поиск по сайту
Агрегация и визуализация событий средств защиты информации

Т. М. Борисова

Россия, ОКБ САПР

Агрегация и визуализация событий средств защиты информации

Презентация: скачать

В наше время уже давно ни у кого не возникает сомнения, что при разработке любой автоматизированной системы необходимо задумываться не только о том, как реализовать ее в соответствии с оговоренными требованиями к функционалу, но и о том, как в последующем при внедрении защитить обрабатываемую в ней информацию.  Для обеспечения доверенной среды функционирования используются средства защиты информации от несанкционированного доступа (СЗИ от НСД), для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам - соответствующие программно-аппаратные комплексы, в состав которых входят и модули доверенной загрузки.

Одним из таких средств защиты информации является давно известный и широко используемый программно-аппаратный комплекс ПАК СЗИ НСД «Аккорд-NT/2000» для 32-х битных ОС младше Microsoft Vista, а так же более новые ПАК СЗИ НСД «Аккорд-Win32» для всех 32-х битных ОС и «Аккорд-Win64» для всех 64-х битных ОС (далее ПАК СЗИ НСД «Аккорд»). Перечисленные комплексы могут работать как на автономных ПК, так и в терминальном режиме (TSE).

Помимо основного функционала по защите от несанкционированного доступа, обеспечению доверенной загрузки ОС, контролю целостности программ и данных, их защиты от несанкционированных модификаций, разграничению доступа пользователей и т.д., в состав этих ПАК входит возможность ведения протокола регистрируемых событий СЗИ, происходящих в процессе функционирования системы.

В течение всего сеанса работы пользователя в системе c установленным и настроенным ПАК СЗИ НСД «Аккорд» ведется подробный журнал событий, в котором фиксируются все действия пользователя на ПК или на терминальном сервере в зависимости от того, на автономном ПК он работает или работа происходит в терминальном режиме.

Журнал событий СЗИ содержит информацию о дате и точном времени регистрации события, детальности журнала, установленной на момент регистрации события, имени рабочей станции, типе операции, наименовании объекта доступа (файла, каталога, диска, устройства), имени процесса и результате события. При положительном завершении события в журнал записывается результат «ОК», а при отрицательном - регистрируется  несанкционированный доступ (НСД) или ошибка доступа (в случае нарушения целостности сообщается об изменении параметров контроля).

Для просмотра журнала событий СЗИ существует специальная программа, входящая в состав ПАК СЗИ НСД «Аккорд», которая позволяет осуществить не только просмотр журнала, но и его вывод на печать и архивацию. Журнал отображается в виде таблицы, каждая строка  которой соответствует одному событию, зарегистрированному в журнале.

Функции просмотра и анализа событий в журнале СЗИ, как правило, входят в обязанности администратора информационной безопасности (ИБ), роль которого специально вводится для решения данных задач. Администратор ИБ не является администратором данной системы и не занимается установкой и настройкой программного обеспечения, защиту которого выполняет ПАК «Аккорд». При появлении в журнале события с результатом НСД или ошибка доступа Администратор ИБ должен понять, почему эта ошибка произошла и с чем она связана. Возможно, отрицательный результат был получен из-за неправильной настройки ПАК «Аккорд», например, неверно настроенного доступа к сетевым ресурсам,  или из-за попытки установки каких-либо вполне легальных обновлений операционной системы, антивируса и т.п. Однако вполне возможно, что имела место попытка несанкционированного доступа или нарушение целостности контролируемого объекта.

В реальных системах журнал событий СЗИ, как и журнал любой другой программы, полученный в результате работы пользователя, состоит из огромного количества строк, описывающих возникшие события. А если учесть, что пользователей в системе, как правило, достаточно большое количество, то становится очевидно, что работа администратора ИБ по анализу событий представляет собой нелегкий труд даже при использовании программы просмотра событий СЗИ, входящей в состав ПАК. Если же администратору ИБ нужно агрегировать все события НСД и подготовить по ним, например, сводку о попытках НСД с классификацией по типу события в определенный период времени, то эта задача становится еще более сложной. К тому же не стоит забывать, что организация может состоять из нескольких подразделений. В этом случае для анализа работы системы в целом руководителям организации может потребоваться общая статистика по событиям НСД. А если отделений несколько сотен, то составление такой статистики, а так же ее анализ в виде журналов событий СЗИ становится практически нереальной задачей.

