Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdfАДБ, могут быть объединены в группу, которая является частью автоматизированной оконечной системы.
Средства формирования отчетов и анализа результатов АДБ могут быть объединены в другую группу, которая может быть весьма полезной для аудиторов безопасности.
Соответственно, в распределенной БДРА последователь ность функций может быть ранжирована по иерархическому принципу (рис. 8.2). Средство отбора результатов АДБ, при надлежащее одному компоненту, осуществляет сбор сообще ний АДБ, поступающих от средства диспетчеризации резуль татов АДБ, которое принадлежит другому компоненту. Эта связка прерывается, когда компоненты не взаимодействуют со средством диспетчеризации результатов АДБ. В последнем случае компонент обязан взаимодействовать со средством ар хивирования записей БДРА, которое способно передавать за писи БДРА в архив.
Решение о том, какие из функций следует объединять в груп пы, зависит от организации конкретной прикладной системы.
ПРИМ ЕЧАНИЕ. Рассмотренные выше примеры носят исклю чительно иллюстративный характер.
Рис. 8.2. Модель распределенной базы данных результатов АДБ
364
8 .1 .2 . Ф азы проц ед ур А Д Б и о п о в ещ ен и я об о пасности
СЛАД предоставляет аудиторскому центру возможность определять и выбирать события, которые подлежат обнаруже нию и регистрации в БДРА, и события, которые необходимы для отправки СОП и сообщений АДБ.
При реализации ПРАД можно выделить следующие фазы:
•фаза обнаружения (detection phase), в которой происхо дит обнаружение события безопасности;
•фаза определения (классификации; discrimination phase),
в которой осуществляется предварительная классифика ция события, которая устанавливает необходимость ре гистрации события в БДРА или подачи СОП;
•фаза обработки сигнала оповещения (alarm processing phase), в которой может быть подан СОП или отправлено сообщение АДБ;
•фаза анализа (analysis phase), в которой событие, тем или иным образом затрагивающее обеспечение (состояние) безопасности, анализируется и сравнивается, исходя из контекста, с ранее обнаруженными событиями, зареги стрированными в БДРА, а также с планом ранее предпри нятых действий;
•фаза объединения (aggregation phase), в которой записи из различных БДРА собираются в одну БДРА;
•фаза формирования отчета (report generation phase), в ко торой из записей БДРА формируются отчеты по резуль татам АДБ;
•фаза архивирования (archiving phase), в которой записи из БДРА доставляются на архивное хранение (в архив ре зультатов АДБ).
Рассмотренные выше фазы не обязательно следуют одна за другой или строго разделены по времени, т.е. они могут пере крываться.
8.1J2.1. Фаза обнаружения
В этой фазе определяется, произошло ли событие безопасно сти. Реальное определение того, какое ответное действие долж
365
но последовать после обнаружения такого события, является за дачей средства определения (классификации) события, однако в отдельных случаях в соответствии с ПЛБ может незамедли тельно последовать СОП.
8.1.2.2. Фаза определения (классификации)
Когда обнаружено событие безопасности, тогда средство определения (классификации) события установит соответ ствующее начальное ответное действие (или направление действий). Такое ответное действие может быть одним из сле дующих:
a) отсутствие какого-либо ответного действия; B) формирование сообщения АДБ;
c) подача СОП и формирование сообщения АДБ.
Выбор конкретного ответного действия из трех перечислен ных выше должен осуществляться в зависимости от каждого об наруженного события и действующей ПЛБ.
8.1.2.3. Фаза обработки сигнала оповещения
В этой фазе процессор (средство обработки) анализирует СОП и определяет необходимое дальнейшее корректное дей ствие. Такое дальнейшее действие может быть одним из сле дующих:
a) отсутствие какого-либо дальнейшего действия; B) начало восстановительных мероприятий;
c)начало восстановительных мероприятий и формирова ние сообщения АДБ.
Выбор конкретного дальнейшего действия из трех перечис ленных выше должен осуществляться в зависимости от характе ра каждого обнаруженного события и действующей ПЛБ.
ПРИМ ЕЧАНИЕ. Второе и третье действия могут вызывать прерывание события с целью привлечения внимания персонала, например администратора по безопасности или системного ауди тора.
366
8.1.2.4. Фаза анализа
Вэтой фазе осуществляется обработка события безопасности
сцелью определения соответствующего дальнейшего действия. Указанная обработка также может использовать информацию о более ранних событиях, касавшихся обеспечения (состояния) безопасности и зарегистрированных в БДРА. Такое дальнейшее действие может быть одним из следующих:
a) отсутствие какого-либо дальнейшего действия; B) подача СОП;
c)формирование записи результатов АДБ;
d)подача СОП и формирование записи результатов АДБ.
Выбор конкретного дальнейшего действия из четырех пере численных выше должен осуществляться в зависимости от ха рактера каждого обнаруженного события и действующей ПЛБ.
В качестве одной из итераций процесса анализа может быть сделана ссылка на предшествующие события путем проверки записей в БДРА и архивных записей результатов АДБ.
