ПО
Быстрое развитие информационных технологий и растущая зависимость современного общества от их эффективности и безопасности не оставили в стороне компьютерных злоумышленников, у которых появились мощные программные инструменты для поиска уязвимостей, создания вирусов, реализации спамерских рассылок и атак.
Если раньше большинство угроз информационной безопасности (ИБ) были однозадачными (т.е. представляли собой единственно вирус или атаку, использующую уязвимость в ПО и т. д.) и устранялись при помощи одного продукта, то в последние годы выросло число так называемых комбинированных угроз (blended threads). Так, по данным Symantec за 2003 г., такие угрозы составили 54% в первой десятке присылаемых для анализа образцов (см. статистику на рис. 1, 2 и в табл.). При комбинированных угрозах одновременно реализуется нескольких направлений атак: массовые почтовые рассылки, вирусное заражение скомпрометированных компьютеров, использование уязвимостей в ПО операционных систем, Web-серверов и др. Эту проблему уже невозможно решить с помощью единственного продукта, поскольку его не существует. Системные администраторы тонут в сообщениях антивирусных систем и систем обнаружения атак, одновременно отслеживая выходы обновлений ПО, устраняющих практически ежедневно обнаруживаемые новые уязвимости.
Рис. 1. Типы атак, вторая половина 2003 г.
Текущая ситуация и требования к системе
При срабатывании антивирусной системы (или системы обнаружения атак) администратор не в состоянии в реальном времени определить уровень угрозы от возникшего инцидента и предпринять адекватные меры по устранению проблемы. Необходима система, способная сопоставить данные, поступающие от различных продуктов, обеспечивающих ИБ. В этом примере подобная система может сопоставить информацию от антивирусной системы (или системы обнаружения атак) с данными системы активного аудита и выяснить, установлена ли заплата, ликвидирующая уязвимость, используемую данным вирусом (или атакой), после чего возникшему инциденту будет автоматически присвоен соответствующий уровень.
В общем случае система должна осуществлять сбор событий, нормализацию (приведение к единому формату), корреляцию (сопоставление событий), приоритизацию и в идеальном случае анализ рисков. Для успешного выполнения последних этапов, требующих однозначно идентифицировать угрозу, данных внутри компании может быть недостаточно. Предоставить данные о текущей ситуации в мире могут системы раннего оповещения, имеющие специальные ловушки (Honey Pot), а также собирающие информацию с десятков тысяч антивирусных систем, систем обнаружения атак и межсетевых экранов по всему миру.
В последнее время появилось несколько платформ для объединения различных систем защиты (Security Information Management, SIM), в числе которых есть разработки с открытым исходным кодом (например, OSSIM www.ossim.net).
Рис 2. Новые Win32 - вирусы и черви, появившиеся в 2001-2003 гг.
Разработка Symantec Enterprise Security Architecture (SESA) опирается на широкий спектр продуктов обеспечения ИБ и на крупнейшую систему раннего оповещения о компьютерных угрозах DeepSight.
SESA, представляющая собой интеграционную платформу с соответствующим набором стандартов и необходимых компонентов для создания эффективной системы управления безопасностью, связывает в единое целое корпоративные продукты Symantec в области безопасности, а также позволяет интегрировать продукты других производителей. Кроме того, она определяет информационную модель для сбора и управления событиями, относящимися к области ИБ. Плюс к этому SESA предлагает среду и компоненты пользовательского интерфейса для построения приложений, использующих события, собранные в единое хранилище.
Компоненты SESA
Программные компоненты рассматриваемой архитектуры представлены на рис. 3. Архитектура включает пять основных компонентов:
- агент SESA;
- менеджер SESA;
- хранилище;
- каталог;
- консоль SESA.
Рис 3. Компоненты SESA
Агент SESA - это Java-приложение, взаимодействующее с программным средством - источником информации и менеджером SESA по протоколу HTTPS. Информация представляется в формате CIM (Common Information Model, www.dmtf.org/standards/standard_cim.php), являющемся специализированным расширением XML в рамках стандарта WBEM (Web-Based Enterprise Management, www.dmtf.org/standards/wbem/). Агент SESA работает на платформах Windows, Linux, Solaris, HP-UX и AIX.
Менеджер SESA отвечает за централизованный сбор и предоставление доступа к информации о контролируемых событиях, к журналам событий (логам) и отчетам на их базе. Одновременно могут использоваться несколько менеджеров SESA, каждый из которых представляет собой набор сервлетов в среде сервера приложений Тomcat (jakarta. apache.org/tomcat/index. html), который функционирует поверх Интернет-сервера Apache (www.apache.org) под управлением Windows 2000/ 2003 или Solaris 8. В перспективе Symantec планирует расширять список поддерживаемых операционных сред, добавив в него Microsoft IIS, BEA, SUN iPlanet.
Хранилище SESA представляет собой реляционную базу данных, хранящую информацию о событиях, собранную менеджером SESA и переданную в базу данных по протоколу JDBC. Помимо сбора данных это хранилище обеспечивает некоторые стандартные преобразования собранных данных по командам менеджера SESA. Продукт спроектирован с целью обеспечения обработки больших объемов данных (более 30 млн. событий или 50 Гб данных в день при использовании однопроцессорного Intel-сервера) и позволяет использовать СУБД DB2 и Oracle на платформах Windows/Solaris. В перспективе планируется добавить поддержку Microsoft SQL Server.
