Открытые спецификации - ключ к построению эффективных систем управления информационной безопасностью - НПО "Эшелон" апрель 2013 - НПО Эшелон
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Открытые спецификации –
ключ к построению эффективных систем
управления информационной
безопасностью
НПО «Эшелон» Андрей Фадин
апрель 2013 CISSP
Открытая информационная система • Система одновременно обеспечивающая интероперабельность, портабельность и поддержку открытых стандартов • The Open Group Открытый стандарт (техн.) • Открытый стандарт (в технике) — общедоступная и не секретная техническая спецификация, у которой либо отсутствует правообладатель (общественное достояние), либо же правообладателем является общественная организация, не совпадающая тождественно с производителем, использующим
Основная проблема: vendor-lockin • Примеры в индустрии: – RSS vs twitter – CalDAV vs Exchange vs Gcalendar – WebKit vs Blink
Насколько сегодня эффективен традиционный подход к настройке и контролю защищенности АС? АКТУАЛЬНОСТЬ ТЕМЫ
Тенденция №1. Рост скорости распространения угроз ИБ
Кибервойны
Кибертерроризм и группы «хактивистов»
Сетевые черви и ботсети, нацеленные на
критически важные объекты
(в т.ч. АСУ ТП, SCADA)
Инсайдеры
Тенденция №2. Рост сложности автоматизированных систем
Рост числа сегментов сетей и
количества узлов АС
Рост числа типов платформ
(гетерогенные сети)
Рост количества виртуальных узлов
и топологий (VPN, VRF, VLAN)
Рост требований к квалификации
персонала
Традиционное управление АС без SIEM
Средства защиты Объекты АС
информации
Стационарные АРМ
МЭ
Мобильные АРМ
Антивирусы
Серверы
СОВ/СПВ
(IDS/IPS)
Виртуальные
машины
СКУД, IAM,
Коммутаторы,
МДЗ мосты,
маршрутизаторы
DLP Точки доступа
Проблемы традиционного подхода к безопасности АС
Настройка и контроль работы СЗИ в «ручном режиме»
• Конфигурации и журналы работы антивирусных средств, МЭ, СОВ, DLP, МДЗ, СКУД и
IAM просматриваются отдельно для каждого средства
• Точно так же отдельно изучаются параметры их конфигурации
Локальный контроль настроек и журналов узлов сети
• Администратор проверяет настройки и журналы АРМ, сетевого оборудования и
серверов, по отдельности подключаясь к каждому из узлов сети
Управление СЗИ и узлами сети не консолидировано
• Немногочисленные исключения:
• групповые политики ОС в доменах
• консоли администратора для СЗИ от одного вендора
Нерегулярность операций контроля защищенности
• Аудит безопасности проводится:
• либо нерегулярной основе (когда вспомнят)
• либо не проводится вообще
Нет оперативного оповещения о проблемах и угрозах
• Администратор безопасности неделями не заглядывает в журналы работы СЗИ
• Обычно администратор узнаёт о проблеме либо от пользователей, либо уже после
инцидента
Система управления информацией и событиями в области безопасности
Средства защиты Объекты АС
информации
Стационарные АРМ
МЭ
Мобильные АРМ
Антивирусы
Серверы
СОВ/СПВ
(IDS/IPS)
Виртуальные
машины
Security Information and
СКУД, IAM, Event Management
Коммутаторы,
МДЗ мосты,
маршрутизаторы
DLP Точки доступа
Что собой представляют системы управления информацией и событиями в области безопасности? Насколько они эффективны? ТЕХНОЛОГИЯ SIEM-СИСТЕМ
Что такое SIEM? Security Information and Event Management (SIEM) Системы управления информацией и событиями в безопасности (СУИСБ) Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT- инфраструктурой предприятия
Развитие технологии SIEM
Технология SIEM = SIM+ SEM
SIM («управление SEM («управление
информацией событиями
безопасности») безопасности»)
сбор, подготовка мониторинг
выявление и
хранение и отчетов по событий
реагирование
анализ данных соответствию безопасности
на инциденты
(взятых из нормативным в реальном
безопасности
журналов) требованиям времениОсновной функционал SIEM-систем Сбор и объединение данных Централизованное хранение журналов Интеллектуальный анализ данных (Корреляция событий) Оповещение об инцидентах Оценка соответствия АС требованиям стандартов и регламентов
Компоненты SIEM-систем
• Производительные
Хранилище • СУБД
журналов • СХД
Сенсоры
• Присутствует в каждом
сегменте сети
• Агрегирует события из Центр
разных источников управления SIEM
• Варианты исполнения:
• 1U/2U/3U стойка
• Виртуальная машина
• Дистрибутив ПОЧем SIEM отличается от IDS и других «традиционных» СЗИ? ПРЕИМУЩЕСТВА SIEM-СИСТЕМ
Отличие SIEM от «традиционных» СЗИ
(проблемы безопасности)
Антивирус:
на компьютере C запущен вредоносный код отдельным
процессом X, похожий на известный тип червя
Система обнаружения вторжений:
обнаружена атака типа NETBIOS DCERPC LSASS
на узел Y
SIEM-система:
в АС обнаружена активность червя «Sasser Worm», были
зафиксированы атаки на узлы A,B,C, на узле C червь смог получить
системные привилегии и там продолжил своё распространение.
