Необходимо заставить полученные данные об угрозах в системе безопасности работать на вас

Последние несколько лет предприятия усиленно наращивали свой потенциал в сфере технологий безопасности — начиная с антивирусных программ и заканчивая системами обнаружения вторжений (Intrusion Detection System, IDS). Однако за это время назрела новая проблема: как агрегировать потоки информации, поступающие от разных устройств безопасности через сеть, и определить наличие взаимосвязи между ними, чтобы расставлять правильные приоритеты и вовремя выявлять опасности? Некоторые производители оборудования уже начали работу в этом направлении. Однако так называемые продукты для «управления событиями безопасности», включая программное обеспечение, специальные устройства и услуги, еще весьма и весьма несовершенны с технологической точки зрения. Это относится к управлению потоками данных и их интеграции, а также к масштабируемости и анализу, необходимому для того, чтобы данные могли использоваться эффективно.

Управление данными, интеграция и масштабируемость

Идея, которая лежит в основе управления событиями безопасности, заключается в том, чтобы в реальном времени получать и сопоставлять информацию от различных устройств в сети, обеспечивая полноценное отслеживание потенциальных опасностей.

Многие из этих устройств могут независимо от других проводить анализ данных и составлять отчеты по безопасности, но все эти сведения необходимо собрать в одно целое, упорядочить и представить в общем формате. Сложность задачи состоит как в большом объеме, так и в разнообразии этих данных. В отсутствие единых отраслевых стандартов преобразование связанных сообщений от оборудования разных изготовителей требует тщательно разработанной и понятной классификации, создаваемой отдельно каждым производителем оборудования для управления событиями.

Хотя в настоящее время делаются попытки стандартизировать словарь, который облегчил бы упорядочение данных о событиях безопасности, постоянные дискуссии тормозят этот процесс.

Делаются попытки разработать стандартизированные методы представления событий безопасности, в их числе проект CVE (Common Vulnerabilities and Exposures — «Общие уязвимые места и дефекты в системе защиты»), а также проекты, которые ведутся сейчас в центре компьютерной «скорой помощи» Computer Emergency Response Team Coordination Center. IETF работает как над IDXP, стандартным протоколом для систем обнаружения вторжения, так и над IDMEF (Intrusion Detection Message Exchange Format). Однако обе эти технологии предназначены для систем обнаружения вторжений и не могут обрабатывать данные, поступающие от частных виртуальных сетей, защитных сетевых экранов и других основных устройств. Некоторые производители пытаются продвигать свои собственные протоколы (примером может служить архитектура SESA, Symantec Enterprise Security Architecture). Другие предпочитают включиться в работу DMTF — группы, управляющей развитием настольных вычислительных систем, по регистрации информации, предупреждению об опасности и составлению отчетов.

Задача управления данными крайне важна, если учесть, что объем информации, который системы управления событиями безопасности должны обрабатывать и хранить в реальном времени, достигает десятков тысяч событий в секунду.

Обычный межсетевой экран в одиночку может сгенерировать 200 событий в секунду, а если эту информацию объединить со сведениями, поступающими от других устройств, поток данных может достичь 4 Гбайт/ч; к тому же многие компании хотят иметь возможность хранения информации в течение 90 дней.

Обнаружение зависимостей и анализ

Существуют специальные технологии и методы предсказания землетрясений. Так же и для управления событиями безопасности существует масса разнообразных впечатляющих технологий, но их применение — это по-прежнему что-то из области магии. У каждого производителя имеется своеобразный подход к обнаружению зависимостей — процессу идентификации угроз путем сопоставления потенциальных опасностей и намеков на них, полученных от различных устройств через сеть.

Большинство производителей используют сочетание обнаружения зависимостей на основе определенных сценариев или правил («если события Х и Y происходят, это, вероятнее всего, означает событие Z») и выявление статистических корреляций, в рамках которого проверяются большие объемы событий на предмет выяснения противоречий и несоответствий, таких как необычно большое число сообщений, полученных с одного и того же порта. Такое сочетание методов необходимо, потому что современных хакеров отследить довольно сложно, к тому же они используют различные устройства для разведки и атаки.

