Оглавление
Ведущим решением для
автоматизации
управления инцидентами является IRP система от компании Security
Vision. Эта система успешно внедрена в десятках крупных государственных
и частных компаний. ИТ-продукты компании Security Vision включены в
единый реестр программ, получили все сертификаты и лицензии. Сайт
организации - www.securityvision.ru
- Обзор общепризнанных практик по управлению инцидентами
- Построение процесса управления инцидентами
- Автоматизация процессов управления инцидентами
- Заключение
Автоматизация процессов управления инцидентами
При автоматизации процессов управления инцидентами в первую очередь необходимо уделять внимание автоматизированной обработке событий информационной безопасности — основе практически любого инцидента. События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в системе управления информационной безопасностью (СУИБ), нарушениях, рисках. На основании событий проводится корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о динамике развития СУИБ. Можно сказать, что события — основной канал обратной связи для управляющих воздействий в рамках СУИБ. Немаловажным является и то, что события легко документируемы и воспроизводимы.
Организация процесса обработки событий без использования средств автоматизации представляет собой сложную и трудоемкую задачу. Необходимо собирать и консолидировать большое количество данных в различных форматах, вести центральный архив. Для ручной обработки событий требуется большое число высококвалифицированных специалистов—аналитиков. В силу большого объема рутинной ручной работы обработка событий зачастую бывает неполной, не отражающей всю полноту текущей ситуации. При этом возможна ситуация, когда события, критичные для надежного и защищенного функционирования бизнес-систем, окажутся вне поля зрения аналитиков, и в отношении них не будут приняты соответствующие превентивные меры.
Для поддержания процесса обработки событий на уровне, соответствующем современным требованиям, возможно применение различных автоматизированных систем обработки событий (СОС).
СОС должны обеспечивать следующий функционал:
- позволять собирать события от всех технических средств обеспечения защищенности, используемых в рамках СУИБ;
- производить нормализацию событий, приводя их к единому формату;
- осуществлять хранение событий способом, позволяющим хранить необходимые объемы данных;
- предоставлять инструментарий для поиска в хранилище данных;
- предоставлять механизмы формирования отчетов различного рода;
- СОС должна быть расширяемой и масштабируемой;
- опционально осуществлять корреляцию собранных событий.
Процесс обработки событий автоматизированными системами включает следующие основные шаги: нормализация (приведение к единому формату) данных, агрегирование (накопление), корреляция и визуализация. На первых двух стадиях информация о событиях безопасности собирается практически со всех используемых в рамках СУИБ средств защиты: межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений различных производителей, средств контроля физического доступа, и преобразуется в единый, удобный для понимания формат. Собранные данные подвергаются корреляции и выводятся на консоль оператора системы.
Развитые средства поиска позволяют проводить оперативное и всестороннее расследование инцидентов, обеспечивать свидетельства наличия и функционирования средств защиты в рамках СУИБ при проведении различных аудитов.
В настоящий момент на рынке присутствуют автоматизированные системы, реализующие требуемый функционал. Компания "Инфосистемы Джет" использует в своих решениях программный продукт для обработки событий — netForensics nFX Open Security Platform. (Рис. 2).
Система управления информационной безопасностью netForensics предназначена для работы с гетерогенной средой продуктов обеспечения информационной безопасности и реализует непрерывный сбор, обработку и отображение событий безопасности. Система работает под управлением ОС Windows, Linux или Solaris, используя в качестве хранилища данных полнофункциональную СУБД Oracle. Описываемая СУИБ имеет широкие возможности работы в распределенном режиме, поддержку различных отказоустойчивых конфигураций. Система netForensics реализована на базе технологии Java по модульному принципу.
Основные модули системы:
- сервер приложений — реализует основную логику обработки событий, представления данных, взаимодействия с пользователями;
- база данных — обеспечивает хранение поступающей в систему информации;
- модуль корреляции — осуществляет корреляцию собранных данных;
- модуль автоматизации управления инцидентами — осуществляет автоматизацию процессов управления инцидентами;
- агенты — собирают информацию непосредственно с устройств.
В состав системы входят средства для написания агентов сбора данных с нестандартных средств защиты, средства задания пользовательских правил корреляции и создания отчетов.
