalys i realtid utförs med hjälp av en extern standard för att identifiera säkerhetshot – en process som beskrivs i öppna standarder Distributed Management Task Force (DMTF). Denna metod tillhandahåller klassificering av hot och säkerhetsproblem, med hänsyn till graden av påverkan av händelsen på miljön, attackmetoden och målresurser.
Ris. 15. Den administrativa konsolen låter dig spåra inte bara teknisk information, utan även bygga händelsekartor på toppnivå.
Denna klassificering, som kallas Effects, Mechanisms and Resources (EMR), är kärnan i Symantec SIMs dataanalysmodul. På grund av flexibiliteten hos mallbaserade smarta regler kan en enda regel ersätta flera mer specifika regler som används i standardmetoder. Det gör att det är mycket lättare att underhålla och skapa regler som kan täcka många förhållanden.
Som en påminnelse måste organisationer, förutom att samla in data, följa officiella krav för lagring av arkiv, för att säkerställa att sätten att lagra och hämta data fungerar korrekt. Symantec SIM-produkten överträffar standardbaserade relationsdatabasbaserade säkerhetsinformationskontrollprodukter, som har extra initiala kostnader och kräver långvarig databasadministration. Med Symantec SIM krävs ingen databasadministration. Dessutom sparar den händelser i arkivfiler på den angivna platsen. Arkivet är implementerat som en fristående modul som övervakar diskanvändning och lagringstid för enskilda arkivfiler. När en angiven gräns för diskutrymme eller filens utgångsdatum nås, tar Symantec SIM bort gamla arkivfiler för att göra plats för nya. Du kan välja mellan apparat, direktansluten enhet (DAS), nätverksansluten lagring (NAS) eller lagringsområdesnätverk (SAN) för fillagring. En viktig fördel med Symantec SIM Archives är att de är snabbare än vanliga databaser eftersom de, till skillnad från flera hundra databasfunktioner, är optimerade för en uppgift – att lagra en stor mängd händelser. Kompressionsförhållandet i Symantec SIM når 30:1. Den normaliserade datan, tillsammans med den ursprungliga händelseinformationen, fångas in och lagras för incidentanalys. Slutligen signeras arkiv digitalt för att säkerställa konfidentialitet och integritet.
Styrkan i produkten är också tillverkarens inställning till komplexa lösningar. Alla är bekanta med SEP-slutpunktsskydd, Symantec DLP och andra informationssäkerhetslösningar från Symantec.
Avslutningsvis genomgången av huvudlösningarna inom området övervakning och hantering av informationssäkerhetsincidenter vill jag notera följande. Alla de övervägda produkterna är ledande inom sin nisch och med deras hjälp kan du lösa nästan alla uppgifter som rör insamling och analys av informationssäkerhetshändelser.
Låt oss sedan prata om en ganska ny riktning för Ryssland - lösningar för att övervaka användaråtgärder i databaser och affärsapplikationer. Detta område av informationssäkerhet blir bara populärt, även om transaktionskontroll i företagsdatabaser, enligt vår mening, är en av nyckelpunkterna i ett omfattande informationssäkerhetssystem.
Övervakning av databas- och applikationsanvändares åtgärder
Elektroniska dokumenthanteringssystem, lagring av personuppgifter, kundbetalkortsdata är av ständigt ökande kommersiellt värde och har blivit det främsta målet för angripare. Det utbredda införandet av webbapplikationer, uppkomsten av nya tjänster, lavinexpansionen av IT-infrastrukturen hos organisationer har lett till oförmågan att kontrollera informationsflöden i databaser, användaråtgärder med affärsapplikationsdata på konventionellt sätt.
Som svar på dessa trender har specialiserade system uppstått för att säkerställa säkerheten för sådana komplexa, flera nivåer, geografiskt distribuerade system.
Funktionaliteten för att övervaka aktivitet i databaser har försökt implementeras av alla stora tillverkare av DBMS och affärsapplikationer, men fördelarna med inbyggda kontroller ger upphov till deras nackdelar. DBMS-verktyg är inte tillräckligt flexibla för att skilja mellan en användare och en angripare. Användningen av inbyggda loggningsverktyg leder till en flerfaldig ökning av belastningen på servrar, applikationsprestanda och kvaliteten på de tjänster som tillhandahålls minskar.