Методы обнаружения зависимостей в управлении событиями служат главным образом для обеспечения проверки в реальных условиях или подтверждения того, что сообщает система обнаружения вторжения при задействовании более широкого набора данных. Обычные хакеры, когда им удается завладеть управлением компьютером, например, стирают контрольные журналы, чтобы скрыть следы своей деятельности, копируют набор собственных программ на машину, а затем используют этот компьютер для разведки или атаки на другие. Определение зависимостей на основе набора правил помогает следить за переполнением буфера, последующей перезагрузкой и исходящим FTP-сообщением, сопоставляя данные, полученные из системных журналов защитного сетевого экрана, приложений и операционной системы главного сервера.

Основные задачи обнаружения зависимостей включают в себя непрерывное построение базы правил, комбинирование этих правил с алгоритмами статистического анализа, установление стандартизированной базисной угрозы и уровней уязвимости, определяемых исходя из контекстных данных и анализа зависимостей в реальном времени, а не по факту вторжения.

Часть производителей оборудования работает над тем, чтобы объединить данные по оценке степени уязвимости, включая сведения, поступающие от сканеров в режиме реального времени, с информацией о доменах или отдельных ресурсах. Это делается для того, чтобы иметь возможность лучше предсказывать в реальном времени наиболее правдоподобный сценарий атаки и степень тяжести последствий.

Эффективное использование данных

Конечная задача для производителей оборудования — определить, как эффективнее задействовать полученные данные и обеспечить соответствующую реакцию на них. Некоторые идут по самому прямому пути: ограничиваясь превентивным запуском нового сканера-«ловушки» или переходом от рассылки сообщений на пейджер к предупреждающему отключению бюджетной записи, что влечет за собой вероятность возникновения DoS-атаки и, как следствие, массовых отказов в обслуживании.

Некоторые производители хотят иметь возможность «на лету» менять режимы работы основных устройств, но для этого могут потребоваться новые дорогостоящие разработки, если производители устройств не объединят свои усилия. «Они не хотят разглашать программные интерфейсы собственных приложений, чтобы никто не смог заменить в них консоли управления», — объясняет Хью Ньеманц, руководитель технического отдела компании ArcSight.

Роб Клайд, руководитель технического отдела Symantec, говорит, что многие из существующих систем управления уже имеют наборы инструментов для сортировки, фильтрации, классификации и объединения данных по безопасности в одно целое. Важным является решение вопроса о том, каким образом можно снять ответственность за проведение анализа с операторов связи и внедрить данный процесс в существующие системы управления событиями так, чтобы это способствовало реальному отклику.

Какое будущее ждет стратегию управления событиями безопасности? Ньеманц из ArcSight говорит следующее: «Существует еще очень много способов мониторинга (по типу «Большого брата»), которые рассматриваются в настоящее время, и, вероятно, они будут использоваться в системах, подобных нашей». Он приводит в пример анализаторы пакетов, которые следят за электронной перепиской и наблюдают за работой каждого сотрудника вплоть до того, какие клавиши на клавиатуре он нажимает. «На самом деле, довольно страшно, если только на секунду задуматься об этом».

Управление событиями безопасности

Решения стратегии управления безопасностью предлагают способ получения в реальном времени всеобъемлющей картины угроз в сети с помощью объединения потоков данных от множества устройств и систем, а также корреляции этих данных для того, чтобы предугадать и оценить опасные моменты. К источникам информации относятся:
  • устройства безопасности - такие как межсетевые экраны, виртуальные частные сети, антивирусные пакеты и системы обнаружения вторжения;
  • сетевые устройства - маршрутизаторы, концентраторы и коммутаторы;
  • журналы аудита операционных систем, а также систем хранения.