Рекомендуем обновить старое ПО на узлах D и E, выключить узел C и
временно отключить сегмент сети Z от общей АС ВН до выяснения
обстоятельств инцидента.Отличия SIEM от IDS
Системы обнаружения вторжения Системы управления информацией и
(IDS) событиями в безопасности (SIEM)
Задачи СОВ: Задачи SIEM:
•обнаружение вторжений (атак) •контроль выполнения АС требований
нормативных документов и регламентов
•оперативное обнаружение и мониторинг
инцидентов
Основные методы работы СОВ: Основные методы работы SIEM:
•сбор и анализ сетевого трафика •сбор, нормализация и анализ событий из
•преимущественно сигнатурный подход для внешних источников
обнаружения вторжений •сопоставление информации о топологии АС и
конфигурации её компонентов с требованиями
регламентов
Основные принципы работы СОВ: Основные принципы работы SIEM:
•ограниченное использование внешних •широкое использование внешних источников
источников событий информации (методы как пассивного, так и
активного анализа)
•«плоская» модель событий
•древовидная модель событий, корреляция
•фактически отсутствует анализ топологии, новых высокоуровневых событий (вторжение
конфигурации АС и сопоставление её модели с хакера, действия инсайдера, атака трояна) на
внешними требованиями основе правил из более простых событий
(срабатывание сигнатур СОВ и антивирусов,
ошибки МЭ, неверные пароли в СКД)
•обработка данных за большие периоды
времениМесто SIEM в АС
Инфраструктура АС
Сетевое
оборудование
•маршрутизаторы
•коммутаторы
Средства защиты информации
Серверы
•СПО
•ОС МЭ
•гипервизоры
•ППП СОВ (IDS) АРМ ИБ,
•сетевые сервисы
АРМы
• СПО
DLP
антивирусы
ситуационный центр (SOC)
• ОС
МДЗ
• ППП Консоль
криптошлюзы SIEM
сканеры управления
сенсоры защищенности
SIEM- сенсоры SIEM-
системы
системОтличие SIEM от «традиционных» СЗИ (инфраструктурные проблемы) Рядовой пользователь: мой компьютер тормозит, веб-сайты не открываются! Вирус? А может я лишние программы поставил? Системный администратор: В сети по данным коммутатора - большой широковещательный трафик и главный шлюз не отвечает: Червь? Или я что-то не так вчера настроил? SIEM-система: По данным журнала анализатора arpwatch, в сети пытаются провести (пока безуспешно) атаку arp-poisoning. MAC-адрес злоумышленника: 8E-49-E8-3F-9E-34 По данным базы локальной топологии – это компьютер Сидорова из 3-его отдела. Кстати, с этим пользователем уже были инциденты: 2 месяца назад и ещё один – в прошлом году.
Преимущества SIEM-систем
Оперативный контроль Не требует высокой
защищенности технической
одновременно на всех квалификации оператора
уровнях АС ВН: системы
На уровне сетевых событий Предоставляет
(МЭ, СОВ) высокоуровневую
информацию о событии и
общем состоянии
защищенности АС
На уровне рабочих станций
(СКД, ЗОС)
Выявляет инциденты на
основе корреляции данных
На физическом уровне из нескольких источников
(охранные системы, (интеграция СЗИ разных
сигнализации) производителей)Требования, стандарты, интерфейсы, спецификации ОТКРЫТЫЕ СПЕЦИФИКАЦИИ И ТЕХНОЛОГИИ В СИСТЕМАХ УПРАВЛЕНИЯ ИБ
Стек открытых технологий в области мониторинга и анализа ИБ • AlienVault OSSIM • Prelude SIEM • OSSEC • nagios • nmap, • OpenVAS • w3af • tcpdump и т.п. w3af
SIEM: методы сбора событий
Основные протоколы и интерфейсы:
Хранили
• Syslog and Syslog-ng ще
• SNMPv2 and SNMPv3 журналов
• Opsec
• HTTP, HTTPS
• SQL, ODBC Сенсоры
• WMI, WBEM (CIM)
• FTP, SFTP Центр
• Socket Unix управления
SIEM
• Plain log
• SSH
• Rsync
• Samba
• NFS
• SDEE, RDEP
• OPSEC, CPMI
Основной принципы сбора событий:
• максимально высокий уровень интеграции между СЗИ и другими
компонентами АС
• сбор как максимально детальной информации для корреляция событийThe Intrusion Detection Message
Exchange Format (IDMEF) (RFC 4765)
SIEM NIDS
Prelude Snort
NIDS HIDS
Suricata OSSEC
HIDS
Honeyd
SamhainThe Incident Object Description Exchange Format (IODEF) (RFC 5070)
IODEF-Description Incident
IncidentAlert
VulnerabilityReport
• Incident
– Отчёт об инциденте
• IncidentAlert
– IDMEF Alert (вопрос совместимости)
• VulnerabilityReportThe Incident Object Description Exchange Format (IODEF) (RFC 5070)
IDMEF IODEF
• Alert • Incident
• Source • Attack
• Target • Target
• Classification • Attacker
• CreatTime • Source
• DetectTime • Victim
• AnalyzerTime • Target
• Analyzer • Method
• Assessment • Classification
• CorrelationAlert • Evidence
• ToolAlert • Analyzer
• OverflowAlert • Assessment
• AdditionalData • Authority
• CorrelationIncident
• History
• Additional Data
• Incident AlertThe Incident Object Description Exchange Format (IODEF) (RFC 5070)
• Деятельность CSIRT • iodef:IncidentID
• iodef:AlternativeID
– Incident identifiers
• iodef:RelatedActivity
– Contact Information • iodef:DetectTime
• Internationalization • iodef:StartTime
– Various Encodings • iodef:EndTime
– Translations IODEF:Incident • iodef:ReportTime
• Data handling labels • iodef:Assessment
• iodef:Method
– Sensitivity
• iodef:Contact
– Confidence
• iodef:EventData
• Extensibility of attributes and • iodef:History
adding new elements • iodef:AdditionalData
– Timing information
• iodef:Description
• Enumeration of hosts or networks • iodef:DetectTime
– e.g., IP addresses, ports, protocols, • iodef:StartTime
applications, etc.