Tredjepartsverktyg för databasfrågor för trafikkontroll har dykt upp på den inhemska marknaden relativt nyligen. Intresset för dessa verktyg beror på det växande problemet med interna angripare, den ökande förekomsten av datastöld, samt förekomsten av olika regulatoriska dokument som kräver åtkomstkontroll till konfidentiell data.
Ris. 16. Tillämpning av "connection pooling"-metoden när du organiserar åtkomst till databasen för applikationsanvändare.
System för granskning och kontroll av databasanvändares handlingar låter dig registrera användaraktiviteter på databasnivå och analysera den insamlade informationen. Detta möjliggör aviseringar och rapporter i realtid om vem som får åtkomst till vilken information och hur dessa aktiviteter kan bryta mot externa regulatoriska krav eller interna säkerhetsbestämmelser.
Numera använder nästan alla organisationer webbapplikationer (till exempel internetbank), affärsapplikationer som SAP, OEBS, Siebel och privat utveckling. De flesta av dessa applikationer fungerar på en arkitektur i tre nivåer. Denna arkitektur valdes för att optimera applikationsprestanda och implementeras med metoden "connection pooling", som använder ett enda konto för att komma åt databasen. Denna metod döljer namnen på slutanvändarna av applikationer som har åtkomst till databasen, det vill säga det blir omöjligt att identifiera slutanvändaren av applikationen som begärde informationen. Det kommer bara att finnas en DBMS-användare för anslutningspoolen - AppUser.
Denna metod för att organisera åtkomst för affärsapplikationsanvändare till information lagrad i företagsdatabaser ger ett antal fördelar, såsom att öka applikationsprestanda, minska belastningen på DBMS, etc., men samtidigt minskar nivån på informationssäkerheten för applikation, eftersom det blir omöjligt att kontrollera slutanvändarnas handlingar.
För att flytta balansen i riktning mot att öka informationssäkerheten måste man offra kvaliteten på tjänsterna och vice versa.
Den optimala lösningen är användningen av specialiserade lösningar som skulle ta över funktionaliteten för att kontrollera informationsflöden och samtidigt inte skulle påverka informationssystemens prestanda.
Den skiktade arkitekturen för företagsapplikationer förändras ständigt, det är nödvändigt att kontrollera applikationsanvändare enligt deras nuvarande roller och ägna särskild uppmärksamhet åt kontrollen av privilegierade användare. Förutom applikationsanvändare måste databasanvändare övervakas genom att övervaka både åtkomst på applikationsnivå och direkt åtkomst på DBMS-nivå. Att säkerställa insyn i alla aktiviteter är en nyckelpunkt för att förhindra bedrägliga aktiviteter. DAM-klasslösningar hjälper till att kontrollera alla DBMS-sessioner (inloggningar, SQL-kod, utgångar, etc.), alla DBMS-undantag (fel, misslyckade auktoriseringsförsök), blockera oönskade sessioner och generera aviseringar om olika informationssäkerhetshändelser. Förutom att övervaka aktivitet i databaser, låter DAM-klasslösningar dig hantera ändringar av DBMS-objekt och miljön samt hantera DBMS-sårbarheter. Förebyggande av dataläckage från databasen implementeras genom att kontrollera den extraherade informationen, detektera anomalier i driften, automatisk upptäckt och klassificering av kritiska data.
IBM Guardium, Imperva, Oracle DBF och andra övervakar all SQL-trafik från klienten till servern, inklusive lokala frågor, inte bara enskilda SQL-frågor konfigurerade med DBMS-granskningsalternativ. Därmed minimeras risken för att missa någon händelse associerad med databasen. All åtkomst till databasen registreras, analyseras sedan baserat på reglerna som införts i systemet, och om de utlöses genereras en IS-händelse.
Reglerna tillåter inte bara att spåra sådana standardhändelser som att gå in i/lämna databasen, komma åt data, ändra strukturen på databasen etc., utan låter dig också kontrollera mängden nedladdad data, applikationen som används för att komma åt databas. Således är det möjligt att spåra obehörig kopiering eller radering av information, stöld av databaser. Alla regler ställs enkelt in med hjälp av GUI och djup kunskap om SQL/PL-SQL krävs inte. Det är också möjligt att ställa in filter för förekomsten av vissa ord, villkor i SQL-frågor, definiera en lista över betrodda användare och frågekällor. Sådan filtrering med vanliga DBMS-verktyg är antingen omöjlig eller så kräver den att man skriver komplexa SQL-skript, som till exempel när man använder Oracle Fine-Grained Auditing.
