Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 4
Текст из файла (страница 4)
– слабая эффективность противодействия user-mode и kernel-mode руткитам;
– невозможность противодействия активному заражению ПК.
Метод предотвращения атак на переполнение буфера («эмулятор NX-бита») осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется. Принцип работы как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.
Преимущества систем, построенных на методе «эмулятора NX-бита»:
– не требуют специальных знаний или навыков со стороны пользователя;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
– полное отсутствие каких бы то ни было обращений к пользователю.
Недостатки систем, построенных на методе «эмулятора NX-бита»:
– системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
– невозможность противодействия активному заражению ПК.
1.4 SIEM-система
Учитывая характер и содержание задач защиты критически важной информации, представляется целесообразным положить в основу построения системы мониторинга концепцию SIEM-системы. Для этого рассмотрим подробнее содержание этого понятия. Основной целью построения и функционирования SIEM-систем, где SIEM означает управление информацией и событиями безопасности (Security Information and Event Management), является значительное повышение уровня информационной безопасности в информационно-телекоммуникационной инфраструктуре за счет обеспечения возможности в режиме, близком к реальному времени, манипулировать информацией о безопасности и осуществлять проактивное управление инцидентами и событиями безопасности. «Проактивный» означает «действующий до того, как ситуация станет критической». Предполагается, что проактивное управление инцидентами и событиями безопасности основывается на автоматических механизмах, которые используют информацию об «истории» анализируемых сетевых событий и прогнозе будущих событий, а также на автоматической подстройке параметров мониторинга событий к текущему состоянию защищаемой системы.
Для достижения данной цели SIEM-система должна обладать возможностью успешного решения следующего комплекса задач:
– сбора, обработки и анализа событий безопасности, поступающих в систему из множества гетерогенных источников;
– обнаружения в режиме реального времени атак и нарушений критериев и политик безопасности;
– оперативной оценки защищенности информационных, телекоммуникационных и других критически важных ресурсов;
– анализа и управления рисками безопасности КВИ;
– проведения расследований инцидентов;
– обнаружения расхождения критически важных ресурсов и бизнес-процессов с внутренними политиками безопасности и приведение их в соответствие друг с другом;
– принятия эффективных решений по защите информации;
– формирования отчетных документов.
Основными исходными данными, которые используются SIEM системой для решения указанных задач, являются записи различных журналов (logs), протоколирующие события в КВИ, называемые «событиями безопасности». Данные события отражают такие действия пользователей и программ, которые могут оказать влияние на безопасность. Из общего множества событий безопасности SIEM-система должна находить такие, которые свидетельствуют об атаках или иных нежелательных действиях в КВИ, причем традиционные методы поиска такой информации достаточно трудоемки.
Архитектура SIEM системы
Как правило, SIEM-система имеет архитектуру «агенты», «хранилище данных», «сервер приложений», которая разворачивается поверх защищаемой информационной инфраструктуры.
Агенты выполняют сбор событий безопасности, их первоначальную обработку и фильтрацию.
Собранная и отфильтрованная информация о событиях безопасности поступает в хранилище данных или репозиторий, где она хранится во внутреннем формате представления с целью последующего использования и анализа сервером приложений.
Сервер приложений реализует основные функции защиты информации. Он анализирует информацию, хранимую в репозитории, и преобразует ее для выработки предупреждений или управленческих решений по защите информации. Таким образом, в SIEM-системе можно выделить следующие три архитектурных уровня ее построения: сбора данных; управления данными; анализа данных.
На первом уровне сбор данных осуществляется от источников различных типов. К числу таковых относятся: файловые серверы, серверы баз данных, Windows-серверы, межсетевые экраны (МСЭ), рабочие станции, системы противодействия атакам (IPS, intrusion prevention systems), антивирусные программы и т.п.
На втором уровне осуществляется управление данными о событиях безопасности, которые хранятся в репозитории.
Архитектура типовой SIEM-системы показано на рисунке 1.4.1.
Рисунок 1.4.1 – Архитектура типовой SIEM-системы
Данные, хранящиеся в репозитории, выдаются по запросам моделей анализа данных. Результатами обработки информации в SIEM-системе, получаемыми на третьем уровне, являются отчеты в предопределенной и произвольной форме, оперативная (online) корреляция данных о событиях, а также предупреждения, вырабатываемые в режиме online и (или) передаваемые по электронной почте.
Функции систем SIEM
SIEM-система сочетает функции двух других классов систем, относящихся к системам мониторинга и управления безопасностью информации – SIM (Security Information Management) и SEM (Security Event Management). По этой причине SIEM-система выполняет свойственные SIM и SEM-системам функции. К группе функций SIM-системы относятся сбор, хранение и анализ записей журналов, а также формирование необходимой отчетности. К группе функций SEM-системы относится мониторинг событий безопасности в реальном времени, а также выявление и реагирование на инциденты безопасности.
