Мельников Д. А. - Информационная безопасность открытых систем - 2013

АДБ, могут быть объединены в группу, которая является частью автоматизированной оконечной системы.

Средства формирования отчетов и анализа результатов АДБ могут быть объединены в другую группу, которая может быть весьма полезной для аудиторов безопасности.

Соответственно, в распределенной БДРА последователь­ ность функций может быть ранжирована по иерархическому принципу (рис. 8.2). Средство отбора результатов АДБ, при­ надлежащее одному компоненту, осуществляет сбор сообще­ ний АДБ, поступающих от средства диспетчеризации резуль­ татов АДБ, которое принадлежит другому компоненту. Эта связка прерывается, когда компоненты не взаимодействуют со средством диспетчеризации результатов АДБ. В последнем случае компонент обязан взаимодействовать со средством ар­ хивирования записей БДРА, которое способно передавать за­ писи БДРА в архив.

Решение о том, какие из функций следует объединять в груп­ пы, зависит от организации конкретной прикладной системы.

ПРИМ ЕЧАНИЕ. Рассмотренные выше примеры носят исклю­ чительно иллюстративный характер.

Рис. 8.2. Модель распределенной базы данных результатов АДБ

364

8 .1 .2 . Ф азы проц ед ур А Д Б и о п о в ещ ен и я об о пасности

СЛАД предоставляет аудиторскому центру возможность определять и выбирать события, которые подлежат обнаруже­ нию и регистрации в БДРА, и события, которые необходимы для отправки СОП и сообщений АДБ.

При реализации ПРАД можно выделить следующие фазы:

•фаза обнаружения (detection phase), в которой происхо­ дит обнаружение события безопасности;

•фаза определения (классификации; discrimination phase),

в которой осуществляется предварительная классифика­ ция события, которая устанавливает необходимость ре­ гистрации события в БДРА или подачи СОП;

•фаза обработки сигнала оповещения (alarm processing phase), в которой может быть подан СОП или отправлено сообщение АДБ;

•фаза анализа (analysis phase), в которой событие, тем или иным образом затрагивающее обеспечение (состояние) безопасности, анализируется и сравнивается, исходя из контекста, с ранее обнаруженными событиями, зареги­ стрированными в БДРА, а также с планом ранее предпри­ нятых действий;

•фаза объединения (aggregation phase), в которой записи из различных БДРА собираются в одну БДРА;

•фаза формирования отчета (report generation phase), в ко­ торой из записей БДРА формируются отчеты по резуль­ татам АДБ;

•фаза архивирования (archiving phase), в которой записи из БДРА доставляются на архивное хранение (в архив ре­ зультатов АДБ).

Рассмотренные выше фазы не обязательно следуют одна за другой или строго разделены по времени, т.е. они могут пере­ крываться.

8.1J2.1. Фаза обнаружения

В этой фазе определяется, произошло ли событие безопасно­ сти. Реальное определение того, какое ответное действие долж­

365

но последовать после обнаружения такого события, является за­ дачей средства определения (классификации) события, однако в отдельных случаях в соответствии с ПЛБ может незамедли­ тельно последовать СОП.

8.1.2.2. Фаза определения (классификации)

Когда обнаружено событие безопасности, тогда средство определения (классификации) события установит соответ­ ствующее начальное ответное действие (или направление действий). Такое ответное действие может быть одним из сле­ дующих:

a) отсутствие какого-либо ответного действия; B) формирование сообщения АДБ;

c) подача СОП и формирование сообщения АДБ.

Выбор конкретного ответного действия из трех перечислен­ ных выше должен осуществляться в зависимости от каждого об­ наруженного события и действующей ПЛБ.

8.1.2.3. Фаза обработки сигнала оповещения

В этой фазе процессор (средство обработки) анализирует СОП и определяет необходимое дальнейшее корректное дей­ ствие. Такое дальнейшее действие может быть одним из сле­ дующих:

a) отсутствие какого-либо дальнейшего действия; B) начало восстановительных мероприятий;

c)начало восстановительных мероприятий и формирова­ ние сообщения АДБ.