Säkerhetspolicyer används för att förhindra obehörig eller misstänkt användaraktivitet. Säkerhetspolicyer tillåter dig att begränsa åtkomst till databaser eller specifika tabeller baserat på olika parametrar:
- användarkonton;
- IP-adresser;
- MAC-adresser;
- nätverksprotokoll;
- typer av SQL-kommandon;
- Applikationsnamn;. tid på dygnet osv.
DAM-klasslösningar kontrollerar all aktivitet i databaserna, ger detaljerad rapportering för vidare undersökning av informationssäkerhetshändelser, automatiserar revisionsprocessen för efterlevnad av regulatoriska krav och förhindrar informationsläckor. Sådana rapporter kan innehålla olika information såsom SQL-fel eller misslyckade autentiseringsförsök; administrativa kommandon, till exempel, ändra databasstrukturer - DDL (skapa, släpp, ändra); dataurvalsförfrågningar (välj); kommandon som hanterar konton, deras roller och åtkomsträttigheter, till exempel DML (bevilja, återkalla) och andra kommandon relaterade till DBMS:s detaljer.
IBM Guardium
IBM Guardium-produkten låter dig implementera en fullständig cykel av informationssäkerhet i databaser. Den kan automatiskt samla in och klassificera information om befintliga databaser och vilken typ av data som lagras i dem, så att du inte missar nyskapade databaser eller testinstallationer. Produkten har en inbyggd sårbarhetsskanner som låter dig identifiera och kontrollera sårbarheter på DBMS-servrar. Denna funktionalitet duplicerar i viss mån funktionaliteten hos MaxPatrol, men är mycket specialiserad och optimerad för att arbeta med DBMS. Trots det breda utbudet av funktioner som implementeras i Guardium är två av dem fortfarande de mest populära. Detta är en kontinuerlig granskning och loggning av alla frågor i databasen och möjligheten att blockera obehörig dataåtkomst. Dessutom är blockeringen av databasanvändarsessioner implementerad på agentnivå, vilket gör det möjligt att undvika att installera Guardium-enheter i ett nätverksavbrott.
Agenter samlar in information om alla förfrågningar till DBMS som utförs av åtkomstsubjekt och data som returneras av dem, som sedan skickas till insamlings- och korrelationsservrarna, där ett beslut fattas om att varna eller blockera åtkomst.
Ris. 17. Lätt att arbeta med regler i Guardium.
Lösningen låter dig exakt identifiera ämnet för åtkomst genom ett antal indikatorer, såsom MAC-adressen eller IP-adressen för datorn från vilken åtkomsten utförs, användarnamnet i operativsystemet, användarnamnet i applikationen, användarnamnet i DBMS.
För varje enhet bildas en universell säkerhetspolicy, bildad av tre typer av regler. Regler av första klass - Åtkomstregler - dessa är regler för att kontrollera åtkomst till miljön, som låter dig begränsa åtkomsten till databasobjekt, baserat på den information som samlas in. Regler av den andra klassen - Undantagsregler - regler för hantering av undantag, såsom fel vid åtkomst till ett icke-existerande objekt, ett misslyckat autentiseringsförsök. Och den sista typen av regler - Extrusion-regler - regler för bearbetning av värden som returneras till användaren, som analyserar data som mottas av användaren som ett resultat av en begäran till databasen och beslutar om ytterligare åtgärder.
Bekvämligheten med detta tillvägagångssätt är att reglerna kan kombineras för att skapa en säkerhetspolicy, tilldela prioriteringar eller sätta villkoren för att fastställa incidenter baserat på resultaten av regelbearbetningen.
Agenterna som är installerade på varje DBMS-server har en gemensam konfigurationsfil som definierar adressen till backup-samlaren för agenten, med hänsyn till den förväntade toppbelastningen för backup-samlaren. Således hanteras alla agenter centralt och vid fel på en av enheterna överförs belastningen till andra enheter, vilket säkerställer kontinuiteten i övervakningen.
