Средства расследования инцидентов
Средства расследования инцидентов предназначены для обнаружения отклонений от политики безопасности и обеспечения расследования в случае возникновения инцидентов безопасности.
Можно выделить два класса таких средств.
Первый - содержит системы, которые только собирают журналы регистрации с удаленных компьютеров и хранят их в центральной базе данных. По мере наполнения этой базы, с помощью встроенных в эти средства механизмов администратором безопасности осуществляется выборка или фильтрация событий и их анализ с точки зрения безопасности.
Второй класс средств является более интеллектуальным и предлагает администраторам свой взгляд на безопасность сети. Эти средства сами проводят первичный анализ и корреляцию событий от разнородных приложений и разных компьютеров и предлагают сотрудникам отделов защиты информации или внутреннего аудита подготовленные отчеты с выводами о произошедших за определенный период (или согласно другому критерию) инцидентах безопасности.
В качестве примера указанных средств можно назвать системы SecureLog Manager и SAFEsuite Decisions, каждая из которых позволяет решить свой круг задач. SecureLog Manager, разработанная компанией Internet Security Systems относится к первому классу средств расследования инцидентов и позволяет решить следующие задачи:
Централизованный сбор и хранение системных журналов регистрации;
Архивирование собранных журналов регистрации;
Обработку журналов для дальнейшего анализа.
SLM поддерживает следующие журналы регистрации и операционные системы:
Security EventLog, Application EventLog и System EventLog для Windows NT и Windows 2000;
Syslog и sulog для Solaris и HP UX (в текущей версии).
По мере развития системы SecureLog Manager планируется расширить число поддерживаемых операционных систем и типов журналов регистрации, а также интегрировать ее с системами анализа защищенности и обнаружения атак.
Находясь в низшей ценовой нише, система SecureLog Manager не может полностью решить задачи корреляции событий от разных компьютеров, а также пока не умеет анализировать не системные журналы регистрации, например, журналы регистрации маршрутизаторов, межсетевых экранов или других средств защиты. Зато это умеет делать система SAFEsuite Decisions также разработанная компанией Internet Security Systems. Система SAFEsuite Decisions позволяет собирать данные от систем анализа защищенности, систем обнаружения атак, межсетевых экранов и других средств защиты, расположенных в различных местах территориально-распределенной корпоративной сети, что позволяет "окинуть взглядом" безопасность всей сети в целом. При помощи данной системы персонал, отвечающий за обеспечение информационной безопасности, сможет концентрировать свое внимание на основных проблемах, связанных с уязвимостью наиболее критичных участков и узлов корпоративной сети.
Система SAFEsuite Decisions использует технологию SAFElink, которая позволяет собирать данные от:
Security EventLog, Application EventLog и System EventLog для Windows NT и Windows 2000;
Системы анализа защищенности на уровне сети Internet Scanner;
Системы анализа защищенности на уровне ОС System Scanner;
Системы анализа защищенности на уровне СУБД Database Scanner;
Системы обнаружения атак RealSecure;
Межсетевого экрана Check Point VPN-1&Firewall-1;
Межсетевого экрана NAI Gauntlet;
Маршрутизаторов Cisco, Nortel и т.д.
При помощи специального дополнения (SDK) к системе SAFEsuite Decisions можно подключать межсетевые экраны и системы обнаружения атак других производителей.
Сбор данных (и генерация отчетов) может осуществлять как интерактивно (по запросу администратора), так и по расписанию или в результате наступившего события. Система SAFEsuite Decisions (рис.1) поддерживает единое время для всех своих агентов, что позволяет независимо от часовых поясов, в которых установлены контролируемые системы защиты, анализировать собираемые события безопасности и обнаруживать скрытые взаимосвязи. Также система SAFEsuite Decisions эффективно работает в условиях динамического изменения адресов и абсолютно точно идентифицирует контролируемые узлы даже в случае изменения их адреса.
Р
ис.1
Система SAFEsuite Decisions позволяет создать более 90 различных отчетов, которые могут быть разделены на две категории:
Отчеты, объединяющие информацию об уязвимостях, атаках и событиях безопасности, полученных от межсетевых экранов. Основываясь на разнородной информации эти отчеты содержат рейтинги безопасности узлов корпоративной сети, сравнения этих рейтингов и т.п.
Отчеты, консолидирующие сведения от указанных средств защиты. На основе этих данных можно получать отчеты об узлах, защищенность которых не проверялась; периодически повторяющихся атаках; скоординированных и распределенных атаках; атаках, пропущенных межсетевыми экранами; наиболее часто атакующих и атакуемых узлах и т.д.
Разумеется, все компоненты систем SecureLog Manager и SAFEsuite Decisions, а также собранные ими данные защищены от несанкционированного доступа. Во-первых, никто кроме администратора не может запустить эти системы и получить доступ как к исходной информации, так и к результатам анализа. Во-вторых, такой доступ ограничен и на уровне операционной и файловых систем. Наконец, целостность собранных данных контролируется при каждом запуске системы, что не позволяет подменять и модифицировать потенциальные свидетельства злоумышленной деятельности. Но локальной защитой дело не ограничивается. При передаче по сети вся собранная информация также защищается от несанкционированного прочтения и изменения с помощью стойких алгоритмов.