GetInfo.Ru – Компьютерная библиотека
Последние поступления
Как выбрать систему управления базы данных
Базы данных03/09/14
Этапы загрузки UNIX (в схеме)
Unix27/03/12
Gatewall Antispam: тотальный контроль электронной почты
Спам21/04/11
Мастер-класс: создаем Интернет-магазин (Часть 1)
Обзоры ПО20/04/11
CorelDRAW Graphics Suite X5: Что нового?
Обзоры ПО20/07/10
Добавить статью
Самые читаемые материалы
Что такое SSH?(20688)
Создание отдела информационной безопасности, или строим забор своими руками(11587)
Один в поле не воин: межсетевые экраны и антивирусы - братья на веки!(11468)
Оценка затрат компании на ИБ(10770)
Десять мифов о паролях в Windows(10121)
Всего статей: 793Всего авторов: 364Подразделов: 47Добавлено за сутки: 0
Статьи  СТАТЬИ Форум  ФОРУМ Рейтинг  РЕЙТИНГ Поиск  ПОИСК Контакты  КОНТАКТЫ
» Главная » Вопросы безопасности » Централизованный мониторинг атак в корпоративной сети

Централизованный мониторинг атак в корпоративной сети


А. В. Лукацкий
luka@infosec.ru
http://www.infosec.ru/

Введение

Любая компания, занимающаяся электронным ведением бизнеса или подключенная к сети Internet, понимает необходимость защиты своей корпоративной сети от внешних и внутренних злоумышленников. Мало того, почти каждая компания имеет средства защиты информации. Причем это могут быть как свободно-распространяемые средства, такие как, сканер безопасности Nessus, система обнаружения атак Snort или межсетевой экран IPCHAINS, так и широко известные коммерческие решения - МСЭ CheckPoint Firewall-1 Next Generation, Internet Scanner и система обнаружения атак RealSecure Network Sensor. Несмотря на это, как свидетельствует неумолимая статистика, число инцидентов с безопасностью не только не сокращается, а наоборот, каждый год удваивается (см. рис. 1). И это при том, что технологии защиты не стоят на месте и год от года улучшаются. Однако и хакеры не такие уж "сторонники застывших поз". По оценкам специалистов Пентагона, средства для реализации атак качественно совершенствуются 1-2 раза в год. Мало того, 21 июня 2001 года Лоуренс Гершвин, один из руководителей ЦРУ, пожаловался Конгрессу США, что его ведомство не поспевает за хакерами, которые совершенствуют свои технологии гораздо быстрее, чем ЦРУ разрабатывает противодействующие им средства. "Все что мы можем сделать, это зафиксировать факт нападения", - сказал Гершвин.


Рис. 1. Число инцидентов (по данным CERT с 1988 г. по 2-ий квартал 2002 года включительно)

Ваша сеть в ваших руках

Несмотря на "интеллектуальные" возможности современных средств защиты, позволяющие автоматически обнаруживать нарушения политики безопасности и реагировать на них. Однако полная автоматизация процесса обнаружения таких нарушений пока является недостижимой мечтой. Почти во всех известных инцидентах, которые были зафиксированы, и в которых злоумышленник был пойман, применялись "ручные" методы, основанные на внимательности операторов защитных систем или на дополнительных, самостоятельно разработанных программах, расширяющих функциональность используемых средств обеспечения информационной безопасности. Кстати, понимая, что современные системы обнаружения атак еще не так эффективны, ВВС США выделили несколько своих сотрудников для контроля за сетевой активностью, полагаясь не только на данные, фиксируемые средствами обнаружения атак и межсетевыми экранами, но и на свой опыт и интуицию.

Еще одна проблема связана с тем, что в организациях, как правило, используются разнородные защитные средства, у которых свои способы управления, свои методы представления информации и тревожной сигнализации, свои форматы хранения данных и т.п. И проблема не только в том, что средства защиты поставляются различными производителями. Например, межсетевой экран от компании Cisco Systems, система обнаружения атак - от Internet Security Systems, система защиты от НСД - от НИП "Информзащита", VPN - от CheckPoint Software, антивирус - от Symantec и т.д. Приобретая все указанные категории средств от одного производителя, вы не застрахованы от того, что они НЕ будут работать вместе. Например, возьмем для примера решения компании Symantec, которая на сегодняшний день предлагает практически весь спектр средств защиты - от антивирусных систем до межсетевых экранов. Однако, у каждого из продукта, выпускаемого под маркой Symantec (а их для корпоративного рынка насчитывается более 20) своя собственная консоль (!) управления. Как вы думаете, сможете ли вы в таком случае эффективно управлять инфраструктурой информационной безопасностью вашей сети? Перед глазами сразу встает картина - администратор (хорошо если он не один) сидит перед 20-тью мониторами и пытается одновременно следить за ними всеми. Впечатляет, не правда ли?