Выбор конкретного дальнейшего действия из трех перечис­ ленных выше должен осуществляться в зависимости от характе­ ра каждого обнаруженного события и действующей ПЛБ.

ПРИМ ЕЧАНИЕ. Второе и третье действия могут вызывать прерывание события с целью привлечения внимания персонала, например администратора по безопасности или системного ауди­ тора.

366

8.1.2.4. Фаза анализа

Вэтой фазе осуществляется обработка события безопасности

сцелью определения соответствующего дальнейшего действия. Указанная обработка также может использовать информацию о более ранних событиях, касавшихся обеспечения (состояния) безопасности и зарегистрированных в БДРА. Такое дальнейшее действие может быть одним из следующих:

a) отсутствие какого-либо дальнейшего действия; B) подача СОП;

c)формирование записи результатов АДБ;

d)подача СОП и формирование записи результатов АДБ.

Выбор конкретного дальнейшего действия из четырех пере­ численных выше должен осуществляться в зависимости от ха­ рактера каждого обнаруженного события и действующей ПЛБ.

В качестве одной из итераций процесса анализа может быть сделана ссылка на предшествующие события путем проверки записей в БДРА и архивных записей результатов АДБ.

8.1.2.5. Фаза объединения

Отдельные записи результатов АДБ из нескольких распреде­ ленных БДРА должны периодически собираться в одну БДРА. Этот процесс, который включает использование функций отбо­ ра результатов АДБ (в точке отбора) и диспетчеризацию резуль­ татов АДБ, называется объединением (этот процесс может быть иерархическим).

8.1.2.6. Фаза формирования электронного отчета

Когда это необходимо или установлено ПЛБ, результаты АДБ могут проходить дополнительную обработку. Этот обра­ ботка будет применять элементы анализа и, возможно, преоб­ разование записей результатов АДБ в соответствующий фор­ мат. Выходные данные анализа результатов АДБ представляют собой электронный отчет, который может указывать на то, что была попытка нарушения безопасности системы, и в таком слу­ чае может понадобиться проведение процедур восстановления

367

безопасности. Анализ результатов АДБ может использоваться для исследования последствий атаки и для определения соответ­ ствующих процедур контроля нарушений безопасности.

Электронный отчет по результатам АДБ может использо­ ваться при восстановлении безопасности для определения по­ следствий нарушения, вследствие которого возникла проблема безопасности. Соответственно, такой отчет может использо­ ваться для определения ресурсов, которыми пользовался авто­ ризованный клиент, и того, кто воспользовался его правами, но в нештатном режиме (некорректным образом). Также электрон­ ный отчет может использоваться при анализе любого наруше­ ния (происшествия), после которого может возникнуть необхо­ димость проведения восстановительных процедур.

8.1.2.7. Фаза архивирования

Результаты АДБ могут понадобиться (быть востребован­ ными) на протяжении достаточно продолжительного периода времени. В фазе архивирования часть результатов АДБ пере­ мещается в хранилище на длительное хранение. Хранилище, используемое для архивирования, должно обеспечивать целост­ ность исходной(ых) записи(ей). Архивирование результатов АДБ относительно исходного источника результатов аудита мо­ жет быть локальным или удаленным. Для удаленного архивиро­ вания могут понадобиться дополнительные ресурсы.

8 .1 .3 . Корреляция ауд и тор ско й и нф о рм ац и и

Записи АДБ в рамках одной или нескольких БДРА могут быть взаимосвязаны между собой. Например, запрос соединения может передаваться через несколько промежуточных систем, вследствие чего может быть сформировано несколько записей результатов АДБ в различных БДРА. Очень важно, чтобы эти записи результатов АДБ содержали точные метки времени или идентификаторы взаимосвязей между собой. Другим примером является запись двух разных событий в двух различных БДРА, и при этом очень важно определить, какое событие произошло первым.