Для решения этой проблемы существует ряд способов. Одним из таких способов является использование технологии Business Intelligence (BI). В основе этой технологии лежит организация доступа конечных пользователей (руководителей, аналитиков, администраторов) к данным, структурированным определенным образом,  анализ полученных структурированных данных, и получение на их основе информации о процессах, происходящих в системе. Технология BI может быть использована для любых агрегированных данных, в том числе и для журналов событий СЗИ.

Описанная технология используется в продукте Contour BI, одна из модификаций которого предназначена для обработки и анализа, рассматриваемых в этой статье событий СЗИ, полученных в результате функционирования ПАК «Аккорд».

В состав данного продукта входит программа, предназначенная для быстрого создания интерактивных отчетов, используемая для анализа полученных в них данных силами конечных пользователей, которыми могут быть руководители организации, руководители подразделений организации, аналитики, администраторы ИБ и т.п. Входными данными для программы, как правило, являются суммированные в один большой журнал несколько сотен или даже тысяч журналов событий СЗИ от различных подразделений организации,  выходными же данными являются графики и диаграммы,  на основании которых можно  отфильтровать нужные данные или выполнить сортировку по выбранному событию, выделить N лучших или худших событий.

Помимо перечисленных возможностей Contour BI предоставляет возможность корреляционного анализа данных. Имеется виду анализ журналов событий СЗИ, полученных в результате функционирования ПАК «Аккорд», совместно с анализом журналов событий других подсистем, одновременно функционирующих в рассматриваемой системе. Такими подсистемами, могут быть, например, подсистемы, регистрации доступа пользователей в помещение, антивирусной защиты, обновления операционной системы  или какого-либо прикладного программного обеспечения. Используя  BI и журналы событий различных подсистем можно провести более глубокий анализ всех событий, происходящих в системе. Например, в одном из подразделений организации, судя по журналам событий СЗИ, каждую неделю в определенный день и время происходят попытки НСД, связанные с попыткой доступа к какому-либо ресурсу. Проанализировав журнал антивирусной защиты можно понять, что как раз в этот день и время происходит обновление антивирусных баз. И уже на основании полученной из обоих журналов информации можно сделать вывод легальное ли это обновление или нет, или имеет место ошибка настройки СЗИ. Ручной анализ таких событий достаточно сложно выполнить быстро и качественно, в свою очередь, BI  позволяет это сделать без особых временных затрат, используя фильтры и диаграммы событий. В данном примере рассмотрена корреляция двух достаточно простых событий, а если события более сложные и их не два, а гораздо больше, к тому же все они между собой переплетены, то при выполнении их анализа без BI не обойтись.

На фоне того, что средства защиты информации сами по себе решают задачи обеспечения информационной безопасности, и события СЗИ говорят о попытках НСД или ошибках доступа, анализ корреляции этих данных с данными, казалось бы, посторонних для ИБ подсистем,  может дать гораздо больше информации, нежели, чем при анализе журналов событий каждой подсистемы в отдельности.

Кроме описанного средства агрегации, визуализации событий СЗИ, анализа их корреляции с событиями других систем с использованием BI, существует еще ряд различных средств, предназначенных для решения подобных задач. Таким средством является  продукт  IBM Tivoli Security Operation Manager (TSOM), в задачи которого входит централизованное выполнение действий по обеспечению безопасности для различных подразделений, технологий и процессов, а также управление происшествиями, связанными с IT-безопасностью. При помощи TSOM журналы событий СЗИ, полученные в процессе функционирования ПАК «Аккорд», могут быть также агрегированы в единый журнал, при этом существует возможность их анализа на предмет корреляции с событиями других систем безопасности.

Подводя итог, можно сделать вывод, что для контроля и анализа событий безопасности (включая анализ корреляции событий СЗИ с другими событиями) в автоматизированных системах с небольшим количеством пользователей достаточно использовать ручной анализ журналов событий, а в системах с большим количеством пользователей и в распределенных системах целесообразнее воспользоваться средствами, работающими на основании технологии BI или их аналогами.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них