Контроль и мониторинг защищенности

Система контроля и мониторинга защищенности предназначена для обнаружения и предотвращения хакерских атак.


Использование средств защиты, таких как межсетевые экраны, системы контроля доступа, антивирусы и других, не гарантирует что информационная система устойчива к атакам. Любое программное или аппаратное обеспечение не является совершенным, и всегда можно предположить, что в нем найдутся уязвимости, позволяющие совершить какие-либо действия, нарушающие установленный порядок использования ресурсов. Кроме того, реагирование на несанкционированную активность или попытки взлома системы в режиме реального времени (или почти реального времени) практически невозможно, если эти функции выполняются вручную.


Своевременное обнаружение попыток взлома информационных систем и оперативное реагирование на такую деятельность позволяет существенно повысить уровень защищенности. Тщательный и регулярный анализ на предмет обнаружения атак и уязвимостей, реализуемый в предлагаемых ЗАО «ДИТ» решениях дает возможность предотвратить взлом.


Система контроля и мониторинга защищенности представляет собой набор решений, направленных на обеспечение функций контроля информационной системы и сервисов безопасности. Использование данной системы позволяет реализовать функции обнаружения, предотвращения и реагирования на попытки несанкционированной активности. Технические решения, используемые при построении системы, выполняют анализ сетевых пакетов и системных событий, выполняют их корреляцию и уведомляют администратора системы о выявленных нарушениях.


Система контроля и мониторинга защищенности включает технические средства и решения по их интеграции, при этом значительное внимание регламентам эксплуатации.


Среди основных организационных мероприятий, проводимых ЗАО «ДИТ» при внедрении, можно выделить - формирование перечня критичных информационных ресурсов и сегментов сети; формирование должностных инструкций; определение необходимых изменений, вносимых в существующую сетевую инфраструктуру, а также разработку политики реагирования на инциденты, политики восстановления систем и др.



Система контроля и мониторинга защищенности реализует следующие основные функции:

  • Обнаружение несанкционированной деятельности (как умышленной, так и случайной) и предотвращение возможных последствий в режиме реального времения;
  • Предотвращения хакерских атак на критичные приложения и системные сервисы;
  • Выполнение заданной последовательности ответных действий в случае обнаружения попытки вторжения в систему, целью которых может быть прекращение соединения со злоумышленником, изменение конфигурации узлов сети, извещение должностных лиц и др.;
  • Регистрация деятельности пользователей системы и анализ полученных данных в целях предотвращения дальнейших попыток нарушения политики безопасности организации по уже опробованной злоумышленником схеме;
  • Анализ существующих конфигурации информационной системы в целях обнаружения и устранения уязвимостей.

Система контроля и мониторинга защищенности включает технические средства, интеграционные решения, а также комплекс организационно-правовых мероприятий по мониторингу защищенности информационных систем.


Система контроля и мониторинга защищенности состоит из следующих базовых компонентов:

  • Система обнаружения атак - набор средств анализа системных событий и сетевого трафика, на предмет обнаружения несанкционированной активности и реализующих различные ответные действия на попытки атак.
  • Система анализа защищенности - набор средств анализа существующего состояния информационной системы для определения уровня ее защищенности, имитирующие во время работы «хакерские» методы.
  • Система предотвращения атак - компоненты, выполняющие выявление и предотвращение атаки, на прикладные и системные сервисы.
  • Политика и процедуры реагирования на атаки - совокупность организационных мероприятий, направленных на отражение атак и последующее восстановление системы.
  • Система управления - защищенный, отказоустойчивый центр управления системой.
  • Инфраструктурные решения - определение критичных ресурсов, точек установки, действий по реагирования и др.

Для обеспечения сбора и анализа сетевого трафика на предмет обнаружения атак на уровне сети используются специализированные технические средства (программные, программно-аппаратные) - сенсоры. Обнаружение атак сенсором осуществляется на основе сравнения содержимого полученного пакета с сигнатурой атаки, либо выявления аномальной сетевой активности.

Сетевые сенсоры представляют собой программное обеспечение, устанавливаемое на выделенный компьютер. Также используются программно- аппаратные решения, оптимизированные специально для выполнения функций обнаружения атак.

Обнаружение атак на уровне системных ресурсов осуществляется с использованием системных сенсоров. Системные сенсоры рассматриваются как дополнение к сетевым, и позволяют определить результат атаки в конечной точке. Основным механизмом выявления атак сенсором является поиск сигнатур атак в журналах аудита, а также анализ системных событий. Дополнительно используются решения, позволяющие блокировать атаку до ее завершения (предотвращение атак).

Системные сенсоры являются программными компонентами, устанавливаемые на критичные серверы и рабочие станции. Помимо сенсоров ориентированных на операционную систему, используются и специализированные сенсоры для обнаружения атак на уровне основных приложений - базы данных, Web - серверы и др.

Для оценки уровня защищенности информационных ресурсов в системе  используются сканеры защищенности. Использование данных средств позволяет выявить имеющиеся уязвимости в программном обеспечении, настройках или конфигурациях, протестировать реальную защищенность, а также исправить выявленные уязвимости либо сформировать рекомендации по устранению.

Сетевые сканеры, анализируют сетевые ресурсы и имитируют удаленные атаки, что позволяет моделировать действия злоумышленника. Таким образом, данные сканеры позволяют оценить устойчивость сетевых ресурсов к взлому.

Сканеры системного уровня анализируют прикладные и системные сервисы изнутри, позволяя оценить общий уровень защищенности. Аналогично сканерам системного уровня, предусматривается использование специализированных сканеров, предназначенных для функционирования на уровне основных приложений - базы данных, Web - серверы и др.

Управление компонентами системы  осуществляется из сегмента управления, состоящего из следующих элементов - Компонента сбора и анализа информации, Компонента управления и контроля, консоль управления системой, консоль мониторинга событий и формирования отчетов.

     При построении распределенных либо восоко-производительных систем мониторинга предусматривается реализация иерархии событий, выполняющая функции фильтрации событий на промежуточных уровнях.

 

Система контроля и мониторинга защищенности предусматривает возможность поэтапного внедрения подсистем и постепенного наращивания функций. При внедрении системы, используются продукты ведущих производителей, таких как Cisco Systems, Internet Security Systems,  Computer Associates, Okena, Symantec, Enterasys и др.

 

Реализованные проекты

  • С.М.А.Р.Т.С - внедрение системы обнаружения и предотвращения несанкционированных воздействий.
  • МВД России - внедрение системы обнаружения и предотвращения несанкционированных воздействий.
  • Номос - Банк - анализ защищенности телекоммуникационных систем Номос - Банк.
  • Альфа - банк - поставка специализированной системы анализа защищенности Интернет ресурсов и др.