• iodef:EndTime
• History and requested action • iodef:Contact
– Exploit and vulnerability references • iodef:Assessment
iodef:EventData
• Impact expressed technically, • iodef:Method
financially, or by time • iodef:Flow
• iodef:Expectation
• Forensics information
• iodef:Record
• iodef:EventData
• iodef:AdditionalDataReal-time Inter-network Defense (RID) RFC 6545
RIDPolicy RID Message Types
• Restriction Request
• MsgType
• Investigation
• MsgDestination • Trace
• ext-MsgType
Acknowledgement
• ext-MsgDestination
• Связи
– Node Result
– {0..1} IncidentID
– {1..*} PolicyRegion Report
– {1..*} TrafficType
– {0..1} ReportSchema
QueryThe Security Content Automation Protocol (SCAP)
Software Flaw Management
CVE
Asset Configuration
Management Management
CPE CCE
XCCDF
Compliance ManagementПоддержка SCAP среди вендоров
События собрали, а что дальше? ОБРАБОТКА СОБЫТИЙ НА ПРАКТИКЕ
Построение отчетов с выборочной детализацией События, тревоги Инциденты и связанные с ними точки контроля Заключения из данных Уязвимости АС Ресурсы АС • Инфраструктура • Сеть • Доступность • Использование ресурсов
Анализ рисков
Поисковые возможности
Автоматический анализ
Мониторинг доступности активов
и наличия ресурсовОперативный контроль
Анализ и оценка соответствия требованиям
ТТХ SIEM-системы КОМРАД
Варианты исполнения
• Аппаратная (1U/2U сетевая стойка)
• Программная (на базе ОС СН Astra Linux), virtual appliance сможет
функционировать на других современных ЗОС: (МСВС 5, Alt Linux, ROSA
2012)
Варианты интеграции SIEM «Комрад»
• Уже реализовано взаимодействие с:
• ЗОС МСВС и Astra Linux
• Межсетевые экраны и СОВ: Рубикон
• Средства контроля защищенности: Сканер-ВС, XSpider
• Планируется к реализации интеграция с:
• DrWeb, Ключ Л2, SecretNet и др. отечественными СЗИ (адапитруемся под
запросы заказчиков)
Параметры
• Обработка до 5000 EPS (событий в секунду) на одном узле сети
• 32/64 битная архитектура ЦП (Intel X86-64)Сертификация SIEM-системы КОМРАД
Идёт сертификация СЗИ в системах:
• Минобороны России
• ФСТЭК России
Детали сертификации
• на соответствие требованиям руководящего документа
Гостехкомиссии России «Защита от несанкционированного
доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей»,
1999 г. – по второму уровню контроля
• требованиям по соответствию реальных и декларируемых в
документации функциональных возможностей (ТУ).Вклад ГК «Эшелон» в открытые технологии https://github.com/EchelonTeam/
Выводы Достигнут технологический потолок в развитии большинства типов СЗИ, дальнейший рост эффективности СЗИ в АС невозможен без централизации управления информационной безопасностью (ИБ) SIEM – класс продуктов, которые способны решить задачу централизации управления ИБ как для оперативной обработки событий, так и для их комплексного анализа Для эффективного использования SIEM-систем необходима их сопрягаемость со всеми элементами АС и корректная настройка правил корреляции и оповещения, наиболее эффективны здесь открытые технологии Рынок SIEM в России – в начальной фазе, пока доступно небольшое число решений
Спасибо за внимание!
ЭШЕЛОН.РФ
+7 495 223-2392
support.sca@cnpo.ru
http://s3r.ru/author/a-fadin/
Вопросы?
44Вы также можете почитать