Information som kommer in i enheten reduceras till en typisk form, oavsett originalformatet (normaliseras) och filtreras. Mekanismen för att bestämma behovet av att lagra den eller den informationen bestäms med hjälp av interna regler som utgör enhetens säkerhetspolicy.
Ris. 18. Ett exempel på normaliserad information lagrad i Guardium-databasen.
Samtidigt analyseras varje begäran och delas upp i separata fält, vars kombination i olika versioner gör det möjligt att få information i form av en godtycklig rapport.
Samtidigt ger Guardium möjligheten att registrera inte bara datum och tid för användarinloggning (utloggning) till systemet (från systemet), resultatet av inloggningsförsöket (lyckat eller misslyckat), utan även andra parametrar, bl.a. tiden när en åtgärd utfördes, starttiden och sessionsavslutningen, DBMS-åtkomstprotokoll, klient- och servernätverksparametrar, användarnamn i databasen och operativsystemet och många andra.
Nya incidenter associerade med utlösandet av säkerhetspolicyregler, resultaten av händelsekorrelation och andra resultat laddas upp till aggregatorenheten. Detta gör att du kan implementera centraliserad övervakning av användaraktivitet, ha fullständig information om nya incidenter för alla skyddade databaser, automatiskt och centralt meddela behöriga anställda och hantera incidentresponsprocessen med hjälp av det inbyggda incidenthanteringssystemet.
Guardium tillhandahåller en inbyggd mekanism för att korrelera policyöverträdelsehändelser för att generera varningar för rätt situationer i miljön - till exempel kan du generera en varning för misstänkt aktivitet när flera händelser inträffar, till exempel åtkomst nekad på flera DBMS-servrar från samma klient IP-adresser. Genom att kombinera regler i policyer kan du skapa ett flexibelt system för att kontrollera och övervaka åtkomst till DBMS-miljön.
Ris. 19. IBM Guardium-arkitektur för distribuerade företag. Det är möjligt att samla in data både med hjälp av passiv övervakning genom SPAN-porten, och med hjälp av agenter.
Den största fördelen med IBM Guardium-produkten är att den låter dig integrera med nästan alla applikationer, även inhemska. Guardium-integrering med applikationer gör att du kan göra absolut transparenta förfrågningar från applikationsanvändare till databaser, och korrelation av händelser på aggregatornivå gör att du kan få en komplett bild av vad som händer i infrastrukturen för databaser och affärsapplikationer.
Den andra starka aktören på den ryska marknaden är Imperva och dess produktlinje SecureSphere. Impervas tillvägagångssätt skiljer sig något från IBMs. Produkter från Imperva SecureSphere-serien möjliggör ett omfattande skydd av webbapplikationer, samt tillräckligt tillförlitligt skydd av data som överförs via webbapplikationer och lagras i databaser. Och senast introducerade företaget en ny produkt i SecureSphere File Security-linjen, som låter dig spåra åtkomst till filer, inklusive åtkomst av privilegierade användare och applikationer, upptäcka och meddela säkerhetspolicyöverträdelser och blockera vid behov.
SecureSphere File Security är en del av SecureSphere Data Security Suite och integreras med din övergripande databas- och applikationssäkerhet.
Ris. 20. Impervas omfattande tillvägagångssätt för att skydda databaser och applikationer.
Imperva
Tillsammans med de klassiska verktygen för perimeter- och värdskydd (ME, IDS / IPS, kryptering av datakanaler, antivirusprogram, etc.) används också ytterligare skyddsåtgärder. Detta kan vara användning av ett virtuellt tangentbord, kort med sessionsnycklar, inmatning av koden som visas på bilden, kontroll av indata, etc. Men genomförandet av sådana åtgärder av en eller annan anledning är inte alltid möjligt. Det är inte ovanligt att anställda som utvecklat webbapplikationer helt enkelt inte längre jobbar för företaget, och även när det är för mödosamt att modifiera eller ändra koden.
Nackdelen med grundläggande skyddsverktyg är att de ofta inte är tillräckligt effektiva för att bekämpa attacker på webbapplikationer. Därför, för att skydda dem, är det nödvändigt att använda specialiserade medel. För att säkerställa säkerheten för applikationer används webbapplikationsbrandväggar (WAF, Web Application Firewall). Oftast är lösningar av denna klass mjukvaru- och hårdvarusystem som tillämpar uppsättningar av regler och säkerhetspolicyer på observerad HTTP-trafik som går från applikationer till databasen och vice versa. Dessa lösningar låter dig kontrollera välkända typer av attacker som Cross-site Scripting (XSS) eller SQL-injektion. Genom att anpassa regler för affärsapplikationer kan du upptäcka och blockera många attacker. Mängden arbete för att utföra denna anpassning kan dock vara betydande, och detta arbete måste göras när ändringar görs i applikationen.
