Стремительное развитие бизнеса и ИТ способствует активизации информационных мошенников. Появляются все более технологически сложные типы атак на информационные активы предприятия. При этом мошенники постоянно адаптируются к прогрессирующим технологиям информационной безопасности: предлагают все новые варианты обхода средств защиты; атаки становятся более организованными, нанося существенный ущерб бизнесу; мошенники хорошо информированы, находятся в постоянном информационном взаимодействии с другими преступными группами, используют все имеющиеся средства тестирования разрабатываемых вредоносных программ. Часто атаки бывают мелкими и незначительными, однако по мере успеха способны «развернуться» и нанести существенный вред. Действительно, 99% взломов приводят к компрометации данных, вплоть до их хищения (85% атак успешны), и реализуются буквально в течение нескольких дней, за которые невозможно предложить заплату или выпустить противоядие — расследование 85% взломов занимает недели и более. В условиях роста разнообразия атак задача их нейтрализации еще более усложняется: угрозы могут быть малозаметны, но динамичны и весьма изощренны; все больше появляется целенаправленных устойчивых угроз (Advanced Persistent Threat, APT), не оставляющих следов в логах. Все это приводит к тому, что даже компании, которые профессионально занимаются информационной безопасностью, сами становятся жертвами злоумышленников.

В современных условиях эффективные средства защиты должны быть достаточно «проворными», быстро реагировать на угрозы, учитывать контекст (особенности канала защиты и модель поведения), базироваться на оценке рисков, проверяя легитимность поведения той или иной программы. Однако, даже если завтра на вооружении служб информационной безопасности появятся такие средства, сами службы, действующие традиционным способом (рис. 1), окажутся не готовы к работе в новых условиях: нет возможности оценить текущую защищенность ИТ-инфраструктуры; бизнес до сих пор не желает вникать в проблемы ИТ, и службам информационной безопасности остается уповать лишь на технологические средства борьбы с угрозами; система информационной безопасности готова отразить «вчерашние» угрозы и неспособна, например, своевременно определить подозрительное поведение (нет понимания «анатомии атак», нет инструментов выявления новых угроз и изучения атак изнутри, нет экосистемы изучения моделей поведения мошенника); организационная структура служб информационной безопасности не позволяет оперативно скоординировать мероприятия по обнаружению угроз и их нейтрализации (нет возможности управлять реакциями на активность, быстро адаптироваться к развитию и изменению модели поведения мошенника), а у персонала мало опыта в прогнозировании, реагировании на инциденты и оперативном внесении изменений в развернутые средства и системы информационной безопасности.

Сегодня эффективными могут быть только автоматизированные интеллектуальные средства мониторинга событий и реагирования на инциденты, работающие в реальном времени и позволяющие службам безопасности минимизировать «свободное время» злоумышленника, в течение которого он еще не обнаружен средствами информационной безопасности.

Рис. 1. Традиционный порядок реагирования на атаку
Рис. 1. Традиционный порядок реагирования на атаку

 

Уровни зрелости системы информационной безопасности

Самый первый уровень зрелости системы информационной безопасности, защита от угроз, предполагает наличие в организации типичных решений: антивирусные программы, сканеры уязвимостей, средства скрытия выявленной «бреши» и т. п. Работа служб обеспечения информационной безопасности для этого уровня сродни тушению уже начавшегося пожара. Сегодня большинство компаний находятся на этом уровне.

Уровень глубокой защиты предполагает, что в организации соблюдаются международные и государственные стандарты, такие как PCI DSS, разработаны и внедрены политики безопасности, изучается лучший опыт и практики. Если в компании практически не наблюдаются «пожары», то система информационной безопасности находится на данном уровне зрелости.

На уровне защиты с оценкой риска компания или организация начинает решать вопросы повышения информационной безопасности, внедряя методы оценки уязвимости и анализа поведения злоумышленников, разворачивая средства автоматизированного выявления несоответствий текущим политикам ИБ и оперативного принятия решений. Лишь считанные единицы компаний во всем мире сегодня находятся на этом уровне.

На высшем уровне бизнес-ориентированной защиты процедуры обеспечения безопасности затрагивают все бизнес-процессы на различных уровнях управления компании, а данные обрабатываются с использованием систем принятия решения. Инструменты безопасности интегрированы во все бизнес-приложения.

Для повышения уровня зрелости системы информационной безопасности компаниям прежде всего нужны средства обеспечения полной прозрачности обработки и передачи данных, позволяющие анализировать все, что происходит в инфраструктуре, включая весь трафик и все данные на всех компьютерах сотрудников. Иными словами, требуются системы, которые могут обеспечить единое представление различной информации, собранной как в сети, так и с атакованных компьютеров. Кроме того, требуются средства анализа потенциальных угроз в режиме, близком к реальному времени, — необходимо автоматически обработать все данные, которых, скорее всего, будет очень много, и выявить угрозы, представляющие наибольшую проблему для бизнеса.

