Стандарты информационной безопасности ISO 27001, PCI DSS, стандарт Центробанка России и ФЗ-152 подразумевают наличие в компании регламентированных процессов управления информационной безопасностью. Сокращение расходов компаний на расследование инцидентов и предотвращение их появления в будущем, а также необходимость снижения финансовых рисков — все это мощные стимулы для построения на предприятиях Центров оперативного управления информационной безопасности (Security Operations Center, SOC). В перечень задач таких центров входит мониторинг и управление инцидентами, управление уязвимостями, а также контроль исполнения политик безопасности компании.
Для решения этих задач SOC должен получать сведения об активностях пользователей во всех элементах корпоративной информационной системы, сведения из журнала событий систем, отвечающих за информационную безопасность, а также протоколы работы сетевого оборудования, причем сведения эти должны быть очень подробными, актуальными и достоверными. При этом, если SOC планируется использовать для защиты от мошенничества, то нельзя доверять одному источнику информации и надо предусмотреть возможность перепроверки всех данных, поступающих из нескольких независимых источников.
Сетевая инфраструктура компании, операционные системы, базы данных, корпоративные приложения и рабочие места сотрудников или интерфейсы для клиентов, партнеров и поставщиков требуют особых механизмов защиты. Все эти элементы, как правило, порождают достаточно большой и подробный поток системных событий, который необходимо анализировать. В частности, с помощью подобного анализа отслеживаются действия сторонних лиц (например, аутсорсеров), получающих временный доступ к корпоративной системе предприятия.
Действия другого класса возможных злоумышленников – инсайдеров — труднее зафиксировать только по сведениям, поступающим от самого элемента корпоративной системы, поэтому для борьбы с ними нужно иметь независимые и дублирующие источники информации о происходящих в корпоративной системе событиях. Для проверки сведений можно использовать дополнительные средства контроля, которые собирают информацию независимо от основных источников и не находятся под контролем ИТ-администраторов. Конечно, для успешной защиты нужно позаботиться о разграничении прав доступа так, чтобы компонент и его защита администрировались разными людьми из разных отделов, исключая их сговор.
Компоненты SOC
Среди средств защиты и контроля элементов информационной системы обычно выделяют следующие.
Сканеры уязвимостей. Продукты, которые различными способами обнаруживают уязвимости в инфраструктуре, платформах и приложениях, а также распознают сервисы и программы, имеющие известные уязвимости или нарушающие корпоративные политики безопасности. Наиболее популярным продуктом этого класса является MaxPatrol компании Positive Technologies.
Предотвращение утечек или DLP. Инструменты контроля за информационными потоками данных, определяющие факт передачи конфиденциальных сведений от одного пользователя другому внутри компании или вовне. К данному классу продуктов можно отнести, например, комплекс защиты от утечек информации «Дозор-Джет», Symantec DLP.
Защита Web-сервисов и баз данных (WAF и DAM). Продукты для контроля активности пользователей приложений и баз данных с целью исключения их неправомерного использования. В частности, именно эти продукты выявляют и блокируют такие типы атак, как SQL-инъекции, и позволяют обнаружить ошибки, допущенные при создании Web-приложений и классических решений типа «клиент-сервер». Наиболее популярными продуктами этого класса являются решения компаний Imperva, а также системы IBM Guardium и Oracle DBF.
Перечисленные средства защиты контролируют работу основных элементов информационной системы и передают эти данные в SOC через специальные средства интеграции. Работа каждого компонента информационной системы неоднократно проверяется, при этом проводится фильтрация данных и корреляция событий, зафиксированных на разных средствах защиты информации. С помощью правильных настроек можно добиться того, чтобы данные, полученные от приложения, не могли быть без следов изменены администраторами внутри компании. В целом же защита должна гарантировать, что никто не сможет вмешаться в работу штатных систем управления доступом.
Получая сведения из всех указанных источников, SOC распознает потенциально опасные ситуации, собирает точные сведения о каждом инциденте и обеспечивает его расследование.
SOC по версии «Инфосистемы Джет»
В зависимости от степени зрелости и текущих задач компании-заказчика, компания «Инфосистемы Джет» предлагает различные варианты построения SOC: от внедрения отдельных систем до комплексных решений. При реализации сложных масштабных проектов в ряде ситуаций наиболее целесообразным становится поэтапное внедрение, когда на каждом этапе увеличивается область применения SOC как по территориальному охвату (например, сначала головной офис, затем региональные филиалы), так и по функциональным системам (сначала система управления событиями информационной безопасности, а затем система управления уязвимостями).
На рисунке представлена типичная структура SOC — использование решений нескольких производителей позволяет учесть масштаб, особенности ИТ-инфраструктуру и другие особенности каждой компании.
Управление событиями осуществляется на базе продуктов ArcSight ESM, RSA enVision, Symantec Security Information Manager (SSIM), Cisco Security Monitoring, Analysis and Response System (CS-MARS).
Аудит действий пользователей проводится средствами хорошо зарекомендовавших себя на практике продуктов IBM Infosphere Guardium и Imperva, первый из которых легко интегрируется с продуктами ArcSight ESM, а второй – обладает одним из самых мощных на сегодняшний день функционалов межсетевого экранирования для Web-приложений (Web Application Firewall).
Управление уязвимостями, инцидентами и контроль соответствий осуществляется средствами продукта MaxPatrol (Positive Technologies).