Framväxten av lösningar av denna klass påverkades av PCI DSS-standarden, som kräver skydd av kreditkortsinformation i offentliga webbapplikationer med minst en av två metoder: genom att analysera webbapplikationskoden: manuellt, genom att skanna källkoder eller sårbarhet bedömning, eller genom att sätta en punktsäkerhetspolicy upprätthållande och centraliserad automatiserad metod.
WAF-klasslösningar kallas ofta "Deep Packet Inspection Firewalls" (ITU med djup paketinspektion), eftersom. de analyserar varje begäran och svar på HTTP/HTTPS/SOAP/XML-RPC/Webservicelagren. Samtidigt förblir data i själva databasen oskyddade, deras användning övervakas inte (i själva verket inspekteras bara en del av nätverksförfrågningarna till databasen som kommer från applikationsservern). Liksom konventionella perimetersäkerhetsbrandväggar är WAF:er nödvändiga men inte alltid tillräckliga.
SecureSphere WAF-apparater är designade för att skydda webbapplikationer från ett brett spektrum av hot. Till skillnad från traditionella IPS-system kan SecureSphere-enheter spåra webbsessioner, jämföra webbapplikationsstrukturelement (cookies, alternativ, formulärfält, etc.) med förväntade element lagrade i deras profiler och profilera HTTP, HTTPS och XML-trafik . Bland de vanligaste attackerna riktade mot webbapplikationer är affärslogikattacker (parametermanipulation), kapning av sessioner, sessionsuppspelning, utbyte av datafragment (cookie-injektion, cookie-förgiftning), lösenordsgissning. , olaglig modifiering av HTTP-paket (dubbelkodning, skadlig kodning) och attacker mot XML och SOAP.
Vad är bättre?
När det gäller att jämföra Imperva-produkter med IBM Guardium finns det några viktiga skillnader. För det första använder Guardium en intern databas för att lagra övervaknings- och revisionsdata, medan Imperva lagrar insamlad data i filer. Båda tillvägagångssätten har både fördelar och nackdelar. Att lagra övervakningsdata i databasen minskar avsevärt hastigheten på frågebehandling och lagringsskrivning. Men det ökar hastigheten att arbeta med sådan data. Det är lättare att ladda ner en rapport från en strukturerad databas än från fillagring. För det andra är IBM-lösningen mycket svårare att implementera, medan Imperva-produkter kan sättas i inlärningsläge och bygga en baslinje på några veckor, utifrån vilken man snabbt kan bilda en säkerhetspolicy. Men svårigheten med att implementera Guardium-produkter beror på det enorma antalet inställningar, parametrar och funktioner, vilket i sin tur ger en fördel för en erfaren implementerare i form av möjligheten att implementera vilken uppgift som helst. En annan viktig skillnad är storleken på säljaren. Mjukvarujätten IBM tillhandahåller en utmärkt nivå av teknisk support för användarna, men alla ändringar av produkten görs med den uppmätta och långsamma takt som är inneboende i alla stora företag. Samtidigt är Imperva ganska liten, har inget officiellt representationskontor i Ryssland och teknisk support för rysktalande användare, men den har förmågan att göra ändringar i produkten så snabbt och exakt som möjligt och tillfredsställa sofistikerade användarförfrågningar .
Imperva appliances profilerar automatiskt webbapplikationer för att modellera deras struktur. Genom att analysera webbtrafik under en viss tidsperiod skapar de en profil av standardapplikationsbeteende (automatisk vitlistning av webbapplikation och användaraktivitet). Därefter utför enheterna en korrelationsanalys av avvikelser från profilen med attacksignaturer och blockerar vid behov hotet.
