ТЕНДЕНЦИИ РАЗВИТИЯ ПРОГРАММНЫХ ПРОДУКТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Бутов Олег Сергеевич
студент группы 25с Омского государственного университета путей сообщения, г. Омск
E-mail: Butov.O@outlook.com
Мызникова Татьяна Александровна
канд. техн. наук, доцент Омского государственного университета путей сообщения, г. Омск
E-mail: tmyzn@mail.ru
АННОТАЦИЯ
Целью данной статьи является рассмотрение существующих программных средств обеспечен я нформационной безопасности, а также прогноз направлен й х разв т я на лижайшее будущее. Сравнительный анализ выполнялся на основе открытых источников с учетом мнения экспертов на основе предложенных кр териев сравнения. В результате выявлены наиболее востребованные программные продукты в своем классе, показаны тенденции их дальнейшего разв т я.
Ключевые слова: программные продукты, тенденции развития, информационная безопасность
В современном о ществе информация представляет собой очень ценный ресурс в любой деятельности человека. Одним из средств, используемых для её защиты, являются программные продукты, которые применяются для
выполнения логических интеллектуальных функций защиты. |
|
|
|||
В рамках данной статьи представлен проведенный анализ |
|||||
функциональности программных продуктов (ПП) и отражены возможные |
|||||
направления развития для следующих классов ПП: |
|
|
|||
|
DLP-систем, |
защищающих |
организации |
от |
утечек |
конфиденциальной информации; |
|
|
|
||
|
IDS/IPS-систем, |
средств для |
обнаружения/предотвращения |
||
вторжений; |
|
|
|
|
|
|
SIEM-систем, предназначенных для мониторинга информационных |
||||
СибАДИ |
|||||
систем, анализа событий безопасности в реальном времени и реагирования на |
|||||
инциденты информационной безопасности (ИБ).
Выбор наилучших программных продуктов каждой категории выполнялся на основе сведений аналитической компании Gartner Group [1]. Для анализа систем использовались документация и открытые обзоры продуктов [2 − 5], доступные на момент написания данной статьи. Информация была систематизирована и сведена в обобщающие таблицы.
Анализ DLP-систем осуществлялся по следующим критериям: режимы работы; технология; контролируемые каналы; удобство управления;
11
журналирование и отчеты. Лидерами рынка за последние пять лет являются
DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистемы Джет».
Для примера приведен анализ технологии детектирования, представленный в таблице 1.
Таблица 1
|
Технологии распознавания информации, используемые в DLP-системах |
||||||
|
СибАДИ |
||||||
|
|
|
|
Фирмы разработчики |
|
|
|
|
Технолог я |
InfoWatch |
McAfee |
Symantec |
Websense |
Zecurion |
Инфо- |
|
|
|
|
|
|
|
системы |
|
|
|
|
|
|
|
Джет |
|
Формальные |
+ |
+ |
+ |
+ |
+ |
+ |
|
признаки |
|
|
|
|
|
|
|
Морфолог я |
+ |
- |
- |
- |
+ |
+ |
|
Цифровые |
+ |
+ |
+ |
+ |
+ |
+ |
|
отпечатки |
|
|
|
|
|
|
|
Метод Байеса |
- |
- |
+ |
+ |
+ |
- |
|
Сигнатуры |
+ |
+ |
+ |
+ |
+ |
+ |
|
Регулярные |
+ |
+ |
+ |
+ |
+ |
+ |
|
выражения |
|
|
|
|
|
|
|
Анализ |
- |
- |
- |
- |
+ |
- |
|
транслита и |
|
|
|
|
|
|
|
замаскирован- |
|
|
|
|
|
|
|
ного текста |
|
|
|
|
|
|
|
Распознание |
+ |
- |
- |
+ |
+ |
+ |
|
графических |
|
|
|
|
|
|
|
файлов |
|
|
|
|
|
|
|
Технологии позволяют классифицировать информацию, которая |
||||||
|
передается по электронным каналам |
выявлять конфиденциальные сведения. |
|||||
На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий. В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.
12
Среди IDS/IPS-систем анализировались следующие продукты.
Системы Cisco Systems имеют надежные решения, отличную поддержку, но тяжелы в настройке, сигнатурный анализ дает много ложных срабатываний, интерфейс управления при большом количестве событий не позволяет адекватно разбирать зафиксированные события.
истемы производителя TippingPoint удобны в настройке и установке. Имеют неплохой интерфейс управления, но могут подключаться только в СибАДИразрыв, то есть без пассивного обнаружения. Не позволяют расширить
функционал представляют собой просто IDS/IPS-систему.
истема Juniper Networks сложна в настройке, консоль управления NSM очень сильно огран чена, отображаемые результаты сложно воспринимать.
истема Sourcefire является лучшей с точки зрения удобства и функционала. К тому же эта система уже имеет встроенные возможности детального сбора данных об атакующих и атакуемых узлах, а не только IP и MAC-адреса, что с льно сн жает время анализа и разбора событий.
Среди SIEM-с стем анализировались следующие программные продукты. В системе PT MaxPatrol SIEM0 присутствуют механизмы нормализации, агрегации ф льтрац со ытий. Нормализация производится только для определённых т пов со ыт й. Поддерживается возможность сбора, хранения и работы по raw-со ытиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до 7-го уровня модели OSI при помощи
дополнительного модуля MaxPatrol X Network Traffic.
