Ситуационные центры по информационной безопасности

Ситуационные центры по информационной безопасности

Алексей Лукацкий, Cisco Systems

Эпидемия неизвестного вируса зафиксирована в городе Н-ске. Она распространяется стремительно, настигая все новые и новые жертвы. Прогноз неутешителен — через короткое время эпидемия достигнет центра. Однако до сих пор не ясно, где скрывается ее источник. Специалисты по чрезвычайным ситуациям собираются на экстренное совещание. На большом экране отображаются прогнозы распространения эпидемии: 72 часа, 36 часов, 12 часов... Перед вами не сценарий триллера и не сюжет очередного фильма-катастрофы. Это описание эпидемии компьютерного вируса, заражающего тысячи машин и распространяющегося с бешеной скоростью.

Вирусные и «червивые» эпидемии в последнее время захлестывают Интернет. При этом по масштабам и наносимому ущербу подобные атаки справедливо будет отнести к разряду чрезвычайных ситуаций, причем с самым высоким приоритетом. Причиной недавно произошедших в Америке отключений электроэнергии, а также некоторых неполадок в работе атомной электростанции в Огайо, как считает ряд экспертов, послужила эпидемия «червя». К сожалению, проникновение хакеров в ядерные лаборатории, системы водо- и электроснабжения давно перестали быть чем-то из ряда вон выходящим.

Известно, что постараться не допустить катастрофического развития событий гораздо легче, чем бороться с последствиями случившегося. Одним из действенных способов изучения и предотвращения катастроф и других кризисных ситуаций является развитие ситуационных центров. В России одним из первых прототипов таких центров стал оперативный штаб по ликвидации последствий Чернобыльской катастрофы в 1986 году. На его базе родился ситуационный центр МЧС. Еще один подобный центр создан при Совете Безопасности. Эти образования обобщают текущие данные, анализируют имеющиеся в распоряжении возможности и средства защиты, рекомендуют те или иные меры, противодействующие возникновению или развитию опасных ситуаций.

Учитывая масштабы эпидемий вредоносных программ и возрастающую роль информационных технологий, вполне закономерно использовать ситуационные центры для решения задач обеспечения информационной безопасности. Особенно это важно в так называемых критичных информационных и телекоммуникационных инфраструктурах, функционирование которых влияет на обороноспособность государства.

Кому необходим ситуационный центр?

У современного руководителя крупного ведомства, компании или оператора связи порой просто не хватает времени на работу с компьютером. Одно дело — оптимизация персональной деятельности (заметки, ежедневник, контакты и т.п.), которую нетрудно реализовать на обычном карманном персональном компьютере, и совсем другое — управление компанией. Ему нужен инструмент, позволяющий практически мгновенно вникнуть в ситуацию и подготовить соответствующее решение. Нарушение работоспособности сети, например, оператора связи вследствие атаки «отказ в обслуживании» или эпидемии червя рискует привести к очень печальным последствиям.

Будет ли вникать директор в технологические тонкости (выяснять: какие системы защиты есть, как они работают и т.д.)? Нет. Да ему и не надо — для того существует целый штат специалистов по информационной безопасности. Но вот держать «руку на пульсе» и быстро понять возможные сценарии хакерских нападений он должен. В этом ему призваны помочь ситуационные центры, которые способны продемонстрировать действие атаки в реальном времени, спрогнозировать ее развитие, показать источник. В результате проводимой таким центром углубленной аналитической обработки оперативной информации руководство получает возможность вырабатывать сценарии и комплексные решения, подчиненные задаче поддержания долгосрочного и стабильного функционирования информационной и телекоммуникационной инфраструктуры организации.

В первую очередь ситуационный центр в области информационной безопасности нужен операторам связи, крупным транснациональным компаниям, органам государственной власти, силовым и правоохранительным структурам, критичным производствам и другим организациям, активно использующим информационные технологии или влияющим на их использование.

Классификация и структура ситуационных центров

Существует три типа ситуационных центров, в качестве классификатора которых выбран их масштаб:

• стратегические, позволяющие решать глобальные задачи, прогнозировать долгосрочные тенденции. Этот вид центров востребован главами отраслей, регионов, директорами транснациональных компаний, а также руководителями страны. В области информационной безопасности подобных центров не существует;
• оперативные, помогающие управлять небольшой отраслью или крупной компанией в режиме реального времени. Именно эта категория ситуационных центров наиболее полно представлена на рынке;
• персональные, направленные на оповещение руководителей даже небольших компаний о положении дел, на получение экспресс-оценок. В области защиты информации этот класс центров практически не используется.