Опыт показывает, что для того, чтобы избежать этих проблем, необходима (помимо собственно средств защиты) эффективная система мониторинга уровня защищенности корпоративной сети. Т.е. наибольший эффект достигается тогда, когда все используемые защитные средства объединены в единую управляемую систему информационной безопасности. Специалисты НИП "Информзащита" имеют опыт построения таких систем (на базе решений различных компаний - Internet Security Systems, Cisco Systems, CheckPoint Software и т.д.) и я хотел бы вкратце поделиться с ним с читателями журнала.

Безопасность, которая видна

Десятилетний опыт работы в области защиты информации позволил нам выработать ряд требований к системе централизованного мониторинга и реагирования на атаки. Сразу хочу отметить, что данная система лишь элемент (хотя и немаловажный) в комплексной системе управления информационной безопасностью предприятия, которая строится из разных "кирпичиков". Другим кирпичиком является система контроля утечки конфиденциальной информации и мониторинга Web-трафика, система внутреннего контроля и т.д. Однако перейдем к вышеназванным требованиям.

Первое и, пожалуй, самое главное требование к системе централизованного управления - возможность единого управления разнородными средствами. Под термином "единый" в данном случае понимается не только одна консоль "на всех", но и единая политика безопасности, которая распределяется по всем средствам защиты. Это позволяет не только уменьшить время (а также деньги - и деньги немалые) на изучение различных консолей управления, но и существенно облегчить администратору безопасности задачу создания непротиворечивых требований к различным средствам защиты. А возможность создания и хранения политики безопасности на единой консоли позволяет не бояться запутаться в различных копиях, находящихся на межсетевом экране, системе обнаружения атак, маршрутизаторе и т.п.

С консолью связано и еще одно немаловажное требование. Ведь нередки ситуации, когда в удаленных офисах также присутствуют квалифицированные администраторы, на которых и надо возложить управление сетью, с которой они знакомы лучше, чем специалисты центрального офиса. Однако, отдавая управление в "чужие" руки, стоит позаботиться о контроле за удаленной сетью. Поэтому еще одно требование к системе централизованного мониторинга и реагирования на атаки - возможность создания иерархий консолей - "филиалы - центральный офис".

В крупных сетях число контролируемых узлов может превышать несколько тысяч, что становится постоянной головной болью для администраторов, не справляющихся с огромным потоком информации, отображаемой на консоли (сотни тысяч сигналов тревоги). С целью облегчения труда администратора безопасности предлагаемое нами решение предоставляет возможность группирования всех защищаемых ресурсов на основе различных признаков:

  • Географическому (например, ресурсы Московского офиса и Киевского филиала).
  • Топологическому (ресурсы демилитаризованной зоны и ресурсы внутренней сети).
  • Бизнес-задачам (коммерческий департамент, бухгалтерия, департамент разработок).
  • Сервисному (базы данных, сервера приложений, Unix-сервера, Web-сервера, рабочие станции).
  • И т.д.

Так как события от всех управляемых сенсоров отображаются в реальном режиме времени, то число таких событий может быть очень велико, что существенно затрудняет их просмотр и анализ. Кроме того, многие из этих событий являются "шумовыми" и не несут значимой (с точки зрения информационной безопасности) информации. С целью решения этой проблемы в системе централизованного мониторинга должен быть реализован механизм фильтров, который позволяет администратору самому решить, что показывать на консоли управления, а что нет. Использование таких фильтров и, как следствие, уменьшение числа отображаемых на консоли данных в совокупности с группированием ресурсов позволяют обратить внимание оператора только на действительно критичные и серьезные нарушения политики безопасности. Такие фильтры позволяют быстро ответить на следующие вопросы:

  • Кто атакует выбранные ресурсы?
  • Какие ресурсы являются источниками атак?
  • Какие узлы уязвимы?
  • Какие узлы атакуются?
  • Какие уязвимости на выбранных ресурсах?
  • Какие критичные атаки зафиксированы?
  • Какие критичные уязвимости зафиксированы?
  • Какие атаки нанесли ущерб?