Användningen av profiler är ett kraftfullt verktyg för att upptäcka avvikande användarbeteende, fel i systemlogiken, bestämma typiska roller och riktigheten av att bevilja roller. Ett liknande tillvägagångssätt gäller för Impervas databasskyddsprodukter. För att fastställa baslinjetillståndet för en kontrollerad DBMS-miljö körs Imperva-plattformen först i inlärningsläge ett tag och analyserar all trafik i miljön. Under inlärningsprocessen samlar och analyserar plattformen statistik om SQL-trafikbelastning. Efter utbildning genereras policyer automatiskt för att övervägas och tillämpas vidare av personalen som driver plattformen, både för att miljön ska fungera normalt och för avvikande beteende (åtkomst till kritiska data från okända IP-adresser, åtkomst till systemtabeller eller kopiering av data från produktiva system till andra maskiner). Det är nödvändigt att säkerställa maximal säkerhet under Imperva-plattformens träningsperiod så att misstänkt aktivitet inte kommer in i den grundläggande "casten" av miljöns normala funktion, eller noggrant analysera, redigera och acceptera de policyer som föreslagits av plattformen efter träning .
Ris. 21. Bekvämt interaktivt gränssnitt för analys av revisionsdata.
Tillämpade aspekter av SOC
Varje företag som bestämmer sig för att bygga ett Information Security Operations Center förväntar sig först och främst av SOC en ökad effektivitet när det gäller att lösa vissa tillämpade problem inom informationssäkerhetsområdet och säkerställa en korrekt nivå av informationssäkerhet. Det kan vara både privata uppgifter för informationsskydd och driftledning, samt uppfyllande av eventuella krav inom informationssäkerhetsområdet. Därefter kommer vi att överväga de viktigaste tillämpade aspekterna av tillämpningen av SOC i rysk verklighet.
Först och främst är det skyddet av personuppgifter och uppgifter om innehavare av betalplastkort.
SOC och personuppgiftsskydd
Behovet av att säkerställa säkerheten för personuppgifter i vår tid är en objektiv realitet. Information om en person är av stort värde. Dessutom, i händerna på en bedragare, förvandlas det till ett brottsvapen, i händerna på en uppsagd anställd - till ett medel för hämnd, i händerna på en insider - en produkt till försäljning till en konkurrent. Därför behöver personuppgifter idag det seriösaste skyddet!
Idag är det knappast möjligt att föreställa sig verksamheten i en organisation utan att behandla information om en person. Organisationen lagrar och behandlar i alla fall uppgifter om anställda, kunder, partners och leverantörer. Läckage, förlust eller otillåten ändring av personuppgifter leder till irreparabel skada, och ibland till helt stopp för företagets verksamhet.
Genom att förstå vikten och värdet av information om en person, samt ta hand om iakttagandet av dess medborgares rättigheter, kräver staten att organisationer säkerställer tillförlitligt skydd av personuppgifter. Ryska federationens federala lag av den 27 juli 2006 N 152-FZ "Om personuppgifter" reglerar relationer relaterade till behandling och skydd av information som tillhör individer (subjekt med personuppgifter).
Personuppgifter avser "all information som tillhör en viss fysisk person, eller data som unikt kan identifiera en sådan person." Detta kan vara ett efternamn, namn, patronym, år, månad, födelsedatum och födelseort, adress, familj, social, fastighetsstatus, utbildning, yrke, inkomst, annan information som hör till PD-ämnet.
PD-operatören är "ett statligt organ, ett kommunalt organ, en juridisk person eller en enskild person som organiserar eller utför behandlingen av personuppgifter, samt bestämmer ändamålen och innehållet i behandlingen av personuppgifter", det vill säga utan undantag. , alla organisationer som har egna personalavdelningar lagrar och bearbetar data om kunder, partners, entreprenörer etc.
Rysk lagstiftning föreskriver civilrättsligt, straffrättsligt, administrativt, disciplinärt och annat ansvar för brott mot kraven i federal lag nr 152 "Om personuppgifter".
PD-skyddssystemet är en integrerad del av organisationens övergripande säkerhetssystem (organisationens befintliga informationssäkerhetsutvecklingar används, vid behov skapas nya systemkomponenter som integreras utan prestandaförsämring och inte komplicerar infrastrukturen).
PD-skyddssystemet ökar den faktiska säkerheten och bidrar till uppfyllandet av affärskrav på skydd av företagshemligheter.