Реализация указанных выше функций в SIEM-системе осуществляется на основе выполнения комплекса различных механизмов функционирования. В SIEM-системах первого поколения к числу таких механизмов, как правило, относятся нормализация, фильтрация, классификация, агрегация, корреляция и приоритезация событий, а также генерация отчетов и предупреждений. В SIEM-системах нового поколения к их числу следует добавить также анализ событий, инцидентов и их последствий, а также принятие решений и визуализацию. Распределение указанных механизмов по уровням иерархии SIEM системы показано на рисунок 1.4.2.
Рисунок 1.4.2 – Обобщенная иерархическая модель
Раскроем содержание основных механизмов функционирования SIEM-системы. Нормализация означает приведение форматов записей журналов, собранных из различных источников, к единому внутреннему формату, который затем будет использоваться для их хранения и последующей обработки. Фильтрация событий безопасности заключается в удалении избыточных событий из поступающих в систему потоков. Классификация позволяет для атрибутов событий безопасности определить их принадлежность определенным классам. Агрегация объединяет события, схожие по определенным признакам. Корреляция выявляет взаимосвязи между разнородными событиями, что позволяет обнаруживать атаки на КВИ, а также нарушения критериев и политик безопасности. Приоритезация определяет значимость и критичность событий безопасности на основании правил, определенных в системе.
Анализ событий, инцидентов и их последствий включает процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов. Генерация отчетов и предупреждений означает формирование, передачу, отображение и (или) печать результатов функционирования. Принятие решений определяет выработку мер по реконфигурированию средств защиты с целью предотвращения атак или восстановления безопасности инфраструктуры. Визуализация предполагает представление в графическом виде данных, характеризующих результаты анализа событий безопасности и состояние защищаемой КВИ и ее элементов.
Следует отметить, что при переходе к механизмам более высокого уровня модели, показанной на рисунок 1.4.2, количество обрабатываемых событий уменьшается, а сложность их обработки увеличивается.
Взаимосвязь механизмов функционирования SIEM-системы нового поколения наглядно демонстрирует функциональная модель, представленная на рисунок 1.4.3.
Рисунок 1.4.3 – Функциональная модель SIEM–системы
Как видно из рисунка 1.4.3, в SIEM-системе можно выделить пять основных функциональных подсистем: сбора данных; обработки; хранения; анализа; представления. Причем первые две функционируют в режиме online, остальные – в близком к нему. Дадим краткую характеристику этим подсистемам.
Подсистема сбора данных. Для получения информации от источников используются два основных метода: Push и Pull. Суть метода Push заключается в том, что источник сам посылает данные записей своих журналов в SIEM-систему. В методе Pull система сама осуществляет процесс получения данных из журналов. Сбор данных осуществляется от источников различных типов.
Подсистема обработки. Обработка информации включает в себя нормализацию, фильтрацию, корреляцию, агрегацию и классификацию.
Подсистема хранения. Отфильтрованные данные в нормализованном виде помещаются для хранения в репозиторий. Репозиторий может быть создан на основе реляционной СУБД (наиболее распространенное решение), XML-ориентированной СУБД и (или) хранилища триплетов. Хранилище триплетов – это специально созданная база данных, оптимизированная для хранения и поиска триплетов, т.е. утверждений вида «субъект предикат объект».
Подсистема анализа. Анализ данных включает в себя следующие функции: корреляцию данных, классификацию, агрегацию, приоритезацию и анализ событий, инцидентов и их последствий (в том числе посредством моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов), а также поддержку принятия решений. Анализ данных может основываться на качественных и количественных оценках. Количественная оценка является более точной, но требует заметно больше времени, что не всегда допустимо. Чаще всего бывает достаточно быстрого качественного анализа, задача которого заключается в распределении факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но все сводится к тому, чтобы выявить самые серьезные угрозы.
Подсистема представления. Представление включает в себя несколько функций: визуализацию, генерацию отчетов и генерацию предупреждений.
2 Анализ средств и систем, проактивной защиты
2.1 Анализ рынка SIEM-систем
Чтобы правильно подобрать SIEM систему для транспортной компании, нужно определить приоритеты компании и выделить основные критерии. После определения критерий нужно сравнить функционал ряда SIEM систем, чтобы иметь четкое представления о их возможностях. Далее идет подготовка списка сравниваемых решений, здесь упор делается на отчеты аналитического агентства (Gartner).
Чтобы сравнить SIEM системы, было взято десять наиболее важных критерий.
– поддержка источников событий;
– сбор событий;
– поиск данных и аналитика;
– визуализация и отчетность;
– оповещение и приоритезация;
– общие настройки и предустановленный функционал;
– масштабируемость, отказоустойчивость и хранение;
– мониторинг компонентов системы и внутренний аудит;
– удобство использования;
– наличие сертификатов соответствия ФСТЭК.
Для сравнения были выбраны крупные игроки, как Российские, так и зарубежные.
– IBM QRadar;
– Positive Technologies MaxPatrol SIEM;
– HP ArcSight;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
