Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
БИТиС / Лекции_Мошак_Птицына_ Пособие_БИТиС.docx
Скачиваний:
87
Добавлен:
05.09.2023
Размер:
4.32 Mб
Скачать

5.3.3.5. Сравнительный анализ подходов к интегральному анализу данных мониторинга иб зарубежных систем

Сравнительный анализ подходов к интегральному анализу данных мониторинга ИБ зарубежных систем показывает, что:

– 0рассмотренные системы, реализующие подходы к интегральному анализу данных мониторинга, имеют либо распределенную, либо клиент-серверную архитектуру. Вид архитектуры зависит от источников данных мониторинга: если источниками данных мониторинга являются уже сформированные базы данных, файлы и т. д. (нет необходимости в сборе данных мониторинга), то подход к интегральному анализу реализуется на основе клиент-серверной архитектуры;

– наблюдаемыми объектами для интегрально анализа данных мониторинга, как правило, являются пользователи и элементы наблюдаемых автоматизированных систем. Исключение составляет система VisualLinks, в которой имеется возможность задания типов наблюдаемых объектов в зависимости от области применения данного средства;

– интегральный анализ данных мониторинга выполняется в три этапа: сбор данных мониторинга (включает в себя непосредственный съем информации, ее консолидацию и агрегацию), анализ (сигнатурный и статистический) и формирование отчета;

– методы, используемые при интегральном анализе данных мониторинга, как правило, ориентированы на выявление корреляции, основанной на правилах (сигнатурный анализ). Исключение составляют системы netForensics и VisualLinks, позволяющие использовать для анализа статистический аппарат и развитую систему визуализации (только VisualLinks);

– рассмотренные системы, реализующие подходы к интегральному анализу данных мониторинга, имеют развитые подсистемы генерации отчетов, предлагающие до несколько сотен видов отчетов (netForensics и EnVision). Подсистемы генерации отчетов предлагают также развитый сервис визуализации (только VisualLinks).

Следует учитывать, что характерными недостатками систем являются: отсутствие локализации, отсутствие эксплуатационной документации на русском языке, высокая стоимость и сложность настройки и технической поддержки.

5.3.3.6. Обоснования выбора систем мониторинга отечественного производства [21]

Системы мониторинга ИБ являются одним из компонентов систем контроля защищенности информационных инфраструктур РФ.

Под стандартными продуктами понимается покупное ПО в основном западных фирм-производителей, сравнительно широко растиражированное за рубежом и получившее определенное признание в России. Некоторые из таких продуктов достаточно давно применяются и в России, например, HP Open View. Универсальный характер ряда стандартных продуктов, в принципе, позволяет использовать их не только по прямому назначению – для целей оптимизации ИТ инфраструктуры, сетей, учета конфигураций, контроля работы сервисов и технологий, и т. п. Из-за наличия ряда хорошо отработанных решений на базе стандартных продуктов для ИТ-инфраструктур идея создать и внедрить аналогичные решения для ИБ порой кажется весьма привлекательной и даже соблазнительной. При этом по умолчанию ошибочно предполагается, что задачи в области ИБ аналогичны таким задачам, как контроль сервисов и технологий в области ИТ–инфраструктур.

Например, при анализе одного и того же инцидента ИТ-подразделение интересуют условия его возникновения, оценка потребленного ресурса (информационные потоки на входе и выходе, нагрузка на систему) и соотношение с имеющимися ресурсными возможностями (такими как пропускная способность каналов, производительность системы и другими), а также другие количественные оценки, позволяющие разобраться в возникшей ситуации и устранить последствия. При этом предполагается, что причина инцидента техническая или организационная, во всяком случае, злоумышленная активность не рассматривается или рассматривается в последнюю очередь.

Службу ИБ интересуют ответы хотя бы на три вопроса, связанные с этим же инцидентом:

– Какие свойства безопасности информационных активов были нарушены?

– Какой ущерб нанесен и его величина.

– Не является ли произошедший инцидент следствием злоумышленной активности?

Для ответа на эти вопросы требуется углубленный анализ предшествующих и последующих событий с целью поиска причинно-следственных связей между ними. Обеспечение информационной безопасности на основе методологического базиса агентных технологий рассмотрен, например, в [60-62]. Также необходимы подробные сведения о затронутых активах и операциях с ними, причастном персонале и т. п., т. е. обо всем, что образует контекст события-инцидента.

Ниже рассматриваются причины, препятствующие созданию решений в области ИБ на основе стандартных продуктов, в частности, причины выбора для целей контроля действий администраторов и пользователей решений, на основе разрабатываемых российских специализированных систем в противовес решениям на базе стандартных продуктов ведущих иностранных производителей [РИ]. При этом рассматривается только техническая сторона вопроса, хотя можно предположить, что экономическая сторона вопроса, при попытке решить проблему доработки стандартного импортного продукта, также окажется существенным фактором.