Многие специалисты знакомы с рутинными задачами, которые приходится выполнять регулярно и в одно и то же время. Такие рутинные действия отнимают время и силы и зачастую администраторы забывают или не им просто не хватает временя на их исполнение. С целью устранения этой проблемы многие действия в системе централизованного мониторинга автоматизированы и выполняются по расписанию:

  • Сканирование удаленных узлов с целью обнаружения и устранения уязвимых мест.
  • Получение обновлений программного обеспечения, баз сигнатур атак, уязвимостей и вирусов и распределение их по всем "подчиненным" средствам защиты.
  • Централизованное применение политики безопасности ко всем управляемым защитным системам.

Давайте на секунду отвлечемся и представим, что вы едете куда-то на своей машине. Вдруг из под колес впереди едущего грузовика вылетает камень. Результат - разбитое лобовое стекло вашего "железного друга". А теперь представьте, что лобовое стекло вашего автомобиля покрыто специальным покрытием, которое защищает вас от подколесного щебня. Несмотря на то, что камень один и тот же, в зависимости от принятых защитных мер результат будет разный. Тоже самое и со средствами защиты корпоративной сети. Одни атаки могут нанести ущерб вашим ресурсам, а другие нет. Мало того, на некоторые из атак даже не стоит обращать внимания. Именно эту задачу решает механизм корреляции данных, который "может сделать вывод" о том, уязвим ли атакуемый узел, и нанесет ли производимая хакером атака реальный ущерб. По результатам такого анализа система мониторинга может автоматически повысить или понизить степень риска для осуществляемой атаки, что позволить не обращать на нее внимания администратора или, наоборот, лишний раз привлечь его. Таким образом, данная подсистема корреляции позволяет

  • Автоматически анализ журналов регистрации разнородных средств защиты, что позволяет существенно уменьшить время, затрачиваемое на такой анализ.
  • Сэкономить средства и время на анализ, который, в случае отсутствия механизма корреляции, пришлось бы выполнять вручную.
  • Снизить число ложных срабатываний и оповещений о нарушениях политики безопасности.
  • Динамически изменять приоритеты обнаруживаемых атак и также динамически реагировать на них в зависимости от окружающей ситуации.
  • Обеспечивать эффективный уровень защиты корпоративной сети даже в условиях нехватки опыта и знаний.
  • Ответить на вопросы: "Удачна атака или нет?", "Что хакер знает о цели своей атаки?" и т.д.
Что дальше?

Итак, на единой консоли системы мониторинга атак появилось первое сообщение. Что дальше? Как вы должны среагировать на это сообщение? Пропустить, как незначащее, или со всех ног бежать разбираться, что же случилось? Процесс принятия решения о действиях в случае обнаружения атак и их выполнение и называется реагированием на инциденты. Многие современные системы обнаружения атак ранжируют все обнаруживаемые события по степени риска, но практически ни одна из них не дает советов, что делать в случае обнаружения такой атаки.

Поэтому необходимо разработать и утвердить документы, описывающие все действия, которые следует выполнять операторам при обнаружении атак. При этом на одно и то же нападение, в зависимости от сопутствующих факторов, реагирование может быть разным. Например, вы зафиксировали сканирование портов вашего межсетевого экрана. Если он настроен хорошо, то это не очень серьезная угроза, которая требует только фиксации адреса нарушителя. Но если ваш межсетевой экран поддерживает возможность создания VPN, и сканирование портов осуществляется от вашего партнера, с которым у вас установлено защищенное соединение, то такой случай является значительно более неприятным по сравнению с предыдущим. Это означает, что или сеть вашего партнера была скомпрометирована, или кто-то из его сотрудников пытается вторгнуться в вашу сеть. Рассматриваемый инцидент требует более серьезного изучения и уже не входит в компетенцию оператора, который по своей неопытности не может делать различий между этими вариантами. Без наличия соответствующего руководящего документа он просто может не обратить должного внимания на второй случай. Кстати, даже для достаточно опытного оператора многие сообщения системы обнаружения атак являются сущей "китайской грамотой".

Теперь допустим, что оператор смог правильно идентифицировать и зарегистрировать атаку. Он определил или ему помог в этом модуль корреляции, что атака не ложная и имеет высокую степень риска. А что дальше? Какие действия он должен выполнить при переходе обнаруженного события в реальный инцидент? Например, злоумышленник, используя уязвимость Web-сервера, смог получить на нем права администратора и изменить заглавную HTML-страницу в Internet-представительстве вашей компании. Что должен сделать оператор в этом случае? Отключить Web-сервер от сети и позвонить Web-мастеру? Переустановить операционную систему и ПО Web-сервера? Автоматически блокировать соединения с зафиксированным IP-адресом для предотвращения любых будущих атак с данного адреса? Или же?..

