Практические аспекты мониторинга и управления событиями информационной безопасности Виктор Сердюк, CISSP, Генеральный директор ЗАО «ДиалогНаука»
О компании «ДиалогНаука» Создано в 1992 году СП «Диалог» и Вычислительным центром РАН Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были ревизор ADinf, Doctor Web и Aidstest В настоящее время ДиалогНаука является системным интегратором в области информационной безопасности
Членство в ассоциациях Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ) Ассоциации документальной электросвязи (АДЭ) Сообщество ABISS (Association of Banking Information Security Standards) Сертифицированный партнер BSI Management Systems Ассоциация ИнфоРус
Лицензии компании «ДиалогНаука» Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Серия КИ Номер Регистрационный номер 0284 от 20 июня 2006 г. Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации. Серия КИ Номер Регистрационный номер 0486 от 20 июня 2006 г. Лицензия ФСБ на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Регистрационный номер 3237 П от 15 июня 2006 г. Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств. Регистрационный номер 3238 Х от 15 июня 2006 г. Лицензия ФСБ на распространение шифровальных (криптографических) средств. Регистрационный номер 3239 П от 15 июня 2006 г. Лицензия ФСБ на предоставления услуг в области шифрования информации. Регистрационный номер 3240 У от 15 июня 2006 г.
Основные направления деятельности проведение аудита информационной безопасности разработка системы управления безопасностью в соответствии с ISO разработка Политик информационной безопасности и других нормативных документов, регламентирующих вопросы защиты информации проектирование, разработка и внедрение комплексных систем обеспечения информационной безопасности поставка программного и аппаратного обеспечения в области защиты информации техническое сопровождение поставляемых решений и продуктов
Современные проблемы информационной безопасности Слишком много устройств, слишком много данных… Ответные действия на угрозы безопасности должны быть предприняты немедленно! Большое количество разнородных устройств безопасности –90% используют межсетевые экраны и антивирусы –40% используют системы обнаружения вторжений (IDS) –количество сетевых устройств растет –больше оборудования означает большую сложность Очень много событий по безопасности ! –один межсетевой экран может генерировать за день более 1 Гигабайта данных в Log-файле –один сенсор IDS за день может выдавать до 50 тыс. сообщений, до 95% ложных тревог! –сопоставить сигналы безопасности от разных систем безопасности практически невозможно
Принцип работы SIEM Тысячи сообщений Десятки сообщений Миллион сообщений Антивирусная подсистема Маршрутизаторы, коммутаторы Межсетевые экраны Системы обнаружения вторжений Серверы, операционные системы Системы аутентификации Приоре- тизация Корреляция Фильтрация Нормализация Агрегирование
Фазы обработки сообщений 1.Сбор данных (Collection) Перемещение данных журналов из устройств безопасности или их систем управления в единую базу данных. 2. Нормализация (консолидация) (Consolidation) Cбор данных разных форматов из различных источников приведение (преобразование) данных к единому виду и создание единого лог файла. 3.Агрегирование Процесс удаления дублированных событий для уменьшения количества поступающих данных и экономии времени их последующей обработки и анализа. Агрегирование событий также используется для удаления дублированных событии от множества систем. 4. Корреляция (Correlation) Случайное, взаимодополняющее, эквивалентное или обратное соотношение между двумя сравниваемыми событиями, особенно структурное, функциональное, или качественное. 5. Приоретизация (Prioritization)
Архитектура системы мониторинга 9
Важность SIEM систем 10 SIEM создаёт централизованную точку контроля информационной безопасности Сетевые устройства Серверы Мобильные устройства Рабочие станции Системы безопас- ности Физический доступ Приложе- ния Базы данных Учётные записи
Награды Данные в отчетахО компании О компании ArcSight Основана в мае сотрудников 600+ прямых клиентов 850+ клиентов партнеров NASDAQ: ARST Лидер в последних двух отчетах Лидер по доле рынка Лидирующие позиции за последние 5 лет
Место ArcSight в отчетах Gartner
Доля рынка компании ArcSight
ArcSight ESM Архитектура Интегрированная платформа для сборки, обработки и оценки информации о событиях информационной безопасности. Правила Оповещения Отчёты Визуализация ArcSight НастраиваемыеДополнительные Реагирование КорреляцияЖурналирование Connectors Уровень ядра Модульный уровень Уровень интеграции Правила Оповещения Отчёты Визуализация Правила Оповещения Отчёты Визуализация
ArcSight ESM Архитектура База данных ArcSight Manager TM Сервер обработки событий безопасности SmartConnector FlexConnector Средства получения информации Хранилище данных ArcSight Web TM Web-консоль управления ArcSight Console TM Консоль администрирования
Уровень интеграции Собирают журналы в оригинальных форматах более чем с 275+ систем Приводят события к единому формату Передают события на Manager по защищённому, отказоустойчивому протоколу FlexConnector Wizard для добавления новых типов источников 16 Стоечные устройства Устройства для филиального офиса Отдельное ПО Доступны в виде: Преимущества: Анализ событий независимо от типа устройства Connectors
Поддерживаемые устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering
Отказоустойчивая архитектура сбора событий ArcSight Monitoring ArcSight Connector События Централизованное управление/обновление Управление загрузкой канала Heartbeat Поток сжатых событий
Достоинства: Нормализация Windows Ошибка входа Oracle Ошибка входа UNIX Ошибка входа HID-карты Вход запрещён OS/390 Ошибка входа
Достоинство: Категоризация Общая модель событий для всех устройств и программ Возможность понять действительную важность событий от различных систем Анализ событий независимо от типа устройства Без категоризацииКатегоризированное событие