Рис. 4 Десятка наиболее часто присылаемых
для анализа комбинированных угроз за 2003 г.
Каталог SESA содержит информацию о пользователях системы, о ее составе и структуре (топологии), параметрах настройки. SESA использует ролевую иерархическую модель администрирования на базе каталога пользователей по протоколу LDAPS. В текущей версии в качестве каталога пользователей используется IBM SecureWay Directory (поставляется в комплекте). Поддержка Microsoft Active Directory и Novell eDirectory еще не реализована.
Консоль SESA представляет собой средство управления и просмотра событий и встроенных отчетов, реализованное на базе Web-браузера и протокола HTTPS. В текущей версии в качестве браузера может быть использован Microsoft Internet Explorer 5.5 SP2 или Netscape Navigator 7 и выше.
Как работает SESA
Система функционирует следующим образом. Агенты SESA собирают информацию со всех продуктов информационной безопасности. Продукты, совместимые с SESA, могут направлять данные напрямую менеджеру SESA (поскольку содержат агент SESA) либо передавать их через протокол удаленного вызова IPC. Для приложений, не поддерживающих SESA, пишутся специальные компоненты для сбора данных и передачи агенту SESA. Последний передает данные в формате CIM XML менеджеру, который преобразует полученные XML-данные в запрос SQL Insert и помещает их в хранилище.
Хранилище SESA содержит автоматические процедуры корреляционной обработки данных, реализованные в виде триггерных процедур БД. Логика обработки основана на том, что все антивирусные продукты и системы обнаружения атак имеют общие классы событий, на которые они реагируют и которые могут быть ассоциированы друг с другом. Собранные таким образом данные можно сопоставить с данными системы раннего оповещения, получающей информацию с десятков тысяч источников по всему миру. При обнаружении того или иного явления (выражающегося в наличии заданной цепочки определенных событий от разных источников) активизируется хранимая в базе данных процедура реакции: автоматически генерируется извещение об инциденте, выставляется его приоритет. Готовые наборы правил для генерации инцидентов, сценарии реакции на них и средства контроля над исполнением сценария разрешения инцидента, как правило, включены в продукт Symantec Incident Manager либо могут быть сделаны самостоятельно на базе SESA.
В системе накапливается информация о выявленных угрозах, обнаруженных инцидентах и мерах по их устранению. Информация может быть использована как для оценки текущего уровня безопасности системы, так и для планирования ее развития с учетом потенциальных угроз извне.
Что интегрирует SESA
Минувшим летом вышла очередная версия SESA. Многие базовые компоненты SESA 2.0 в составе данного решения для заказчиков и партнеров бесплатны (например, такие входящие в комплект продукты IBM, как СУБД DB2 и каталог SecureWay Directory).
Можно выделить следующие группы продуктов, объединенных в общую архитектуру SESA: 1) продукты, требующие для своего функционирования наличия SESA. Их три: Host IDS, Vulnerability Assessment и Incident Manager, и все они выпускаются Symantec; 2) SESA-совместимые продукты (функционирующие как в составе SESA, так и автономно). Пока это также продукты Symantec: ManHunt, Client Security with Event Manager, AntiVirus Enterprise Edition.
3) продукты, для которых имеются шлюзы для обмена информацией с SESA:
- Symantec Intruder Alert;
- Symantec Enterprise Security Manager;
- IBM Tivoli/Risk Manager;
- HP OpenView;
- Remedy Help Desk Development Server;
- Remedy Help Desk Production Server.
4) SESA-несовместимые продукты, для которых написаны специальные приложения (Event Collectors), осуществляющие сбор событий и передачу их в SESA:
- Network Associates EPO & Virusscan;
- Trend Micro AntiVirus;
- Checkpoint Firewall-1/Vpn-1;
- Netscreen Technologies Firewall Appliances;
- Unix Operating Systems;
- Cisco PIX;
- Enterasys Network Dragon;
- Snort;
- ISS RealSecure Siteprotector.
Трудности внедрения
Необходимо отметить, что многоуровневая комплексная система защиты эффективна только при продуманном квалифицированном развертывании и использовании. Сама по себе установка продукта не может повысить уровень безопасности. Сложность состоит в том, что характер и острота угроз различны для предприятий разных секторов экономики (достаточно сравнить список угроз для Интернет-банка и некоммерческого благотворительного фонда). Кроме того, в разных странах весьма различаются законодательные базы в области ИБ. В России базовыми документами являются ГОСТ Р 51275-99, включающий общие положения о факторах, воздействующих на информацию, а также ряд документов, разрабатываемых регулирующими органами и содержащих рекомендации и требования к защите информации, например СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации). Эти документы опираются на методологический подход, отличающийся от принятого в международных стандартах. В результате перед внедрением комплексной системы безопасности необходимо разработать концепцию ИБ, включающую классификаторы защищаемых ресурсов и угроз и пригодную для создания внятной политики безопасности и ее реализации на базе программных продуктов для управления ИБ. В связи со сложностью современных продуктов ИБ их внедрение требует привлечения услуг квалифицированных специалистов из специализированных компаний, что увеличивает стоимость решений и уменьшает свободу действий собственной ИТ-службы. Это пока негативно воспринимается большинством потенциальных клиентов. В заключение - цитата: "Безопасность стоит дорого. Но она того стоит".
С автором можно связаться по адресу: MZabulonov@IBS.RU.