Особенности создания ситуационных центров по информационной безопасности Виктор Сердюк, CISSP, Генеральный директор ЗАО «ДиалогНаука»
Предпосылки к внедрению SOC Длительное время реагирования на инциденты безопасности Отсутствие средств автоматизации процесса обработки информации о событиях безопасности, поступающих из разных источников Отсутствие средств подготовки консолидированных отчетов по выявленным инцидентам Большое количество ложных срабатываний Отсутствие механизмов автоматизации процессов реагирования на инциденты безопасности Невозможность выявления определенных инцидентов без сопоставления данных из разных источников
Понятие SOC Основные элементы ситуационного центра (SOC): -программно-техническая часть – реализуется на основе решений по мониторингу событий безопасности (SIEM) -документационная часть - включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности -кадровая составляющая - подразумевает выделение сотрудников, ответственных за работу с центром управления
Принцип работы SIEM Тысячи сообщений Десятки сообщений Миллион сообщений Антивирусная подсистема Маршрутизаторы, коммутаторы Межсетевые экраны Системы обнаружения вторжений Серверы, операционные системы Системы аутентификации Приоре- тизация Корреляция Фильтрация Нормализация Агрегирование
Архитектура системы мониторинга 5
Пример 1: о возможностях корреляции событий ИБ Пример 1: Будем считать, что некоторая система класса SIEM имеет возможность определять географическое расположение объекта по его IP-адресу Рассмотрим далее такую ситуацию Система SIEM регистрирует факт удаленного доступа по VPN-каналу с IP-адреса, который находится за пределами России, а в настройках указано, что данный сотрудник не находится в зарубежной командировке и может удаленно работать только внутри страны, тогда система SIEM автоматически сигнализирует о возможной компрометации логина и пароля, при помощи которого был выполнен удаленный доступ
Примеры 2-4: о возможностях корреляции событий ИБ Пример 2: Для операторов связи, предоставляющих доступ в Интернет по логину и паролю (через ADSL или Dial-Up), система SIEM при помощи корреляции может выявлять факты одновременного доступа с одним и тем же логином и паролем из географически разных точек, что может являться признаком компрометации Пример 3: Система SIEM при помощи корреляции может сопоставлять зарегистрированные действия пользователей с их должностными ролями. Например, таким образом система SIEM может зарегистрировать факт получения доступа рядового сотрудника к бухгалтерской информации, к которой он не должен иметь доступ Пример 4: Система SIEM при помощи корреляции может выявлять факты доступа к конфиденциальной информации в ночное (т.е. в нерабочее) время
Примеры 5-6: о возможностях корреляции событий ИБ Пример 5: Система SIEM при помощи корреляции может выявлять факт добавления и удаления у обычного пользователя административных прав в течение заданного промежутка времени. Это может свидетельствовать о том, что пользователю несанкционированно были добавлены права, после этого он выполнил определённые действия, и права были удалены Пример 6: Система SIEM при помощи корреляции событий ИБ может выявить факт доступа к конфиденциальной информации с одним и тем же логином и паролем с разных компьютеров в течение небольшого промежутка времени (например, одного часа) Это может свидетельствовать о компрометации логина и пароля пользователя Точно также система SIEM может регистрировать факт доступа к информации с одного компьютера, но с разными логинами и паролями
Пример 7: о возможностях корреляции событий ИБ Пример 7: Предположим, что система обнаружения вторжений, установленная в какой-то автоматизированной системе, регистрирует атаку типа «SQL injection» на сервис СУБД Oracle сервера X Поскольку данная атака может нарушить работоспособность базы данных, система обнаружения вторжений устанавливает ей высокий уровень приоритета Однако система SIEM может проверить собственно сам факт наличия на сервере Х базы данных Oracle, и только если она действительно установлена, и подвержена указанной атаке, то тогда система SIEM оставляет уровень приоритета без изменений В противном случае система SIEM позволяет понизить уровень приоритета выявленного события
Основные этапы внедрения системы SIEM Проведение обследования Разработка комплекта нормативных документов Разработка технических и системных решений Поставка оборудования и программного обеспечения Установка и базовая настройка системы Опытная эксплуатация
Обследование Сбор информации об источниках, которые необходимо подключить к системе мониторинга Определение и согласование для каждого источника списка действий и событий, мониторинг которых будет проводиться Определение перечня соответствующих режимов аудита, которые необходимо включить на уровне источника Определение объема событий, поступающих со всех типов источников, подключенных к системе мониторинга
Формирование списка типовых инцидентов ИБ Определение типов основных инцидентов ИБ Определение списка событий, которые ведут к инциденту ИБ Определение источника инцидента ИБ Определение и приоритезация рисков, связанных с инцидентами ИБ
Разработка нормативных документов
Разработка технических и системных решений Разработка архитектуры системы мониторинга (состав и размещение компонентов) с учетом требований по отказоустойчивости и обеспечению надежности Определение функциональных требований к системе мониторинга событий информационной безопасности Разработка общесистемных решений по эксплуатации и управлению системой мониторинга Определение порядка установки и настройки системы мониторинга
Установка и настройка системы мониторинга Установка аппаратной и программной составляющих системы мониторинга Контроль установки режимов аудита на всех источниках, подключаемых к системе мониторинга Настройка системы мониторинга (группировка источников событий, настройка параметров архивирования и и резервирования базы событий и др.) Разработка эксплуатационной документации на систему мониторинга (инструкция оператору, администратору и т.д.)
