Автоматизация процессов управления инцидентами

При автоматизации процессов управления инцидентами в первую очередь необходимо уделять внимание автоматизированной обработке событий информационной безопасности — основе практически любого инцидента. События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в системе управления информационной безопасностью (СУИБ), нарушениях, рисках. На основании событий проводится корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ. Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о динамике развития СУИБ. Можно сказать, что события — основной канал обратной связи для управляющих воздействий в рамках СУИБ. Немаловажным является и то, что события легко документируемы и воспроизводимы.

Организация процесса обработки событий без использования средств автоматизации представляет собой сложную и трудоемкую задачу. Необходимо собирать и консолидировать большое количество данных в различных форматах, вести центральный архив. Для ручной обработки событий требуется большое число высококвалифицированных специалистов—аналитиков. В силу большого объема рутинной ручной работы обработка событий зачастую бывает неполной, не отражающей всю полноту текущей ситуации. При этом возможна ситуация, когда события, критичные для надежного и защищенного функционирования бизнес-систем, окажутся вне поля зрения аналитиков, и в отношении них не будут приняты соответствующие превентивные меры.

Для поддержания процесса обработки событий на уровне, соответствующем современным требованиям, возможно применение различных автоматизированных систем обработки событий (СОС).

СОС должны обеспечивать следующий функционал:

§ позволять собирать события от всех технических средств обеспечения защищенности, используемых в рамках СУИБ;

§ производить нормализацию событий, приводя их к единому формату;

§ осуществлять хранение событий способом, позволяющим хранить необходимые объемы данных;

§ предоставлять инструментарий для поиска в хранилище данных;

§ предоставлять механизмы формирования отчетов различного рода;

§ СОС должна быть расширяемой и масштабируемой;

§ опционально осуществлять корреляцию собранных событий.

Процесс обработки событий автоматизированными системами включает следующие основные шаги: нормализация (приведение к единому формату) данных, агрегирование (накопление), корреляция и визуализация. На первых двух стадиях информация о событиях безопасности собирается практически со всех используемых в рамках СУИБ средств защиты: межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений различных производителей, средств контроля физического доступа, и преобразуется в единый, удобный для понимания формат. Собранные данные подвергаются корреляции и выводятся на консоль оператора системы.

Развитые средства поиска позволяют проводить оперативное и всестороннее расследование инцидентов, обеспечивать свидетельства наличия и функционирования средств защиты в рамках СУИБ при проведении различных аудитов.

В настоящий момент на рынке присутствуют автоматизированные системы, реализующие требуемый функционал. Компания "Инфосистемы Джет" использует в своих решениях программный продукт для обработки событий — netForensics nFX Open Security Platform. (Рис. 2).

Рисунок 2. СУИБ netForensics

Система управления информационной безопасностью netForensics предназначена для работы с гетерогенной средой продуктов обеспечения информационной безопасности и реализует непрерывный сбор, обработку и отображение событий безопасности. Система работает под управлением ОС Windows, Linux или Solaris, используя в качестве хранилища данных полнофункциональную СУБД Oracle. Описываемая СУИБ имеет широкие возможности работы в распределенном режиме, поддержку различных отказоустойчивых конфигураций. Система netForensics реализована на базе технологии Java по модульному принципу.

Основные модули системы:

§ сервер приложений — реализует основную логику обработки событий, представления данных, взаимодействия с пользователями;

§ база данных — обеспечивает хранение поступающей в систему информации;

§ модуль корреляции — осуществляет корреляцию собранных данных;

§ модуль автоматизации управления инцидентами — осуществляет автоматизацию процессов управления инцидентами;

§ агенты — собирают информацию непосредственно с устройств.

В состав системы входят средства для написания агентов сбора данных с нестандартных средств защиты, средства задания пользовательских правил корреляции и создания отчетов.