В дополнение к перечисленным средствам необходима возможность проводить оперативную идентификацию целей атак, эксплуатируемых уязвимостей, классификацию инцидентов для выявления возможных отклонений от типичного функционирования компонентов инфраструктуры. Для этого нужен инструмент, позволяющий: вести актуальную базу знаний о типовых угрозах, сравнить данные о текущей атаке со всеми известными атаками; сопоставлять запротоколированное ранее типовое поведение изучаемого объекта в конкретной ситуации с текущим для выявления отклонений; использовать бизнес-контекст объектов инфраструктуры для приоритизации угроз и инцидентов.

Наряду с этим в процесс реагирования на инцидент может быть вовлечено множество различных заинтересованных лиц, поэтому крайне важно обеспечить управление инцидентами, включающее работу с нерешенными вопросами, оценку возможных потерь и т. п.

 

RSA Security Analytics

Решение RSA Security Analytics позволяет аналитику системы информационной безопасности обнаруживать и исследовать угрозы. Сочетая возможности анализа сетевого трафика и журналов событий, автоматически дополняемых информацией об угрозах со средствами визуализации и технологиями обработки Больших Данных, сотрудники отделов информационной безопасности получают возможность выявлять и исследовать угрозы, которые раньше было сложно увидеть и понять. В конечном счете улучшенная визуализация и скорость реагирования помогают сократить «свободное время» злоумышленников.

В отличие от решений по обеспечению безопасности сетевого периметра, основанных на сигнатурах, RSA Security Analytics позволяет обнаруживать аномальное поведение защищаемого объекта путем «удаления из стога сена» хорошо известных факторов до тех пор, пока не останутся только «иголки» — возможные вероятные негативные факторы. В традиционных подходах, наоборот, осуществляются попытки сразу найти «иголки» в «стоге» данных.

RSA Security Analytics — это распределенная масштабируемая система с модульной архитектурой. В качестве технологической базы используется платформа RSA Netwitness NextGen комплексного мониторинга сетевого трафика и централизованного управления событиями информационной безопасности. Распределенная инфраструктура позволяет организовать одновременный сбор в режиме реального времени сетевых пакетов и журналов событий со многих узлов и компьютеров с целью последующего анализа метаданных, а также объединения данных сетевого трафика с данными журналов событий и другими источниками для автоматизированного составления отчетов и расследований, проводимых аналитиками безопасности.

Платформа RSA Netwitness NextGen построена на базе унифицированного функционального блока, реализующего мониторинг по принципу декодер-концентратор-брокер (рис. 2).

 

Рис. 2. Инфраструктура платформы RSA Security Analytics
Рис. 2. Инфраструктура платформы RSA Security Analytics

 

Декодер — базовый компонент всей инфраструктуры сбора и анализа информации, осуществляющий сбор, анализ и реконструкцию всего сетевого трафика на уровнях модели OSI со второго по седьмой, а также данные журналов событий для сотен различных устройств. Размещать декодеры можно на любом участке сети: на периметре, в ядре или отдельном сегменте. Концентратор предназначен для иерархического объединения метаданных. Он индексирует метаданные, извлеченные из сетевого трафика и журналов событий, делая их доступными для анализа в реальном масштабе времени в рамках всего предприятия. Это обеспечивает масштабируемость и гибкость, позволяя подстраивать ее под нужды различных отделов и географически распределенных подразделений крупной компании. Высшее звено иерархической инфраструктуры NextGen — брокер, обрабатывающий запросы, идущие по сети, и данные с различных концентраторов. Брокер обеспечивает единую точку доступа ко всем метаданным NextGen и предназначен для работы в любой сетевой среде, независимо от времени ожидания в сети, пропускной способности и объема данных. Security Analytics Warehouse (SAW) — кластер Hadoop, набранный из необходимого количества одинаковых и равноправных узлов хранения. Он обеспечивает архивирование, управление и анализ данных за длительные промежутки времени (месяцы и годы). Security Analytics Server (сервер «Аналитики») — сервер поддержки пользовательского интерфейса, содержащий аналитические модули, модуль отчетности и встроенный сервис «Брокер».

С помощью RSA Security Analytics можно выполнять комплексный мониторинг информационной безопасности, проводить расследование инцидентов, осуществлять анализ сетевого трафика и вредоносных программ, а также создавать отчеты о соответствии требованиям регуляторов.

Мониторинг и аналитика

Средства аналитики позволяют выявлять подозрительное поведение объекта корпоративной инфраструктуры, анализировать собранные данные о безопасности, используя имеющиеся сведения об угрозах, полученные из внешних источников с помощью механизма RSA Live оперативного обновления аналитического контента системы. В зависимости от уровня подписки пользователь получает обновления шаблонов отчетов, корреляционных правил, отчеты о безопасности, данные исследований аналитических сообществ информационной безопасности, данные о выявленных серверах управления и конфигурирования ботнетов, черные списки адресов, домены с метками APT, списки подозрительных серверов прокси и пр. Полученная информация привязывается к бизнес-контексту компании, используется для обновления программ защиты, настройки политик и помогает аналитикам правильно расставить приоритеты и выявить возможные цели злоумышленников.