368

8 .2 . П о л и т и к и и д р у г и е а с п е к т ы а у д и т а б е з о п а с н о с т и и о п о в е щ е н и я о б о п а с н о с т и

8 .2 .1 . П ол и ти ка

Политика проведения аудита безопасности (ПЛАД) опи­ сывает события безопасности и устанавливает правила приме­ нения процедур отбора, записи (БДРА) и анализа различных событий, касающихся обеспечения (состояния) безопасности. Существует несколько условий, которые могут быть включе­ ны в ПЛАД и в правила таких ПЛАД. Некоторые (одно или более) из таких условий могут быть включены в соответствую­ щую ПЛБ.

ПЛАД должна устанавливать требования для проведения АДБ различных уровней и типов, а также должна определять критерии формирования и подачи СОП. Проверка соответ­ ствия системных средств управления, подтверждение соот­ ветствия ПЛБ и определение имеющихся изменений в ПЛБ, средствах управления и процедурах потребуют анализа запи­ сей результатов АДБ и многих других аспектов структуры и состава системы, ее настройки (конфигурации) и функциони­ рования.

8 .2 .2 . Законодател ьны е аспекты

Во многих странах существуют законы, предназначенные для защиты частной жизни граждан этих стран. В некоторых случаях это означает, что запись результатов АДБ, содержащая персональные данные, не будет удовлетворять требованиям на­ циональных законов, в частности тех, которые связывают сек­ ретность информации и доступ к ней. Такие записи необходи­ мо защищать от неавторизованного (несанкционированного) вскрытия.

Там, где записи результатов АДБ используются в качестве правомочного (приемлемого) доказательства, могут вводиться специальные требования к использованию, хранению и защите записи результатов АДБ.

369

8 .2 .3 . Т реб ов ан и я к защ и те

Существуют два основных аспекта защиты, а именно:

•защита записи результатов АДБ и аудиторской инфор­ мации;

•защита совместной службы, состоящей из СЛАД СЛОО (СЛАО).

8.2.3.1.Защита аудиторской информации

Информация, отбираемая в БДРА, может поступать напря­ мую из сообщений АДБ или из других БДРА. Следовательно, результаты АДБ могут формироваться путем объединения запи­ сей БДРА, сформированных одним или несколькими источни­ ками. В простейшем случае записи БДРА включают все записи результатов АДБ, сформированные одной системой.

Результаты АДБ должны быть защищены от несанкциони­ рованного вскрытия и/или несанкционированной модифика­ ции. Для их защиты могут использоваться способы УД, аутен­ тификации, обеспечения конфиденциальности и целостности. Для хранения записей результатов АДБ используется один спе­ циальный метод, заключающийся в том, что записи хранятся среде, в которую запись данных можно сделать только один раз, при этом невозможно использовать процедуру перезаписи для удаления записи о событии.

Сообщения АДБ, СОП и электронные отчеты о результатах АДБ тоже должны быть защищены от несанкционированного вскрытия и/или несанкционированной модификации. Более того, очень важно, чтобы отправитель и получатель информа­ ции были уверены в том, что источник и получатель данных яв­ ляются теми, кто был действительно определен, и что информа­ ция ни каким образом не была скомпрометирована.

По крайней мере, может быть востребована конфиденциаль­ ность некоторой части информации, возможно, на основании следующих причин:

•законодательные аспекты, связанные с персональными данными;

370

•необходимость хранения в тайне событий АДБ, которые были или не были зарегистрированы;

•необходимость хранения в тайне параметров подлин­ ности получателей (или не получателей) результатов процедур (действий), последовавших после отправки СОП.

8.2.3.2. Защита СЛАО

СЛАО зависит от наличия высокого уровня доступности. Отказ в обслуживании (denial of service) является серьезной угрозой для СЛАО. Информация, предназначенная для адми­ нистратора системы оповещения об опасности или аудитора системы обеспечения безопасности, могла бы задержаться в той точке, где такая информация не имеет смысла. Из этого следу­ ет очень важный вывод — информация должна достигать своего потребителя своевременно.