— Валерий Коржов (oskar@osp.ru), обозреватель Computerworld Россия (Москва).
Продукты для SOC
Для построения автоматизированной системы управления информационной безопасностью сегодня активно применяются следующие продукты:
- HP ArcSight – сбор и корреляция событий, выявление инцидентов информационной безопасности и сохранение всех необходимых сведений об участниках инцидента. Флагманом линейки является комплексный продукт ArcSight Enterprise Security Solution, который базируется на ядре сбора и анализа данных Enterprise Security Manager;
- RSA enVision – позволяет построить единое интегрированное решение по управлению журналами регистрации событий, обеспечивает автоматический сбор, анализ и оповещение об инцидентах информационной безопасности;
- Symantec SIM — как и конкурентные решения, выполняет сбор событий с различных устройств и приложений. С помощью сервиса Symantec Global Intelligence Network обеспечивается безопасность наиболее важных для бизнеса ресурсов.
Перечисленные продукты осуществляют сбор информации со всех элементов информационной системы и позволяют применять к ним базы правил для выявления инцидентов. Эти системы также сохраняют собранные сведения в центральной базе данных, которую можно использовать для расследования инцидентов. Правила выявления инцидентов могут быть настроены не только на классическую информационную безопасность с обнаружением атак на информационные системы, но и на фиксацию фактов мошенничества, злоупотребления полномочиями и других видов рисков, которые могут принести значительный вред компании.
Организация работы с информацией об атаках и мошенничестве (управление событиями и инцидентами) начинается с мониторинга информации о происходящих событиях. При выявлении инцидента должна быть предусмотрена процедура сохранения как можно более подробной информации о нем для последующего расследования. Следует отметить, что расследование инцидентов предусмотрено практически всеми стандартами по информационной безопасности (ISO 27001, PCI DSS и 152-ФЗ «О персональных данных» и др).
В любой техногенной системе слабым звеном является человек, от которого требуется строго и безошибочно следовать предписаниям бизнес-процессов. В этой связи в компании необходимо провести обучение сотрудников политикам информационной безопасности и так организовать работу информационной системы, чтобы сотрудники различных подразделений контролировали работу друг друга, выявляя отклонения в инструкциях. Этого можно добиться, например, с помощью того, что администратор базы данных будет находиться в отделе ИТ, а администратор средства защиты базы данных — в отделе информационной безопасности. Без проведения подобной работы вряд ли удастся эффективно справиться с мошенничеством.
Борьба с мошенничеством
Убытки от несанкционированных действий (фрода) в различных отраслях по оценкам экспертов существенно разнятся: 3-6% от прибыли в телекоме, 1-2% в финансовой сфере. Тем не менее, ряд исследований показывает, что в развитых странах доля потерь может достигать 15% от прибыли.
Мошенничество в сетях связи призваны предотвратить системы класса Fraud Management & Revenue Assurance, которые по определенным правилам проверяют каждое действие в информационной системе, совершаемое сотрудниками, клиентами, партнерами, с целью выявить те из них, которые могут нанести вред компании. При этом совсем не обязательно, чтобы злоумышленники атаковали информационную систему или даже вмешивались в бизнес-процесс компании. В некоторых случаях операции в информационной системе выглядят вполне легальными, но будут казаться подозрительными при анализе типичных методов мошенничества. Разработка правил обнаружения подобных мошеннических действий является достаточно трудоемкой задачей.
Для борьбы с мошенничеством используются, например, модульные решения, входящие в состав систем управления событиями, рисками или инцидентами. Например, у продукта HP ArcSight имеется дополнительный модуль для анализа на возможность мошенничества. При этом правила для подобного модуля только частично разрабатывает производитель — в этом процессе может принимать активное участие системный интегратор и клиент. Здесь привязка к отрасли меньше, да и клиент может более точно настроить такой продукт под свои потребности и бизнес-процессы.
Конфигурация, предусматривающая включение фрод-мониторинга в состав SOC, достаточно удобна, и многие системные интеграторы уже научились создавать подобные связки. Например, у компании «Инфосистемы Джет» имеется опыт построения корпоративных SOC с фрод-мониторингом. В подобных проектах на первоначальном этапе готовится необходимая документация и инструкции для организации бизнес-процесса по управлению инцидентами, после чего проводится учет и обследование информационных систем и средств защиты, присутствующих у клиента. Затем устанавливаются защитные механизмы, которые необходимы для независимого получения информации. Потом происходит внедрение системы мониторинга и управления событиями информационной безопасности с настройкой всех необходимых правил для выявления инцидентов и их расследования. Когда SOC будет развернут и настроен, можно приступать к внедрению систем защиты от мошенничества.
В наибольшей степени системы предотвращения мошенничества востребованы в банковском и финансовом секторе, в сфере страхования, ТЭК, торговли, а также телекоммуникаций. Здесь построение подобных систем не только позволяет удовлетворить стандартам на информационную безопасность, но и сохранить значительные финансовые ресурсы. В этом случае SOC, позволяющий выявить, предотвратить и при необходимости провести расследование фактов мошенничества, является необходимым элементом бизнеса любой успешной компании.
Артем Медведев (infosec@jet.su) – руководитель направления Центров оперативного управления информационной безопасности компании «Инфосистемы Джет» (Москва).