Расследование инцидентов

Архитектура системы RSA Security Analytics позволяет сократить время расследования инцидентов, используя для оперативного анализа все имеющиеся по ним сведения. Для упрощения процесса расследования инцидентов используется подход, основанный на парадигме отбрасывания известной статической информации и типичного поведения объектов корпоративной инфраструктуры, а благодаря механизму RSA Live аналитик в реальном времени имеет доступ к оперативным данным о текущих угрозах, полученным в ходе расследований, проводимых исследовательским подразделением RSA FirstWatch, а также к результатам расследований сторонних организаций.

Наглядный интерфейс RSA Security Analytics позволяет визуализировать данные в ходе анализа инцидентов информационной безопасности и обеспечивает доступ к функциям управления и администрирования системы. Благодаря консолидированному веб-интерфейсу аналитики получают прозрачную картину состояния информационной безопасности всего предприятия. Пользовательский интерфейс основан на HTML5, предоставляет настраиваемые инструментальные панели для многомерного анализа данных и мониторинга работоспособности компонентов системы.

При изучении вредоносного кода проводится анализ изолированной виртуальной среды, используются данные от аналитических сообществ и осуществляется анализ содержимого файлов и сетевого поведения, что вместе помогает определить, является ли код вредоносным. Кроме того, осуществляется идентификация всей исполняемой среды для обнаружения аномальных операций с файлами, вызовов программ и т. п. При этом антивирусные сигнатуры используются лишь как один из множества факторов определения природы потенциально вредоносного кода.

Встроенные средства формирования отчетов обеспечивают выполнение нормативных требований и отраслевых стандартов (PCI, BASEL II, ISO 27002) и позволяют автоматически строить отчеты для регуляторов, предоставляя специалистам отделов информационной безопасности возможность использования бизнес-контекста при анализе данных. Благодаря интеграции с платформой RSA Archer GRC (Governance, Risk, Compliance — общее руководство, управление рисками, соответствие нормативным требованиям) появляется возможность построения автоматизированного решения по формированию любых отчетов, отвечающих требованиям регуляторов. Кроме того, модуль RSA Archer Incident Management позволяет объединить техническую информацию об инцидентах, полученную от RSA Security Analytics, с подробными сведениями о бизнес-контексте подверженных атаке активов. Это дает возможность оптимизировать процесс обработки инцидентов и оперативно подключать к расследованию нужных сотрудников профильных служб предприятия.

Хранение

Каждый компонент системы выполняет только одну определенную роль, поэтому система может линейно масштабироваться по любому параметру путем добавления требуемых элементов инфраструктуры. Так, при необходимости увеличить скорость выполнения ретроспективных отчетов в SAW можно добавить нужное число новых узлов. Используя механизм автоматизированного управления Большими Данными, кластер Hadoop перераспределит блоки данных на новые компоненты, что обеспечит повышение скорости обработки запросов к этой информации. Наоборот, если требуется увеличить время хранения данных, то к каждому компоненту инфраструктуры можно подключить «серверы хранения данных» Security Analytics Capacity Appliances с требуемой дисковой емкостью. При этом, так как разные компоненты инфраструктуры предъявляют различные, порой противоречивые, требования к подсистемам хранения, RSA использует несколько типов устройств (Appliances):

  • High Performance Capacity используются с целью расширения емкости концентраторов для хранения метаданных. Концентраторам требуется высокопроизводительный произвольный (random) доступ к информации, поэтому этот тип «серверов хранения данных» укомплектован дисками SSD.
  • High Density Capacity используются для расширения емкости хранения декодеров и узлов хранения. Так как эти компоненты должны хранить большие объемы данных («сырые данные» или ретроспективные архивы), то им требуется значительное дисковое пространство, при этом преобладает последовательный тип записи и чтения. По этим причинам этот тип «серверов хранения данных» укомплектован большим количеством дисков повышенной емкости.

Кроме специализированной аппаратуры, RSA Security Analytics использует программные решения для оптимизации процесса обработки и хранения данных. Для увеличения времени хранения собранные данные при записи на дисковые подсистемы автоматически сжимаются, а скорость обработки сложных запросов и отчетов может быть повышена путем оптимизации индексирования нужного среза метаданных. Гибкие механизмы выделения метаданных и индексации обеспечивают возможность использования полнотекстового поиска в ретроспективных архивах. При необходимости пользователи могут интегрировать RSA Security Analytics с информационно-аналитическими системами предприятия. Для этого RSA предоставляет как полноценный интерфейс разработки приложения NextGen API, так и упрощенный механизм доступа к данным и средствам управления системой через веб-запросы — REST API.

***

Тотальный контроль за всеми событиями, происходящими в корпоративной инфраструктуре, корреляция журналов регистрации приложений и аномалий на уровне сетей передачи данных, архивирование сырых данных и использование их для ретроспективного анализа на базе технологий Больших Данных принципиально меняют подход к разработке решений по защите информационных активов предприятий, позволяя адекватно и оперативно реагировать как на существующие, так и на неизвестные угрозы.

Сергей Парфенов (sergey.parfenov@rsa.com) — технический консультант RSA, подразделения информационной безопасности корпорации EMC (Москва).