Вы находитесь на странице: 1из 4

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.12. Репутационные сервисы и SIEM-системы

Итак, в продолжение темы защиты вымышленной организации, про которую мы говорили в


предыдущих темах, продолжим реализовывать комплексный проект по безопасности
распределенной инфраструктуры, где мы использовали:
• Средства периметровой защиты
• Защиту веб-сервиса
• Защиту корпоративного сервиса электронной почты – антиспам
• Балансировку нагрузки на прикладные системы
• Защиту от DDoS-атак
• Защиту рабочих мест и серверов
• «Песочницу», которая позволяет виртуализировать получаемые на вход в нашу
инфраструктуру объекты
• Защиту облачных сервисов

Также мы определили разницу в понятиях идентификации, аутентификации и авторизации


пользователей. Дополнением системы безопасности является использование репутационных
сервисов или так называемых подписок.

Что такое репутационный сервис? В первую очередь, это облачный сервис, который представляет
компания-производитель решений по информационной безопасности для того, чтобы в режиме
реального времени снабжать систему защиты данными о том, насколько адрес, с которым
общается пользователь, ресурс, сайт, страницы этого сайта, файл или другие «индикаторы
компрометации» заслуживают доверия.

Зачем это нужно? Все те объекты, которые система анализирует на периметре сети, либо внутри
сети, либо в составе какой-то прикладной системы защиты, можно долго сканировать с
использованием песочницы или при помощи сигнатур. Альтернативный вариант – сразу по
идентификатору файла или другого анализируемого объекта понять, «хороший» он или «плохой».

Списки хороших и плохих все время пополняются производителем за счет своих собственных
исследований, а также с помощью обратной связи от установленных систем у реальных заказчиков
или в специальных «ловушках».

Если говорить про репутационные сервисы, ни одна современная система не работает без
подобной обратной связи – как только мы пропустили через себя какой-то информационный поток
и наш межсетевой экран зафиксировал новую угрозу, он тут же сообщает информацию об этом в
репутационное облако оператора средства защиты. Таким образом пополняется хранилище
больших данных, которые обрабатываются в облаке разработчика средств защиты и на основании
этой обработки формируются новые сигнатуры систем и компонентов защиты, сохраняются новые

1
данные об идентификаторах компрометации: скомпрометированном объекте,
скомпрометированном сайте, скомпрометированном доменном имени.

Большая польза в том, что как только мы или кто-то другой передали информацию об угрозе в
облачный сервис, она становится доступной всем остальным средствам защиты, которые работают
с облаком этого провайдера. Поэтому чем больше инсталляционная база систем безопасности,
тем больше обратной связи получает провайдер, тем мощнее оказывается наша система
безопасности. Можно сказать, что это непрерывный цикл установки, настройки, контроля и
совершенствования – то, что называется PDCA-циклом, который мы изучали, когда рассматривали
принцип построения системы информационной безопасности и обеспечения жизненного цикла
организации.

Другой важной составляющей комплексной защиты является система сбора событий


информационной безопасности со всех устройств в единое большое хранилище. Таким образом
мы можем получить свою собственную big data для анализа. Сделать это можно с помощью
системы класса SIEМ.

SIEМ (Security Information and Event Management) – это система, которая позволяет собрать
информацию и события со всей инфраструктуры организации. Это могут быть IT-системы, серверы,
рабочей станции или системы безопасности: периметровый сетевой экран, веб-фильтр для веб-
приложений, антиспам система, система защиты рабочих мест конечных точек. Это такой
объединяющий комплекс, который позволяет представить очень большой пласт информации,
свести его в понятный, визуализируемый и легко читаемый объект.

SIEM-система из миллиона событий, которые поступают к ней на вход, позволяет вычленить


десятки событий, которые действительно требуют внимания, и на которые администратор
информационной безопасности действительно должен сфокусироваться, чтобы поддерживать
уровень защиты организации на должном уровне. А когда происходит инцидент, то та же самая
система SIEМ из всей большой визуализированной картины позволяет спуститься вплоть до
атомарных событий, конкретных действий, которые совершались пользователем на каждом этапе.
Таким образом мы можем легко и быстро разобрать инцидент информационной безопасности,
который произошел.

SIEM применяют, чтобы, во-первых, увеличить оперативность реагирования и, во-вторых,


облегчить сопровождение информационных систем и поддерживать жизненный цикл системы
информационной безопасности.