8 .3 . В с п о м о га т е л ь н а я и н ф о р м а ц и я и с р е д с т в а д л я а у д и т а б е з о п а с н о с т и и о п о в е щ е н и я о б о п а с н о с т и

Обработка ВИ в интересах СЛАО может иметь два аспекта,

аименно:

•обработка сообщений, сформированных в ответ на не­ ожиданные («нежданные») события (т.е. не затребован­ ной со стороны СЛАО информации);

•обработка запросов определенной информации в интере­ сах СЛАО (т.е. затребованной информации).

Службы обеспечения необходимы для управления неко­ торыми аспектами процедур АДБ и оповещения об опасности, включая способы АДБ, критерии, по которым выбираются опре­ деленные действия (процедуры), осуществляемые после обна­ ружения события, касающегося обеспечения (состояния) ИБ, и процедуры обработки ВИ для СЛАО.

371

8 .3 .1 . ВИ в интересах С Л А О

Вспомогательная информация в интересах СЛАО (ВИАО) включает СОП, сообщения АДБ, записи результатов АДБ и электронные отчеты о результатах АДБ.

8.3.1.1. Сообщения АДБ

Сообщение АДБ представляет собой сообщение, которое бы­ ло сформировано в результате обнаруженного события безопас­ ности, относящегося к вопросам АДБ.

Сообщение АДБ может быть сформировано, например, на основе первичного анализа обнаруженного события безопасно­ сти с помощью средства определения (классификации) события, или в результате последующей обработки средством обработки СОП или средством анализа результатов АДБ.

8.3.1.2. Записи результатов АДБ

Термин «запись результата АДБ» используется для опреде­ ления одиночной записи в БДРА. Во многих случаях он будет соответствовать одиночному событию безопасности, но можно предположить, что в некоторых прикладных системах запись результата АД£ будет сформирована в результате обнаружения нескольких событий безопасности.

Типовая запись результата АДБ включает в себя информа­ цию об источнике и причине появления сообщения, а также может включать информацию об объектах/субъектах, привле­ каемых к проведению процедур обнаружения и обработки со­ общения.

8.3.1.3. Сигналы оповещения об опасности

Сигнал оповещения об опасности (или сигнал опасности)

представляет собой сообщение, следующее после обнаружения события безопасности, которое классифицировано как собы­ тие, приводящее к нарушению безопасности и возникновению условий для формирования и подачи СОП. Сигнал опасности может быть результатом обнаружения одиночного события безопасности или результатом достижения предельных значе­

372

ний определенных параметров. И в том и другом случае опи­ сание условий формирования и подачи СОП является пред­ метом ПЛБ.

СОП могут быть инициированы средством определения (классификации) события (как результат первичного анали­ за и обработки события безопасности) или средством анализа результатов АДБ, причем в любой момент времени, если оно выявило наличие условий для формирования и подачи сигнала опасности.

8.3.1.4. Электронные отчеты о результатах АДБ

Электронные отчеты о результатах АДБ представляют со­ бой информацию, формируемую на основе анализа результатов АДБ. Для формирования электронных отчетов на основе одного или нескольких результатов АДБ используется средство форми­ рования отчета по результатам АДБ.

8.3.1.5. Пример объединения информации для СЛАО

Как правило, информация в интересах СЛАО включает:

•тип информации/сообщения (т.е. СОП, сообщение АДБ или электронный отчет о результатах АДБ);

•УИД элементов (например инициатор/целевой объект в событиях безопасности, объект/субъект действия);

•причина появления сообщения;

•УИД средств определения (классификация) события, предоставления записей БДРА и/или регистрации дан­ ных АДБ.

8 .3 .2 . С ред ства для С Л А О

Для проведения эффективной ПРАД и всестороннего и тщательного анализа событий необходим метод, который бы обнаруживал события безопасности и определял способ их об­ работки. Анализ сообщений осуществляется с помощью спосо­ ба фильтрации, который, в свою очередь, определяет, какое дей­

373