8.1.2.5. Фаза объединения
Отдельные записи результатов АДБ из нескольких распреде ленных БДРА должны периодически собираться в одну БДРА. Этот процесс, который включает использование функций отбо ра результатов АДБ (в точке отбора) и диспетчеризацию резуль татов АДБ, называется объединением (этот процесс может быть иерархическим).
8.1.2.6. Фаза формирования электронного отчета
Когда это необходимо или установлено ПЛБ, результаты АДБ могут проходить дополнительную обработку. Этот обра ботка будет применять элементы анализа и, возможно, преоб разование записей результатов АДБ в соответствующий фор мат. Выходные данные анализа результатов АДБ представляют собой электронный отчет, который может указывать на то, что была попытка нарушения безопасности системы, и в таком слу чае может понадобиться проведение процедур восстановления
367
безопасности. Анализ результатов АДБ может использоваться для исследования последствий атаки и для определения соответ ствующих процедур контроля нарушений безопасности.
Электронный отчет по результатам АДБ может использо ваться при восстановлении безопасности для определения по следствий нарушения, вследствие которого возникла проблема безопасности. Соответственно, такой отчет может использо ваться для определения ресурсов, которыми пользовался авто ризованный клиент, и того, кто воспользовался его правами, но в нештатном режиме (некорректным образом). Также электрон ный отчет может использоваться при анализе любого наруше ния (происшествия), после которого может возникнуть необхо димость проведения восстановительных процедур.
8.1.2.7. Фаза архивирования
Результаты АДБ могут понадобиться (быть востребован ными) на протяжении достаточно продолжительного периода времени. В фазе архивирования часть результатов АДБ пере мещается в хранилище на длительное хранение. Хранилище, используемое для архивирования, должно обеспечивать целост ность исходной(ых) записи(ей). Архивирование результатов АДБ относительно исходного источника результатов аудита мо жет быть локальным или удаленным. Для удаленного архивиро вания могут понадобиться дополнительные ресурсы.
8 .1 .3 . Корреляция ауд и тор ско й и нф о рм ац и и
Записи АДБ в рамках одной или нескольких БДРА могут быть взаимосвязаны между собой. Например, запрос соединения может передаваться через несколько промежуточных систем, вследствие чего может быть сформировано несколько записей результатов АДБ в различных БДРА. Очень важно, чтобы эти записи результатов АДБ содержали точные метки времени или идентификаторы взаимосвязей между собой. Другим примером является запись двух разных событий в двух различных БДРА, и при этом очень важно определить, какое событие произошло первым.
368
8 .2 . П о л и т и к и и д р у г и е а с п е к т ы а у д и т а б е з о п а с н о с т и и о п о в е щ е н и я о б о п а с н о с т и
8 .2 .1 . П ол и ти ка
Политика проведения аудита безопасности (ПЛАД) опи сывает события безопасности и устанавливает правила приме нения процедур отбора, записи (БДРА) и анализа различных событий, касающихся обеспечения (состояния) безопасности. Существует несколько условий, которые могут быть включе ны в ПЛАД и в правила таких ПЛАД. Некоторые (одно или более) из таких условий могут быть включены в соответствую щую ПЛБ.
ПЛАД должна устанавливать требования для проведения АДБ различных уровней и типов, а также должна определять критерии формирования и подачи СОП. Проверка соответ ствия системных средств управления, подтверждение соот ветствия ПЛБ и определение имеющихся изменений в ПЛБ, средствах управления и процедурах потребуют анализа запи сей результатов АДБ и многих других аспектов структуры и состава системы, ее настройки (конфигурации) и функциони рования.
8 .2 .2 . Законодател ьны е аспекты
Во многих странах существуют законы, предназначенные для защиты частной жизни граждан этих стран. В некоторых случаях это означает, что запись результатов АДБ, содержащая персональные данные, не будет удовлетворять требованиям на циональных законов, в частности тех, которые связывают сек ретность информации и доступ к ней. Такие записи необходи мо защищать от неавторизованного (несанкционированного) вскрытия.
Там, где записи результатов АДБ используются в качестве правомочного (приемлемого) доказательства, могут вводиться специальные требования к использованию, хранению и защите записи результатов АДБ.
369
8 .2 .3 . Т реб ов ан и я к защ и те
Существуют два основных аспекта защиты, а именно:
•защита записи результатов АДБ и аудиторской инфор мации;
•защита совместной службы, состоящей из СЛАД СЛОО (СЛАО).
8.2.3.1.Защита аудиторской информации
Информация, отбираемая в БДРА, может поступать напря мую из сообщений АДБ или из других БДРА. Следовательно, результаты АДБ могут формироваться путем объединения запи сей БДРА, сформированных одним или несколькими источни ками. В простейшем случае записи БДРА включают все записи результатов АДБ, сформированные одной системой.
Результаты АДБ должны быть защищены от несанкциони рованного вскрытия и/или несанкционированной модифика ции. Для их защиты могут использоваться способы УД, аутен тификации, обеспечения конфиденциальности и целостности. Для хранения записей результатов АДБ используется один спе циальный метод, заключающийся в том, что записи хранятся среде, в которую запись данных можно сделать только один раз, при этом невозможно использовать процедуру перезаписи для удаления записи о событии.