Преимуществом SIEМ-системы в том, что в SIEM есть более сотни, а иногда и тысячи правил
корреляции событий по заданному набору критериев. Например, один из сценариев может быть
таким: если пользователь прикладывает карточку на входе в здание, считыватель открывает
электронный замок, проходит на территорию и потом заходит в помещение, садится на свое
рабочее место, аутентифицируется на своем компьютере, а затем, к примеру, заходит на
терминальный сервер и начинает работать с каким-нибудь приложением – все в порядке. Но вот
если неожиданно оказывается так, что внутри защищенного сегмента появился пользователь,
который выдает себя за пользователя и который работает с важной и очень ценной для нас
системой, тут же возникнет инцидент. Причина в том, что этот пользователь не прошел через
систему контроля и управления доступом, не авторизовался корректно на своем рабочем месте, на
котором он обычно работает. Может быть, это тот же самый пользователь, который попал в
инфраструктуру организации, но просто его пропустил другой сотрудник. В политике
информационной безопасности механизм прохода через систему с помощью другого сотрудника
(он еще называется «tail gating»), у нас запрещен. Этот пользователь может оказаться инсайдером,
который украл пароль от авторизованной учетной записи и теперь пытается скомпрометировать

2
сервис от ее имени. В любом случае это все равно позволяет нам поддерживать на должном уровне
осведомленность о происходящих событиях внутри нашей организации и своевременно
блокировать нежелательное развитие событий.

Наконец, если мы говорим про многообразие средств и систем защиты информации (а мы


обсуждали большое количество таких систем), надо помнить, что у каждой системы есть свой
модуль управления, и она работает по своему набору правил со своей политикой информационной
безопасности. Очень важно, чтобы эти разрозненные между собой компоненты работали
согласованным образом. Поэтому сегодня как раз одно из требований к создаваемым
информационным системам и интегрируемым средствам защиты заключается в том, чтобы они
обладали в какой-то степени искусственным интеллектом, были способны работать согласованно
между собой и были интегрированы между собой.

Как я уже отметил, еще одним важной особенностью, на которую необходимо обращать внимание
при требовании к согласованной работе средств системы, – это применение технологий
искусственного интеллекта, а также автоматизация функционирования средств защиты. Например,
сама система защиты может давать администратору рекомендации относительно того, насколько
корректно настроены его средства защиты. Такого рода рекомендации являются по сути готовыми
чек-листами, интегрированными в состав системы защиты, а она контролирует, все ли у нас хорошо
или что-то требует внимания когда-нибудь, или требует немедленного внимания. Это позволяет не
только упростить жизнь самому администратору, но в целом избавиться от человеческих ошибок и
поддерживать работу системы информационной безопасности на высоком уровне. Поэтому
применение средств автоматизации для настройки и контроля политик безопасности – это
компенсирующая мера в отношении угрозы некорректной работы, или ошибки настройки средств
безопасности, которые с учетом современного развития техники позволяют очень качественно
обеспечивать безопасность отдельных элементов и выделенных систем, будучи использованными
по назначению.

Таким образом, подводя итог этой теме, можно резюмировать, что системы безопасности очень
различаются между собой по набору выполняемых функций. Это могут быть системы защиты
конечных рабочих мест, системы защиты серверов, системы защиты периметра, системы защиты
прикладных систем. Не существует единого универсального решения, такой универсальной кнопки,
в результате нажатия которой все сразу становится хорошо. И тем более никакие политики
информационной безопасности сами по себе не смогут защитить нашу организацию. Они тоже
важны, но должна быть конкретная, понятная техническая система, которая реализует все то, что
мы задумали на бумаге. И необходимо знать, как работают и настраиваются системы защиты. Или
хотя бы знать в принципе, что они существуют. А еще важно уметь грамотно их внедрять.

Средства и системы защиты иногда должны соответствовать требованиям нормативных


документов. И здесь существуют регуляторы ФСТЭК и ФСБ, контролирующие корректность работы
тех систем, которые находятся у них в ведении. Например, это системы защиты персональных
данных, защита информации от несанкционированного доступа, системы межсетевого
экранирования, системы обнаружения вторжения или системы криптографической защиты
информации. А в последнее время был утвержден новый нормативный документ, который
определяет надежность проектирования, изготовления средств защиты, так называемые «уровни
доверия».

Нормативные документы и требования законов – это то, что касается обязательных требований и
базовых проверок реализации функций безопасности. Более глубокий анализ работоспособности
средств системы защиты выполняют такие известные международные организации, как NSS Labs
и ICSA Labs. Чуть в меньшей степени – Miercom, IDC, Gartner. У всех своя специфика, которую надо

3
знать. Очень важно, чтобы производители средств защиты для своих систем обеспечивали
соответствие требованиям на регулярной основе, функциональный цикла разработки единожды.

Опять же никто не скажет о качестве работы системы защиты вашей организации лучше нанятого
специалиста-аудитора, будь он внешним и внутренним. Обычно аудиты делаются как тесты на
проникновение («penetration test»). Для них существуют понятия blackbox и whitebox. В основном
используется принцип black box – тестирование системы по принципу черного ящика. Просто
дается ресурс, который мы должны каким-то образом скомпрометировать. На основании
проведенного аудита специалист пишет отчет. Поначалу он не знает, что там внутри системы, это
для него черный ящик. Но он пытается использовать все доступные средства, чтобы взломать этот
ящик и проникнуть внутрь. На основании созданного отчета о тестировании принимаются решения,
каким образом необходимо модернизировать систему.

Таким образом, мы знаем, какие бывают средства и системы защиты и каким образом
осуществляется оценка соответствия требованиям.

Вам также может понравиться