Обработка инцидентов - очень сложный механизм, реализовать который самостоятельно на сегодняшний день системе мониторинга атак не под силу. В лучшем случае она сможет в зависимости от цели, типа и степени риска атаки выполнить то или иное действие. Например, разорвать соединение с атакующим узлом или реконфигурировать маршрутизатор или межсетевой экран. Но, во-первых, правильно принять решение о том, КАК надо реагировать на обнаруженное событие, должен человек, а уж система обнаружения атак - просто исполнитель этого решения. А во-вторых, автоматическая реакция может обернуться негативной стороной. Например, вы можете заблокировать авторизованного пользователя, чей адрес был подставлен злоумышленником.

Все вышесказанное подводит нас к мысли, что функции реагирования на инциденты должны быть возложены на специального человека или команду, которая "выполняет, координирует и поддерживает реагирование на инциденты, затрагивающие информационные системы в пределах определенной зоны ответственности". Главным образом, должен быть реализовать ряд нижеперечисленных эффективных защитных мер:

  • В процессе создания группы реагирования на инциденты должен быть обозначен круг лиц, которые должны привлекаться всякий раз, когда зафиксирован инцидент. Необязательно (хотя и крайне желательно), чтобы эти специалисты занимались только реагированием на инциденты - ведь не каждый же день вы подвергаетесь атакам (если конечно вы - не очень известная компания или Internet-портал). Например, группа реагирования может состоять из сотрудников отдела телекоммуникаций, отдела автоматизации, отдела защиты информации и т.д.
  • Необходимо наличие руководящих документов, описывающих варианты реагирования. Например, вы должны решить, позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суд или иную инстанцию, необходимо не прерывать атаку, а собирать дополнительную информацию об атакующем и его действиях. Для этого можно применять обманные системы, завлекающие злоумышленника в ловушку. НИП "Информзащита", создавая своим заказчикам систему мониторинга и реагирования на атаки, поставляет целый комплект таких документов, разработанных специально для заказчика.
  • Важно иметь руководящие документы, регламентирующие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т. д. вплоть до руководства компании или распространяете сообщение также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях, как RU-CERT, OFISP при РосНИИРОС или нет? Вы сообщаете об атаке в Управление "Р" или иное соответствующее ведомство (отделы, аналогичные управлению "Р", созданы в ФСБ, МО и т.д.) или придерживаете информацию? Вы уведомляете об атаке ваших партнеров, которые подключены к вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от СМИ или наоборот - афишируете его? Все эти вопросы требуют ответа.
  • Оповестите свой персонал о создании группы реагирования на инциденты и ее функциях. Для этого, с одной стороны, можно разослать циркулярный документ, описывающий цели и задачи формируемой группы, а c с другой - можно создать внутренний информационный Web-сервер, содержащий информацию о зафиксированных инцидентах, а также форму для заполнения ее пользователем в случае возникновения такой ситуации.
Заключение

Размеры статьи не позволяют подробно рассмотреть все аспекты создания системы централизованного мониторинга и реагирования на атаки. Поэтому я позволю себе просить вас обращаться в нашу компанию по всем вопросам, связанным с данной темой. А в заключение хочу перечислить задачи, решаемые с помощью системы централизованного мониторинга и реагирования на атаки:

  • Управление с единой консоли средствами защиты, находящихся на различных участках корпоративной сети (в т.ч. и в удаленных филиалах).
  • Обеспечение единого, унифицированного интерфейса управления разнородными средствами защиты.
  • Снижение издержек на поддержку управляемых средств защиты.
  • Обеспечение масштабируемости инфраструктуры обнаружения и реагирования на атаки.
  • Снижение числа специалистов, отвечающих за контроль состояния защищенности ресурсов корпоративной сети.
  • Снижение затрат на обучение администраторов безопасности, вынужденных в обычных условиях изучать несколько различных продуктов со своими консолями управления.
  • Существенный рост эффективности работы персонала, отвечающего за обеспечение информационной безопасности.

 
27.03.2003
Версия для печати Версия для печати Запомнить ссылку Запомнить ссылку
Ваша оценка:  1   2   3   4   5     

 О проектеПерепечаткаАвторамПартнерыО нас пишут
Наверх
©2003—2007. GETINFO.RU. ВСЕ ПРАВА ЗАЩИЩЕНЫ.