Корреляция Анализ в режиме реального времени бизнес-событий Создание базовых шаблонов поведения Гибкая визуализация для разного уровня восприятия Корреляция – миллионы событий инциденты безопасности 21 Доступен в виде: ArcSight ESM Стоечное устройствоОтдельное ПО
Корреляция Интеллектуальная корреляция событий в режиме реального времени для выявления необычных событий в сети Risk Based Prioritization Отсев ложных срабатываний Графический интер- фейс для создания правил Не требует програм- мирования Active Lists Динамические списки Connector Categorization Историческая корреляция Корреляция архивный событий, по запросу или по расписанию Корреляция в оперативной памяти Более 100+ правил реального времени, Мониторинг в реальном времени Статистическая корреляция Создание шаблонов поведения и выявление отклонений
Модель ресурса и модель пользователя Уязвимости Подверженность ресурса атакам Репозиторий ресурсов Критичность ресурса Насколько критичен данный ресурс для бизнеса? Важность ресурса Модель ресурса Роль Соответствует ли активность роли сотрудника? Профиль пользователя С чем обычно работает данный пользователь? Сопоставление Кто стоит за данным IP-адресом? Политики Каково влияние события на бизнес? Модель пользователя Чёткое понимание рисков и последствий Снижение количества ложных срабатываний Концентрация внимания на действительных угрозах и рисках
–Разделение событий по категориям –Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам –Возможности подробного анализа –Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки
Глобальный режим наблюдения отклонений безопасности –Интерфейс реального времени с географическим расположением объектов и представлением отклонений в параметрах безопасности –Отображение событий по подразделениям или устройствам –Выбор между опасностью события или его категорией –Интуитивно понятный инструментальный интерфейс для подготовки табличных и графических отчетов о безопасности или показ карты нарушений безопасности
Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF
Встроенное управление инцидентами Аннотации: Отслеживание и проведение инцидента в системе документооборота Cases: Создание инцидентов для специфических событий Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы Вложения: Дополнительные данные для расследований Оповещение в реальном времени , пейджер или текстовые сообщения SNMP сообщения
Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотирование инцидентов для более полного анализа Интеграция со сторонними система документооборота
Управление журналами работы Доступен в виде: 29 Система хранения и управления данными журналов (До 35 TБайт) Устройство хранения данных журналов в составе SAN Региональное устройство хранения и управления данными журналов ArcSight Logger Эффективное, автоматизированное хранение терабайтных объёмов журнальных данных Оригинальный или нормализованный формат событий Встроенные отчёты для управления информационной безопасностью Получение данных одним запросом с нескольких устройств Встроенные политики автоматизированного хранения и очистки журналов ArcSight Logger
Эффективное направленное реагирование Создание карты сети для получения точного местонахождения пользователя и определения степени влияния проблемы «Помещение» пользователей или устройств в карантин на основе обработки кейса или в автоматическом режиме Выдача рекомендаций (списка действий) для ручного решения проблемы 30 Доступен в виде: Гибкая, эффективная локализация проблем ArcSight Threat Response Manager Стоечное устройство для интеграции с ArcSight ESM
Принцип работы ArcSight Threat Response Manager Анализ Поиск ближайшей к узлу «контрольной точки» Поиск оптимального способа карантина узла Реагирование Применение MAC-фильтра Отключение порта Ограничение VLAN Изменение ACL Блокировка учётной записи пользователя Запрет VPN-доступа Изменить ACL Несколько воздействий для правильного реагирования Задать MAC- фильтр Отключить порт Quarantine VLAN Authentication, Directory Server Wired Switch Infrastructure Router Firewall VPN Wireless Infrastructure Mobile user Блокировать пользователя Задать MAC-фильтр Локализация Определение адреса узла и получение списка коммутаторов/маршрутиз аторов, с которыми связан данный узел
Дополнительные пакеты ArcSight Набор правил, отчётов, графических панелей и коннекторов Стандарты: оценка соответствия стандартам и\или законодательству Бизнес: решение наиболее распространённых задач защиты информации Доступны в виде: Дополнительные пакеты ArcSight Предустановленного устройства Отдельного ПО Стандарты: SOX/JSOX PCI IT Gov FISMA Бизнес: IdentityView Fraud Detection Sensitive Data Protection
ArcSight ESM Обзор данных в реальном режиме времени от всех систем Централизованное хранилище данных от всех систем Ранжирование угроз, основанное на серьезности ущерба, позволяющее аналитикам сфокусироваться на реальных угрозах и исключить ложные угрозы. Увеличивает эффективность ежедневной работы по безопасности уменьшая стоимость такой работы. Расширяет возможности по мониторингу больших систем Увеличивает эффективность работ по безопасности уменьшая стоимость владения. Позволяет осуществлять анализ инцидентов и «исторический» анализ произошедших событий.
Основные этапы внедрения системы Анализ основных рисков информационной безопасности, актуальных для Банка Разработка перечня типовых инцидентов информационной безопасности, которые могут привести к реализации рисков ИБ Разработка политики управления инцидентами информационной безопасности Разработка детальных регламентов по управлению инцидентами информационной безопасности Разработка базы данных, посредством которой будут фиксироваться инциденты ИБ
Основные этапы внедрения системы Проведение обследования Разработка технических и системных решений Поставка оборудования и программного обеспечения Установка и базовая настройка системы Опытная эксплуатация системы
Спасибо за внимание! Спасибо за внимание , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)