ОКБ САПР Агрегация и визуализация событий средств защиты информации. - презентация

1 ОКБ САПР Агрегация и визуализация событий средств защиты информации

2 Задачи ПАК СЗИ НСД При разработке АС необходимо задуматься о защите обрабатываемой в ней информации. Для защиты АС используются ПАК СЗИ НСД, которые решают следующие задачи: Обеспечение доверенной среды функционирования Разграничение доступа пользователей к РС, ТК, ТС.

3 ПАК СЗИ НСД «Аккорд» «Аккорд-NT/2000» (до ОС Vista) «Аккорд-Win32» (все 32-х битные ОС Windows) «Аккорд-Win64» (все 64-х битные ОС Windows) Данные комплексы могут работать как на автономных ПК, так и в терминальном режиме (TSE).

4 Функции ПАК СЗИ НСД «Аккорд» Защита от несанкционированного доступа Обеспечение доверенной загрузки ОС Контроль целостности программ и данных Защита программ и данных от несанкционированных модификаций Разграничение доступа пользователей Ведение журнала регистрируемых событий СЗИ

5 Состав журнала событий СЗИ Дата и время регистрации события Детальность журнала, установленная на момент регистрации события Имя рабочей станции Тип операции Наименование объекта доступа (файла, каталога, диска, устройства) Имя процесса Результат события (ОК, НСД, ошибка доступа)

6 Программа LOGVIEW В состав ПАК «Аккорд» входит программа LOGVIEW. Возможности LOGVIEW: просмотр вывод на печать архивация журнала событий СЗИ

7 Обязанности администратора информационной безопасности (ИБ) В обязанности администратора ИБ входит: Просмотр и анализ событий в журнале СЗИ Определение причины возникновения попытки НСД или ошибки В обязанности администратора ИБ не входит: Администрирование системы Установка и настройка ПО, защиту которого выполняет ПАК «Аккорд»

8 Сложности при сборе и анализе событий СЗИ Журнал событий СЗИ состоит из огромного количества строк В реальной системе достаточно много пользователей Эти факты делают задачу анализа событий СЗИ для АИБ достаточно сложной. Если необходимо сделать сводку о попытках НСД с классификацией по типу события в определенный период времени, то эта задача становится еще более сложной. Если же необходимо проанализировать статистику событий НСД по нескольким отделениям организации, то эта задача становится почти нереальной.

9 Технология Business Intelligence (BI) Одним из способов решения озвученной проблемы является использование технологии Business Intelligence (BI). В ее основе лежат следующие принципы: организация доступа конечных пользователей (руководителей, аналитиков, администраторов) к данным, структурированным определенным образом анализ полученных структурированных данных получение на основе структурированных данных информации о процессах, происходящих в системе Технология BI может быть использована для любых агрегированных данных, в том числе и для журналов событий СЗИ.

10 Contour BI Технология BI используется в продукте Contour BI, одна из модификаций которого предназначена для обработки и анализа событий СЗИ, полученных в результате функционирования ПАК «Аккорд». Возможности Contour BI: быстрое создание интерактивных отчетов анализ содержащихся в отчетах данных силами конечных пользователей (руководителей организации и ее подразделений, аналитиков, администраторов ИБ) Входные данные - общий журнал событий СЗИ от различных подразделений организации. Выходные данные - графики и диаграммы, на основании которых можно отфильтровать нужные данные или выполнить сортировку по выбранному событию, выделить N лучших или худших событий.

11 Корреляционный анализ данных Contour BI также предоставляет возможность корреляционного анализа данных: журналов событий СЗИ, полученных в результате функционирования ПАК «Аккорд» и других подсистем, одновременно функционирующих в рассматриваемой системе, например: подсистемы регистрации доступа пользователей в помещение подсистемы антивирусной защиты подсистемы обновления ОС подсистемы обновления прикладного ПО

12 IBM Tivoli Security Operation Manager (TSOM) Для агрегации, визуализации событий СЗИ, анализа корреляций можно использовать TSOM. Возможности TSOM: централизованное выполнение действий по обеспечению безопасности для различных подразделений, технологий и процессов управление событиями, связанными с IT- безопасностью агрегация в единый журнал событий СЗИ, полученных в процессе функционирования ПАК «Аккорд» анализ единого журнала событий СЗИ на предмет корреляции с событиями других систем безопасности

13 Преимущества средств сбора и анализа статистики по событиям СЗИ Более качественный анализ событий СЗИ, чем при использовании стандартных средств просмотра журналов Возможность рассмотрения событий СЗИ в совокупности с событиями других подсистем безопасности Возможность анализа корреляций различных событий Получение большего количества информации и более верных выводов о корректности функционирования системы в целом

14 ОКБ САПР Агрегация и визуализация событий средств защиты информации