В системе BM QRadar схема нормализации имеет 19 полей, встречается много событий, которые плохо нормализуются. грегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до 7-го уровня модели OSI.
В системе HP ArcSight схема нормализации имеет более 200 полей, события хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации, поддерживается маскирование данных. Мониторинг NetFlow до 7-го уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию осуществляется одним действием в интерфейсе управления.
Всистеме McAfee ESM процесс нормализации приводит все события в формат MEF (McAfee Event Format). Осуществляется категоризация событий. Агрегация присутствует, есть ограничения по агрегации – максимум 3 значения, по которым можно ее выполнить, параметры агрегации можно переопределить. Разбор сетевого трафика на уровне приложений осуществляется путем интеграции с решением IPS от McAfee.
Всистеме RSA Security Analytics поддерживаются нормализация, агрегация и фильтрация событий. Для контроля целостности данных требуется
13
использование дополнительного модуля Archiver. Работа по raw-событиям гораздо медленнее по сравнению с конкурентами. Возможность хранения данных в течение разного периода времени, их разделения на физическом и логическом уровне также требует использования дополнительного модуля Archiver. Отсутствует маскирование данных. Мониторинг сетевого трафика вплоть до 7-го уровня модели OSI осуществляется с помощью модуля Packet Decoder.
СибАДИНа основе проведенного анализа и мнений экспертов [6 − 8] можно выделить направления развития данных систем.
DLP-с стемы продолжат развиваться и видоизменяться. Конечно, в первую очередь поставщ ки DLP-систем постараются решить наиболее болезненные для заказч ков проблемы: например, для западных DLP-систем таковой является качественная поддержка распознавания конфиденциальных данных в русскоязычных документах, а для подавляющего большинства DLPрешений – работа с ольшими объемами данных и внедрение без существенного зменен я корпоративной сетевой инфраструктуры у заказчика. Стоит отмет ть, что в полном соответствии с законами рынка главным направлен ем разв т я DLP-систем сегодня все-таки является обеспечение максимально высокой защ щенности клиентских организаций. Достигается это в первую очередь переходом производителей от предложения "заплаточных" систем, закрывающих отдельные реши в информационной безопасности организации, к комплексным интегрированным продуктам, обеспечивающим не только обнаружение передачи конфиденциальной информации или ее блокировку, но также и защищенное хранение ценных для организации данных. Пока что такие комплексные решения есть далеко не у всех поставщиков программного обеспечения, но тот факт, что они очень востребованы рынком, заставляет производителей решений для защиты от утечек информации пересматривать свои планы по развитию продуктов.
Дальнейшие направления совершенствования IPS/IDS-систем связаны с внедрением в теорию практику IPS/IDS-систем общей теории систем, методов теории синтеза анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для данной области. о настоящего времени IPS/IDSсистемы не описаны как подсистемы информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества IPS/IDSсистем, элементный состав IPS/IDS-систем, их структуру и взаимосвязи с информационной системой. В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и IPS/IDS-систем имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы.
14
От SIEM-решений сейчас требуются новые функции и механизмы, способные более быстро, точно и качественно выявлять и предотвращать инциденты ИБ, при этом не ограничиваясь анализом данных только из журналов событий. По сути, SIEM решения нового поколения становятся "интеллектуальной платформой обеспечения информационной безопасности" (Security Intelligence Platform). SIEM-решение нового поколения тяготеет к тому, чтобы сочетать в себе "традиционный" SIEM, а также функции анализа
СибАДИ02e4c0b7c479068f6e8f784.pdf
сетевого трафика и управления рисками. Не исключено, что в обозримом будущем SIEM-решения обретут элементы и механизмы DLP и IPS-систем, тенденция к появлен ю модуля, функционально похожего на DLP и IPS,
замечена у мног х л деров рынка.
писок л тературы:
1. Gartner [Электронный ресурс] – Режим доступа: https://www.gartner.com/en
2. Сравнен е DLP-с стем [Электронный ресурс] – Режим доступа: https://www.osp.ru/winitpro/2014/01/13039197/
3. Обзор корпорат вных IPS-решений [Электронный ресурс] – Режим доступа: https://www.anti-malware.ru/IPS russian market review 2013
4. Обзор систем IPS [Электронный ресурс] – Режим доступа: http://itsec.ru/articles2/techobzor/obzor-sistem-ips-v-chem-raznica
5. Обзор систем IPS [Электронный ресурс] – Режим доступа:
http://itsec.ru/articles2/techobzor/obzor-sistem-ips-v-chem-raznica
6. DLP-системы в России: тенденции и перспективы [Электронный ресурс]
– Режим доступа: http://itsec.ru/articles2/research/dlpsistemi-v-rossii-tendencii-i-
perspektivi/ |
|
|
|
|
|
|
|
7. Состояние перспективы развития систем обнаружения компьютерных |
|||||
вторжений |
[Электронный |
ресурс] |
– |
Режим |
доступа: |
|
https://cyberleninka.ru/article/n/sostoyanie-i-perspektivy-razvitiya-sistem- |
|
|||||
obnaruzheniya-kompyuternyh-vtorzheniy |
|
|
|
|||
|
8. Современные тенденции развития SIEM-решений [Электронный ресурс] |
|||||
– |
Режим |
доступа: |
https://ntc-vulkan.ru/upload/iblock/962/962dc387a |
|||
15