+7 (495) 980-67-76

HP ArcSight – эффективный инструмент для мониторинга событий информационной безопасности

01 марта 2013

Виктор Сердюк,
кандидат технических наук, CISSP,
Генеральный директор ЗАО «ДиалогНаука»

Журнал "InformationSecurity. Информационная безопасность" №1, 2013
www.itsec.ru

На сегодняшний день все больше компаний сталкивается с необходимостью обработки журналов событий, которые регистрируются в информационных системах, с целью выявления возможных атак. При этом даже в небольшой компании в журналах аудита может регистрироваться до нескольких десятков событий в секунду, что делает их анализ в ручном режиме длительным и крайне неэффективным. Для того, чтобы автоматизировать процесс сбора и анализа информации о событиях информационной безопасности могут использоваться специализированные системы мониторинга.

Мониторинг информационной безопасности - заказать решение

Понятие системы мониторинга информационной безопасности

Система мониторинга событий информационной безопасности (СМИБ) предназначена для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. В качестве таких источников могут выступать средства защиты информации, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др. СМИБ включает в себя следующие компоненты:

  • программно-техническая часть – реализуется на основе продуктов по мониторингу событий безопасности класса SIEM (Security Information and Event Management);
  • документационная часть - включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности;
  • кадровая составляющая - подразумевает выделение сотрудников, ответственных за работу с СМИБ.

Программно-техническая часть СМИБ включает следующие компоненты:

  • агенты мониторинга, предназначенные для сбора информации, поступающей от различных источников событий, включающих в себя средства защиты, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др.;
  • сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;
  • хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;
  • консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Типовая структура системы мониторинга информационной безопасности отображена на рисунке.

мониторинг информационной безопасности

Нажмите на картинку, чтобы ее увеличить

Структура системы мониторинга информационной безопасности

Документационная часть СМИБ предполагает разработку пакета нормативных документов по управлению инцидентами безопасности. Как правило, для этого формируется политика управления инцидентами ИБ, которая определяет классификацию инцидентов, общий порядок реагирования, ответственность за реализацию данного документа и др. На основе данной политики для каждого из видов инцидентов безопасности разрабатывается отдельный регламент, описывающий детальный порядок реагирования на различные виды инцидентов.

Кадровая составляющая СМИБ предполагает выделение различных ролей, ответственных за сопровождение центра. Как правило, выделяют следующие роли в составе СМИБ:

  • системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения СМИБ;
  • администратор безопасности, обеспечивающий управление настройку параметров функционирования СМИБ;
  • оператор, выполняющий задачи просмотра результатов работы СМИБ и реализации базовых функций реагирования на типовые инциденты;
  • аналитик, обеспечивающий анализ и реагирования на сложные виды инцидентов.

Основные этапы создания СМИБ

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие основные этапы:

  • обследование автоматизированной системы. В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга информационной безопасности.
  • разработка технического проекта, в котором описывается конфигурация оборудования и программного обеспечения, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;
  • обучение сотрудников, которые будут отвечать за эксплуатацию системы мониторинга информационной безопасности;
  • создание пилотного района для тестового внедрения системы мониторинга информационной безопасности. Если объектом мониторинга является территориально-распределённая система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте.
  • промышленное внедрение системы мониторинга. Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;
  • техническое сопровождение системы мониторинга информационной безопасности.

Как правило, на этапе создания СМИБ подразделение информационной безопасности старается подключить систему мониторинга к наибольшему количеству источников и получить от них максимальный объем информации. Однако необходимо принимать во внимание тот факт, что если включить все возможные режимы аудита, то это может привести к значительному увеличению нагрузки на серверы, с которых получается информация, и, как следствие, нарушению их работоспособности. Именно поэтому одной из задач на этапе обследования является поиск компромисса между желанием подразделения ИБ получать и обрабатывать максимальный объем информации и реальной возможностью подразделения ИТ предоставить данную информацию.

Еще одной важной задачей, которая должна решаться в процессе внедрения, является определение тех инцидентов, которые будут выявляться в процессе работы СМИБ. Для этого выполняются следующие действия:

  • определение типов основных инцидентов ИБ;
  • определение списка событий, которые ведут к инциденту ИБ;
  • определение источника инцидента ИБ;
  • определение и приоритезация рисков, связанных с инцидентами ИБ.

В настоящее время наибольшее распространение в России получило решение ArcSight компании Hewlett Packard.

Возможности HP ArcSight

Система мониторинга и корреляции событий HP ArcSight позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к инцидентам информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, которая хранится и обрабатывается в системе мониторинга информационной безопасности. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах встроенной экспертной системы. И, наконец, ArcSight выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

ArcSight позволяет администраторам безопасности сфокусироваться на реальных угрозах безопасности, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Информационные ресурсы интегрируются в систему мониторинга в качестве источников сообщений о событиях информационной безопасности с помощью так называемых коннекторов (агентов).

Для визуализации результатов работы системы используется консоль администратора, которая в реальном режиме времени позволяет проводить разделение событий по категориям, корреляцию событий, как по ресурсам, так и по злоумышленникам, а также осуществлять подробный анализ. С помощью карты нарушений безопасности можно получить представление об отклонениях в параметрах безопасности. Кроме того, консоль снабжена интуитивно понятным инструментальным интерфейсом и предоставляет непревзойденные возможности для подготовки табличных и графических отчетов о безопасности.

ArcSight позволяет осуществлять мониторинг информационной безопасности всех необходимых ресурсов в режиме реального времени, получая информацию как на уровне средств защиты, так и на уровне сетевых ресурсов, приложений и баз данных, что позволяет построить комплексную систему мониторинга и управления событиями информационной безопасности.

Еще одной особенностью системы ArcSight является возможность реализации процесса управления инцидентами информационной безопасности строго в соответствии с стандартом PCI DSS.

Заключение

На сегодняшний день всё больше и больше компаний приходят к пониманию того, что использование СМИБ позволяет значительно повысить эффективность процесса управления инцидентами информационной безопасности. Это обеспечивается за счет автоматизации процесса сбора и анализа информации, которая регистрируется в автоматизированной системе компании. При этом внедрение СМИБ также позволяет значительно повысить эффективность уже установленных в организации средств защиты и получить инструмент для оценки эффективности работы подразделения информационной безопасности.


Мониторинг информационной безопасности – решение ЗАО «ДиалогНаука»

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг в сфере мониторинга информационной безопасности на базе системы мониторинга информационной безопасности и корреляции событий информационной безопасности HP ArcSight. В случае появления вопросов или интереса к описанному решению по мониторингу информационной безопасности, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи на странице «Контакты».

706
Услуги
Внедрение процессов обеспечения информационной безопасности данных индустрии платежных карт - PCI DSS
Все услуги
Подписаться на статьи

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;