Сообщения АДБ, СОП и электронные отчеты о результатах АДБ тоже должны быть защищены от несанкционированного вскрытия и/или несанкционированной модификации. Более того, очень важно, чтобы отправитель и получатель информа ции были уверены в том, что источник и получатель данных яв ляются теми, кто был действительно определен, и что информа ция ни каким образом не была скомпрометирована.
По крайней мере, может быть востребована конфиденциаль ность некоторой части информации, возможно, на основании следующих причин:
•законодательные аспекты, связанные с персональными данными;
370
•необходимость хранения в тайне событий АДБ, которые были или не были зарегистрированы;
•необходимость хранения в тайне параметров подлин ности получателей (или не получателей) результатов процедур (действий), последовавших после отправки СОП.
8.2.3.2. Защита СЛАО
СЛАО зависит от наличия высокого уровня доступности. Отказ в обслуживании (denial of service) является серьезной угрозой для СЛАО. Информация, предназначенная для адми нистратора системы оповещения об опасности или аудитора системы обеспечения безопасности, могла бы задержаться в той точке, где такая информация не имеет смысла. Из этого следу ет очень важный вывод — информация должна достигать своего потребителя своевременно.
8 .3 . В с п о м о га т е л ь н а я и н ф о р м а ц и я и с р е д с т в а д л я а у д и т а б е з о п а с н о с т и и о п о в е щ е н и я о б о п а с н о с т и
Обработка ВИ в интересах СЛАО может иметь два аспекта,
аименно:
•обработка сообщений, сформированных в ответ на не ожиданные («нежданные») события (т.е. не затребован ной со стороны СЛАО информации);
•обработка запросов определенной информации в интере сах СЛАО (т.е. затребованной информации).
Службы обеспечения необходимы для управления неко торыми аспектами процедур АДБ и оповещения об опасности, включая способы АДБ, критерии, по которым выбираются опре деленные действия (процедуры), осуществляемые после обна ружения события, касающегося обеспечения (состояния) ИБ, и процедуры обработки ВИ для СЛАО.
371
8 .3 .1 . ВИ в интересах С Л А О
Вспомогательная информация в интересах СЛАО (ВИАО) включает СОП, сообщения АДБ, записи результатов АДБ и электронные отчеты о результатах АДБ.
8.3.1.1. Сообщения АДБ
Сообщение АДБ представляет собой сообщение, которое бы ло сформировано в результате обнаруженного события безопас ности, относящегося к вопросам АДБ.
Сообщение АДБ может быть сформировано, например, на основе первичного анализа обнаруженного события безопасно сти с помощью средства определения (классификации) события, или в результате последующей обработки средством обработки СОП или средством анализа результатов АДБ.
8.3.1.2. Записи результатов АДБ
Термин «запись результата АДБ» используется для опреде ления одиночной записи в БДРА. Во многих случаях он будет соответствовать одиночному событию безопасности, но можно предположить, что в некоторых прикладных системах запись результата АД£ будет сформирована в результате обнаружения нескольких событий безопасности.
Типовая запись результата АДБ включает в себя информа цию об источнике и причине появления сообщения, а также может включать информацию об объектах/субъектах, привле каемых к проведению процедур обнаружения и обработки со общения.
8.3.1.3. Сигналы оповещения об опасности
Сигнал оповещения об опасности (или сигнал опасности)
представляет собой сообщение, следующее после обнаружения события безопасности, которое классифицировано как собы тие, приводящее к нарушению безопасности и возникновению условий для формирования и подачи СОП. Сигнал опасности может быть результатом обнаружения одиночного события безопасности или результатом достижения предельных значе
372
ний определенных параметров. И в том и другом случае опи сание условий формирования и подачи СОП является пред метом ПЛБ.
СОП могут быть инициированы средством определения (классификации) события (как результат первичного анали за и обработки события безопасности) или средством анализа результатов АДБ, причем в любой момент времени, если оно выявило наличие условий для формирования и подачи сигнала опасности.
8.3.1.4. Электронные отчеты о результатах АДБ
Электронные отчеты о результатах АДБ представляют со бой информацию, формируемую на основе анализа результатов АДБ. Для формирования электронных отчетов на основе одного или нескольких результатов АДБ используется средство форми рования отчета по результатам АДБ.
8.3.1.5. Пример объединения информации для СЛАО
Как правило, информация в интересах СЛАО включает:
•тип информации/сообщения (т.е. СОП, сообщение АДБ или электронный отчет о результатах АДБ);
•УИД элементов (например инициатор/целевой объект в событиях безопасности, объект/субъект действия);
•причина появления сообщения;
•УИД средств определения (классификация) события, предоставления записей БДРА и/или регистрации дан ных АДБ.
8 .3 .2 . С ред ства для С Л А О
Для проведения эффективной ПРАД и всестороннего и тщательного анализа событий необходим метод, который бы обнаруживал события безопасности и определял способ их об работки. Анализ сообщений осуществляется с помощью спосо ба фильтрации, который, в свою очередь, определяет, какое дей
373