Заключение

Эффективно организовав и внедрив процесс управления инцидентами, компания получит следующие бизнес-преимущества:

§ снижение отрицательного влияния инцидентов на бизнес организации;

§ доступность необходимой для бизнеса управленческой информации;

§ превентивное определение мер по улучшению информационной защищенности.

Правильно организованный процесс управления инцидентами в подразделениях службы информационной безопасности это:

§ четкое определение для всех специалистов ролей и ответственности за качественное и своевременное реагирование на инциденты;

§ оперативная информация для мониторинга эффективности принимаемых защитных мер;

§ прозрачность контроля за эффективностью работы сотрудников подразделения;

§ повышение качества взаимодействия специалистов в смежных ИТ- и бизнес-подразделениях.

Система автоматизации процесса управления инцидентами дополнительно позволит:

§ обрабатывать и хранить информацию о событиях и инцидентах информационной безопасности, а также обо всех действиях по их устранению;

§ оперативно принимать решение по устранению возникшего инцидента, основываясь на анализе информации о предыдущих инцидентах;

§ проводить анализ накопленных данных.

 

6. Информационная безопасность: управления инцидентами

Тема управления инцидентами информационной безопасности является на сегодняшний день одной из наиболее часто обсуждаемых и актуальных для организаций. И это не случайно. Как показывают реальные жизненные примеры, необходимость своевременного выявления инцидентов и реагирования на них обусловлена в первую очередь тем, что зачастую на карту поставлены не только конфиденциальность, целостность и доступность информации, но также репутация и деньги, которых в одночасье может лишиться компания, не заметив инцидента, о котором сигнализировали средства защиты.

 

Существует много примеров, когда после тех или иных действий злоумышленников компании теряли ценную информацию, тратили большие суммы на устранение последствий инцидентов безопасности, и потом долгое время вынуждены были восстанавливать репутационный ущерб и налаживать взаимоотношения с партнерами и клиентами. Естественно, все эти факторы крайне негативно сказывались на бизнес-деятельности. Поэтому заранее нужно быть готовым к тому, что инцидент безопасности может затронуть и вашу организацию. Чтобы своевременно его идентифицировать, правильно и по возможности быстро среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь структурированный, хорошо спланированный и главное работающий процесс управления инцидентами ИБ.

Немного статистики

Институт компьютерной безопасности США – CSI в течение нескольких последних лет проводит ежегодное исследование, посвященное безопасности и компьютерным инцидентам. Хотелось бы представить некоторые результаты, которые были получены по 2008 году.

Итак, почти половина опрошенных респондентов (43%) признались в том, что в прошедшем году они пострадали от инцидентов ИБ. Стоит отметить, что к данной цифре стоит относиться с некоторой долей скепсиса по причине того, что зачастую отсутствие данных по инцидентам ИБ, скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии. Поэтому можно предположить, что от инцидентов пострадал больший процент опрошенных.

Далее в исследовании задавался вопрос по типам зафиксированных инцидентов ИБ, от которых пострадали компании. Первую позицию заняли вирусы (50%), которые вернули себе лидерство по сравнению с прошлогодним исследованием, когда на первое место вышли инсайдерские злоупотребления. Следом в списке расположились, соответственно, инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти цифры говорят о том, что человеческий фактор является одной из основных причин возникновения инцидентов, и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.

В 2007 году CSI ввел новый вопрос в свое исследование, касающийся количества направленных атак, которое организация испытала за год. Под направленными атаками подразумеваются атаки, которые совершались целенаправленно на заранее выбранную организацию. В результате опроса 2008 года 27% опрошенных признались в том, что испытали хотя бы одну направленную атаку за прошедший год. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.

Также в рамках исследования респонденты оценили ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на 1 респондента составили $288,618. Сумма достаточно впечатляющая. Поэтому нужно быть готовым заранее к тому, что инцидент безопасности может затронуть и вашу организацию. И чтобы своевременно идентифицировать инцидент, правильно и по возможности быстро на него среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь комплексный процессный подход к работе с инцидентами ИБ.