Опытная эксплуатация системы мониторинга Тестирование и проверка функциональных возможностей системы мониторинга Нагрузочные испытания системы мониторинга Отработка регламентов управления инцидентами ИБ Перевод системы в промышленную эксплуатацию по результатам тестирования
ArcSight ESM 17 SIEM создаёт централизованную точку контроля информационной безопасности Сетевые устройства Серверы Мобильные устройства Рабочие станции Системы безопас- ности Физический доступ Приложе- ния Базы данных Учётные записи
Место продуктов ArcSight в отчете MQ SIEM 2010 от Gartner
ArcSight ESM Архитектура База данных ArcSight Manager TM Сервер обработки событий безопасности SmartConnector FlexConnector Средства получения информации Хранилище данных ArcSight Web TM Web-консоль управления ArcSight Console TM Консоль администрирования
Поддерживаемые устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering
Достоинства: Нормализация Windows Ошибка входа Oracle Ошибка входа UNIX Ошибка входа HID-карты Вход запрещён OS/390 Ошибка входа
Модель ресурса и модель пользователя Уязвимости Подверженность ресурса атакам Репозиторий ресурсов Критичность ресурса Насколько критичен данный ресурс для бизнеса? Важность ресурса Модель ресурса Роль Соответствует ли активность роли сотрудника? Профиль пользователя С чем обычно работает данный пользователь? Сопоставление Кто стоит за данным IP-адресом? Политики Каково влияние события на бизнес? Модель пользователя Чёткое понимание рисков и последствий Снижение количества ложных срабатываний Концентрация внимания на действительных угрозах и рисках
–Разделение событий по категориям –Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам –Возможности подробного анализа –Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки
Наличие сертификата соответствия ФСТЭК
Ситуационный центр на базе ArcSight ESM
Структура SOC
Роли персонала SOC системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения SOC администратор безопасности, обеспечивающий управление настройку параметров функционирования SOC оператор, выполняющий задачи просмотра результатов работы SOC и реализации базовых функций реагирования на типовые инциденты аналитик, обеспечивающий анализ и реагирования на сложные виды инцидентов
Показатели KPI KPI персонала SOC: количество кейсов, открытых аналитиком по категориям; количество открытых кейсов по отношению к количеству событий и т.д.; количество событий, обработанных аналитиком; KPI SOC: общее количество открытых кейсов по приоритету; количество закрытых кейсов и т.д.; KPI инфраструктуры SOC: общее количество собранных событий; объем свободного дискового пространства и т.д.; Информационные KPI: наиболее опасные угрозы, наиболее атакуемые объекты и т.д.
SOC KPI Reporting
Преимущества SOC Повышение эффективности принятия решений по реагированию на инциденты безопасности Обзор данных в реальном режиме времени от всех систем Централизованное хранилище данных от всех систем Увеличивает эффективность ежедневной работы по безопасности уменьшая стоимость такой работы. Расширяет возможности по мониторингу больших систем Увеличивает эффективность работ по безопасности уменьшая стоимость владения
Спасибо за внимание! Спасибо за внимание , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)