När vi bygger SOC som en del av implementeringen av personuppgiftsskyddssystemet använder vårt företags specialister modern teknik från ledande tillverkare inom informationsskydd. Dessa inkluderar i synnerhet lösningar av klassen Security Information Management (ArcSight, Symantec, RSA envision), Databas Activity Monitoring (IBM Guardium, Imperva), Identity Management och Information Right Management (Oracle), Data Loss Prevention ("Jet Infosystems" , Symantec, RSA), Configuration & Vulnerability Management (positiv teknik).
Produkter av klassen Security Information Management, såsom ArcSight, Symantec SIM och RSA enVision, används för att tillhandahålla centraliserad hantering av personuppgiftsskyddssystemet, vilket är ett krav i klausul 2.4. avsnitt II. Metoder och medel för att skydda information från obehörig åtkomst Order från FSTEC i Ryssland nr 58 daterad 5 februari 2010 Dessa system samlar in, analyserar (korrelerar) och kontrollerar informationssäkerhetshändelser från olika säkerhetsverktyg, vilket gör det möjligt att effektivt identifiera informationssäkerhet incidenter i realtid, med vidare överföring till incidenthanteringssystemet för informationssäkerhet, för att ta emot verklig data för riskanalys och bedömning, för att fatta välgrundade beslut om att säkerställa informationssäkerhet och skydda personuppgifter.
Databasskyddslösningar, såsom IBM Guardium, Imperva och Oracle, låter dig implementera registrerings- och redovisningsfunktionerna (i enlighet med punkt 2.3 i avsnitt II. Metoder och metoder för att skydda information från obehörig åtkomst enligt Order of the FSTEC of Russia No. 58 daterad den 5 februari 2010) uppmanar alla användare till databaser som innehåller personuppgifter, utan att DBMS-servrarnas prestanda minskar och informationssystemens infrastruktur väsentligt påverkas. Produkter på denna nivå behövs särskilt i stora geografiskt distribuerade organisationer. Således fungerar IBM Guardiums lösningar som en enda åtkomstkontroll för alla användare, inklusive privilegierade, till databaser från alla tillverkare.
Kravet på att tillhandahålla en säkerhetsanalys i enlighet med punkt 2.2 i avsnitt II. Metoder och metoder för att skydda information från obehörig åtkomst Order från FSTEC i Ryssland nr 58 av den 5 februari 2010 implementeras av specialister från Jet Infosystems som använder MaxPatrol-produkten från Positive Technologies. Detta system låter dig genomföra en regelbunden inventering av IP-resurser, identifiera sårbarheter som är förknippade med fel i programvarukonfigurationen av informationssystem för personuppgifter som kan användas av en inkräktare för att attackera systemet, övervaka förändringar i nätverksutrustningsinställningar, operativsystem för servrar och arbetsstationer.
SOC och PCI DSS
Som en del av alla projekt för att bringa infrastrukturen i överensstämmelse med PCI DSS-kraven kan flera viktiga affärsuppgifter identifieras. För det första är det nödvändigt att förenkla revisionsprocessen så mycket som möjligt, och för det andra att spara på externa revisorer, och även begränsa revisorernas tillgång till kritisk information. Och, naturligtvis, lagra revisionsdata under lång tid, så att du alltid snabbt kan komma åt de nödvändiga rapporterna.
Våra experter säger att uppfylla alla PCI DSS-krav och lösa kundens interna problem är enklast och effektivt utförs med hjälp av verktygen i Security Operations Center.