Важно отличать ситуационные центры от просто центров мониторинга. Последние аккумулируют события безопасности, анализируют их и генерируют совокупную статистику. При этом само понимание ситуации возникает исключительно в голове у руководителя или специалиста по информационной безопасности. Это не всегда объективно, особенно если руководитель не является экспертом в рассматриваемой области. Лучше когда центр проводит хотя бы первичный анализ собранных данных и имитирует развитие ситуации. Собранная центрами мониторинга статистика может быть визуализирована:

• В виде ежеквартальных отчетов. Такого рода работу проводят многие производители средств защиты, но в данном случае об оперативной реакции речи быть не может. Однако данные отчеты позволяют оценить ситуацию прошлого квартала и спрогнозировать будущие события.
• В виде графиков и диаграмм, данных об атаках, привязанных к географическим картам и т.п. Примером таких центров могут служить DShield (www.dshield.org) или Internet Storm Center (http://isc.sans.org).

Если в качестве критерия выбрать цель работы дан-ного центра, то предлагается выделить следующие типы:

• контролирующие, позволяющие наблюдать за уровнем защищенности контролируемых объектов и прогнозировать его изменение;
• управляющие, помогающие активно управлять объектами информационной безопасности;
• обучающие, призванные проводить обучение персонала в области действия ситуационного центра;
• кризисные, начинающие действовать только во время кризисной ситуации.

В информационной безопасности допускается использование всех приведенных выше типов, но пока активно применяются только оперативные контролирующие ситуационные центры, которые собирают данные от десятков и сотен сенсоров системы защиты и строят на основе полученных от них данных общую картину защищенности.

Основная задача ситуационного центра: помочь быстро разобраться в обстановке. Для ее реализации требуются эффективные механизмы графического представления разнообразных данных, что позволяет подключать ассоциативное мышление и быстро находить решение (зачастую нестандартное) для преодоления возникающих или потенциальных проблем.

Очень важно уметь обрабатывать внешнюю информацию, поступающую из разных источников. Подобная информация вводится в систему через специально разработанные автоматические конвертеры. Современные системы корреляции событий безопасности уже давно демонстрируют нам такие возможности.

Очевидно, что для выполнения столь обширной работы требуется соответствующая инфраструктура, состоящая как минимум из операторов, вводящих в центр данные, и аналитиков, реализующих соответствующие вычисления. Естественно, все это работает в круглосуточном режиме. Далеко не каждый руководитель может позволить себе такой штат. Поэтому очень перспективным представляется использование аутсорсинга ситуационных центров.

Специфика информационной безопасности

Несложно заметить, что структура, типы и принципы работы ситуационных центров для разных предметных областей мало чем отличаются друг от друга. Разница лишь во входной информации, поступающей из различных источников. В этом качестве могут выступать:

• межсетевые экраны;
• системы обнаружения атак;
• антивирусы;
• системы мониторинга электронной почты и Web-трафика;
• модули защиты маршрутизаторов и другого сетевого оборудования;
• подсистемы защиты серверов и рабочих станций;
• различная неструктурированная информация.

Так как источником информации служат маршрутизаторы и коммутаторы, через которые проходит весь трафик контролируемой сети, то ситуационный центр располагает возможностью в реальном времени отследить путь атаки, начиная с момента ее развития и заканчивая нанесением удара по выбранной цели или целям.

Ввод собираемых сведений, поступающих со скоростью несколько тысяч событий в секунду, сопровождается автоматическим указанием степени их серьезности, что позволяет ранжировать все данные и фокусировать внимание руководителей и специалистов только на ключевых событиях. Однако, учитывая тот факт, что источником сообщений об атаках являются обычные средства защиты, необходимо помнить о ложных срабатываниях. Проблема заключается в обнаружении событий, которые на самом деле не происходили или серьезность которых сильно завышена. Отсеять реальные события от ложных помогают различные методы. Одним из них является сканирование атакуемого узла и оценка его подверженности реализуемой атаке.

Суммируя сказанное, мы вправе утверждать, что результатом работы таких центров будет считаться:

• прогноз распространения вирусных и иных вредоносных эпидемий;
• прогноз скорости проникновения злоумышленников на важные объекты (атомные электростанции, военные ведомства, особо критичные производства и т.д.);
• оценка последствий и возможные сценарии развития этих событий;
• определение источника развития эпидемий и атак;
• идентификация цели направленной атаки или эпидемии в процессе ее распространения.

В каждом случае модуль аналитической обработки полученных результатов также рекомендует различные корректирующие воздействия, а в некоторых случаях способен и автоматически реализовы-вать данные рекомендации, блокируя тем самым распространение вирусных эпидемий и атак.