HP ArcSight - эффективный инструмент для мониторинга событий ИБ

Виктор Сердюк
Генеральный директор
ЗАО "ДиалогНаука"

Понятие системы мониторинга

Система мониторинга событий информационной безопасности (СМИБ) предназначена для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. В качестве таких источников могут выступать средства защиты информации, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др. СМИБ включает в себя следующие компоненты:

• программно-техническая часть - реализуется на основе продуктов по мониторингу событий безопасности класса SIEM (Security Information and Event Management);
• документационная часть - включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности;
• кадровая составляющая - подразумевает выделение сотрудников, ответственных за работу со СМИБ.

Программно-техническая часть СМИБ включает следующие компоненты:

• агенты мониторинга, предназначенные для сбора информации, поступающей от различных источников событий, включающих в себя средства защиты, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др.;
• сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;
• хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;
• консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять ее параметрами.

Типовая структура системы мониторинга ИБ отображена на рисунке.

Документационная часть СМИБ предполагает разработку пакета нормативных документов по управлению инцидентами безопасности. Как правило, для этого формируется политика управления инцидентами ИБ, которая определяет их классификацию, общий порядок реагирования, ответственность за реализацию данного документа и др. На основе данной политики для каждого из видов инцидентов безопасности разрабатывается отдельный регламент, описывающий детальный порядок реагирования на различные виды инцидентов.

Кадровая составляющая СМИБ предполагает выделение различных ролей, ответственных за сопровождение центра. Как правило, выделяют следующие роли в составе СМИБ:

• системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения СМИБ;
• администратор безопасности, обеспечивающий управление и настройку параметров функционирования СМИБ;
• оператор, выполняющий задачи просмотра результатов работы СМИБ и реализации базовых функций реагирования на типовые инциденты;
• аналитик, обеспечивающий анализ и реагирование на сложные виды инцидентов.

Основные этапы создания СМИБ

Процесс внедрения любой системы мониторинга событий И Б включает в себя следующие основные этапы:

• обследование автоматизированной системы. В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга;
• разработка технического проекта, в котором описывается конфигурация оборудования и ПО, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;
• обучение сотрудников, которые будут отвечать за эксплуатацию системы мониторинга ИБ;
• создание пилотного района для тестового внедрения системы мониторинга. Если объектом мониторинга является территориально распределенная система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте;
• промышленное внедрение системы мониторинга. Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;
• техническое сопровождение системы мониторинга.

Еще одной важной задачей, которая должна решаться в процессе внедрения, является определение тех инцидентов, которые будут выявляться в процессе работы СМИБ. Для этого выполняются следующие действия:

• определение типов основных инцидентов ИБ;
• определение списка событий, которые ведут к инциденту ИБ;
• определение источника инцидента ИБ;
• определение и приоритезация рисков, связанных с инцидентами ИБ.

В настоящее время наибольшее распространение в России получило решение ArcSight компании Hewlett Packard.

Возможности HP ArcSight

Система мониторинга и корреляции событий HP ArcSight позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, ОС, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с ИБ. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к инцидентам информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, которая хранится и обрабатывается в системе мониторинга. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах встроенной экспертной системы. И наконец, ArcSight выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

ArcSight позволяет администраторам безопасности сфокусироваться на реальных угрозах, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Информационные ресурсы интегрируются в систему мониторинга в качестве источников сообщений о событиях информационной безопасности с помощью так называемых коннекторов (агентов).

Для визуализации результатов работы системы используется консоль администратора, которая в реальном времени позволяет проводить разделение событий по категориям, корреляцию событий как по ресурсам, так и по злоумышленникам, а также осуществлять подробный анализ. С помощью карты нарушений безопасности можно получить представление об отклонениях в параметрах безопасности. Кроме того, консоль снабжена интуитивно понятным инструментальным интерфейсом и предоставляет непревзойденные возможности для подготовки табличных и графических отчетов о безопасности.

ArcSight позволяет осуществлять мониторинг всех необходимых ресурсов в режиме реального времени, получая информацию как на уровне средств защиты, так и на уровне сетевых ресурсов, приложений и баз данных, что позволяет построить комплексную систему мониторинга и управления событиями информационной безопасности.

Еще одной особенностью системы ArcSight является возможность реализации процесса управления инцидентами информационной безопасности строго в соответствии со стандартом PCI DSS.

Заключение

На сегодняшний день все больше и больше компаний приходят к пониманию того, что использование СМИБ позволяет значительно повысить эффективность процесса управления инцидентами информационной безопасности. Это обеспечивается за счет автоматизации процесса сбора и анализа информации, которая регистрируется в автоматизированной системе компании. При этом внедрение СМИБ также позволяет значительно повысить эффективность уже установленных в организации средств защиты и получить инструмент для оценки эффективности работы подразделения информационной безопасности.