Kraven i PCI DSS-standarden i förhållande till DBMS innehåller ett antal krav som är nödvändiga för att uppfyllas och implementeras av våra specialister som en del av projekt för att bringa infrastrukturen i linje med standarden. Alla system för behandling av betalkort bör kunna styra utseendet på uppgifter om betalkort i objekt som inte tillhandahåller deras innehåll. Enligt krav 6.1 i PCI DSS-standarden måste installerade säkerhetsuppdateringar och möjligheten att utföra virtuella uppdateringar spåras. Krav 6.2 specificerar behovet av att rangordna de upptäckta sårbarheterna för deras ytterligare effektiva eliminering. Överensstämmelse med PCI DSS-krav 8.5.8 måste kunna upptäcka användningen av gruppkonton, delade eller inbyggda konton. Krav 10.2.1 i PCI DSS-standarden i förhållande till DBMS talar om behovet av att registrera eventuell åtkomst till betalkortsdata. Eftersom betalkortsdata lagras i databaser är det nödvändigt att kontrollera tillgången för alla användare till databaser, och särskilt privilegierade användare, vilket framgår av krav 10.2.2. Det är nödvändigt att kontrollera inte bara åtkomst till data, utan också alla åtgärder som utförs med administrativa privilegier. Dessutom är det nödvändigt att inte bara övervaka åtkomsten till betalkortsdata, utan också, i enlighet med krav 10.2.3, att säkerställa att åtkomst till alla händelseloggar loggas. Krav 10.2.4 i PCI DSS-standarden i förhållande till DBMS säger att det är nödvändigt att kunna logga misslyckade logiska åtkomstförsök och 10.2.5 om behovet av att logga användningen av identifierings- och autentiseringsmekanismer. Det är också nödvändigt att logga skapandet och raderingen av systemobjekt på DBMS-servern och se till att loggarna är skyddade från ändringar. Krav 11.3 förpliktar att söka efter sårbarheter och fel i DBMS-konfigurationen och miljön.
Alla dessa och några andra krav för att kontrollera handlingar för användare som har tillgång till betalkortsdata kan endast implementeras framgångsrikt med SOC-lösningar. Uppenbarligen är det omöjligt att registrera alla händelser, kontrollera loggar, kontrollera sårbarheter och skydda mot läckor med en icke-automatiserad metod.
SOC och interna uppgifter
Förutom att uppfylla kraven från ett antal tillsynsmyndigheter är SOC utformade för att lösa kunders affärsproblem. Dessa uppgifter inkluderar bedrägeribekämpning och organisering av interaktion mellan IT- och informationssäkerhetsavdelningar med utveckling av enhetliga regelverk, standarder för informationssäkerhet och kontroll över deras genomförande.
Ibland ställs vi inför ett mycket tydligt men snävt uttalande av problemet, som att kontrollera ändringar eller ta bort fakturor, ladda upp specifika rapporter, komma åt försäkringar för vissa anställda eller övervaka att vissa inställningar på nätverksutrustning överensstämmer med kraven på informationssäkerhet.
Utbudet av uppgifter som löses med hjälp av SOC är ovanligt brett. Du kan implementera nästan vilken funktion som helst som kräver insamling av information, dess bearbetning och utveckling av svarsåtgärder, oavsett om det är nätverksutrustning, arbetsstationer, databaser eller teknisk utrustning, till exempel teleoperatörers basstationer.
Till sist
Trots att Centers for Operational Information Security Management i Ryssland ännu inte är särskilt vanliga, finns det redan en unik erfarenhet av att bygga sådana centra och exempel som kan användas som exempel för alla organisationer. För närvarande finns det cirka 50 implementeringar av övervaknings- och informationssäkerhetsincidenthanteringssystem baserade på ArcSight ESM, Symantec SIM och RSA enVision-produkter. Ledarskapet inom detta område i Ryssland innehas med säkerhet av ArcSight, som har mer än 30 implementeringar. Antalet MaxPatrol-installationer fluktuerar också runt 50, men man bör ta hänsyn till att MaxPatrol är en relativt ny produkt som dök upp på marknaden för ett par år sedan, och enligt experternas prognoser, i slutet av 2011 antalet MaxPatrol-baserade sårbarhetshanteringssystem kan nå hundra. Inom området för databasskydd med påtvingade medel har antalet implementeringar av Guardium, Imeprva, Embarcodero och Netforensics Dataone-produkter redan överstigit femtio, och inte bara telekommunikationsföretag och stora banker, eftersom de traditionellt uppmärksammar informationssäkerhet, utan även företag från industrisektorn visar intresse för sådana produkter. , små tjänsteleverantörer och till och med statligt ägda företag, eftersom produkterna är certifierade av FSTEC, får förmågan att skydda konfidentiell information i statliga organisationer.
Det är uppmuntrande att ett växande antal företag inte bara implementerar olika skydd, utan redan drar full nytta av fullfjädrade SOC. Av de mest välkända operativa ledningscentra för informationssäkerhet kan man peka ut SOC i Beeline, MTS, TNK-BP och ett antal andra stora organisationer, information om vilka finns på nätverket.
Är det inte dags för dig att tänka på alla nöjen och fördelar med att organisera ett Information Security Operations Center i ditt företag?