Внедрение средств автоматизации управления выводит организацию информационной безопасности компании на качественно новый уровень, обеспечивая снижение рисков и повышение эффективности инвестиций в средства ИБ
Как известно, ИТ-инфраструктура многих крупных российских компаний сложна и имеет распределенный характер. Наличие большого количества удаленных площадок, мобильных пользователей, повсеместное подключение к сети Интернет, все большая зависимость бизнеса от информационных систем приводят к тому, что сегодня уже трудно представить современную компанию без целого ряда подсистем информационной безопасности. Помимо «традиционных» систем обеспечения информационной безопасности внедряются системы обнаружения вторжений, сканеры уязвимостей, системы контентной фильтрации, сложные DLP-системы и т. д. Многие специалисты по информационной безопасности указывают на парадоксальность данного подхода: далеко не всегда количество здесь переходит в качество.
Разнородные СОИБ не только плохо взаимодействуют друг с другом (а порой и конфликтуют), но и порождают огромное количество сообщений. Возникает необходимость в большем количестве сотрудников, которые анализируют эти сообщения. Система информационной безопасности рассыпается на отдельные независимые подсистемы. Отсутствует возможность управлять ИБ из единого центра и получать комплексную информацию об уровне защищенности ключевых ИТ-систем. Компании, работающие на территории России, должны, помимо прочего, выполнять требования федеральных и отраслевых стандартов в области информационной безопасности, в том числе ФЗ № 152 «О персональных данных», ставшего для многих причиной головной боли. Возникает необходимость внедрять отечественные сертифицированные средства защиты информации, что только усугубляет сложившуюся ситуацию.
Единый центр управления ИБ
Отечественные менеджеры информационной безопасности постепенно приходят к пониманию того, что все средства защиты информации должны взаимодействовать друг с другом и управляться из единого центра безопасности. Наличие такого центра значительно облегчило бы выполнение требований стандартов в области менеджмента информационной безопасности, таких как ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005.
В качестве инструментария для создания единого центра безопасности можно выбрать автоматизированные системы управления информационной безопасностью (АСУИБ), предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для специалистов по ИБ всех уровней. Эти системы обеспечивают сбор данных от различных подсистем обеспечения информационной безопасности, анализ и хранение событий безопасности, обработку инцидентов ИБ, формирование отчетов различной степени детализации для руководителей и специалистов, а также хранение в структурированном виде и актуализацию документов, касающихся информационной безопасности организации, баз событий, инцидентов и рисков ИБ, перечней активов и пр. Построение такой системы, адаптированной к особенностям конкретной организации, выливается в нетривиальную задачу.
Условно АСУИБ можно разделить на три функциональных уровня: уровень сбора, уровень ядра и уровень управления.
Уровень ядра
Построение АСУИБ стоит начать с этого уровня. Здесь происходит сбор, анализ и обнаружение корреляции между событиями безопасности, поступающими от систем обеспечения информационной безопасности и различных компонент ИТ-инфраструктуры. Работа уровня ядра настраивается в соответствии с политикой ИБ, принятой в организации.
Сложная система, ориентированная на специфику конкретной организации, подобная АСУИБ, естественно, не может являться коробочным решением. Однако и разрабатывать подобную систему с нуля неоправданно затратно и долго. Существует много систем различного уровня, которые могут лечь в основу АСУИБ предприятия. Обычно уровень ядра строится на основе одной из представленных на рынке SIEM-систем (Security Information and Event Management). SIEM-система — это программный или программно-аппаратный комплекс, его основной функцией является обработка большого количества событий безопасности, порождаемых различными системами, и генерация на их основе инцидентов информационной безопасности. От миллионов сообщений и log-записей осуществляется переход к небольшому количеству настоящих инцидентов ИБ.
А нужна ли нам полнофункциональная SIEM-система?
Как ни парадоксально, это первый вопрос, на который необходимо дать ответ при выборе SIEM-системы для своей организации. В ряде случаев достаточно ограничиться простой системой управления логами. Вот три основные причины для отказа от использования мощной SIEM-системы:
• Если ИТ-инфраструктура вашей компании представлена маршрутизатором, тремя коммутаторами и парой-тройкой серверов, то пользы от SIEM-системы будет немного. Лучше потратить эти деньги на обучение администратора и обзавестись дешевой или вовсе бесплатной системой анализа log-сообщений.
• Если вы не готовы самостоятельно настроить SIEM-систему под себя или привлечь сторонних консультантов, то польза от нее будет невелика. Производители любят в маркетинговых материалах рассказывать, что их SIEM-системы работают сразу же «из коробки», однако это далеко от реальности. Без соответствующей настройки подобные системы часто пропускают важные события, а их консоли завалены бесполезными записями о «ложноположительных» инцидентах.
• Эффективность SIEM сильно снижается, если в организации не налажена система оперативного реагирования на генерируемые инциденты ИБ. Если администраторы планируют заглядывать в отчетность системы раз в пару недель, чтобы получить общее представление о ситуации с ИБ, то с таким же успехом можно просто запускать стандартные поиски по базе логов с использованием более дешевых программных продуктов. Главным преимуществом SIEM-системы является именно возможность оперативно реагировать на инциденты ИБ.
На рынке представлено большое количество систем анализа лог-сообщений, хорошо знакомых администраторам. Отдельно хотелось бы выделить стремительно увеличивающий свою долю на рынке продукт Splunk. Популярность Splunk вполне заслуженна: он обладает мощной системой поиска и интеллектуальной индексации текстовых записей любой природы, поддерживает множество разнообразных платформ и имеет простой и удобный Web-интерфейс.
Оценить эффективность инвестиций в информационную безопасность чаще всего очень непросто. Межсетевой экран или антивирус не используются в производстве товаров напрямую. Следовательно, просчитать отдачу от покупки таких систем можно только путем оценки экономии на рисках компании, используя так называемый риск-ориентированный подход. Столь актуальные для западных компаний репутационные и юридические риски, связанные с ИБ, в России зачастую отходят на второй план. Главной задачей систем информационной безопасности у нас является снижение рисков от потери данных или их попадания к конкурентам и выхода из строя ИТ-систем. Финансовые потери от простоя ключевой информационной системы могут многократно превысить инвестиции в построение качественной системы информационной безопасности.
Для современных ИТ-руководителей вполне очевидна необходимость затрат на внедрение средств защиты информации. Построение же современной системы управления ИБ позволяет значительно увеличить эффективность этих инвестиций. Например, неэффективная организация анализа логов системы обнаружения вторжений (IPS) и реагирования на возникающие инциденты ИБ может свести к нулю пользу от покупки дорогостоящей промышленной IPS. Даже бесплатный продукт на базе Snort IPS, интегрированный в общую систему управления ИБ, будет эффективнее недешевой, одиноко стоящей Cisco IPS 4200.
Выбор SIEM-системы
Рынок полнофункциональных SIEM-систем быстро развивается и может предложить решение, удовлетворяющее любые требования заказчика. Однако на этом рынке много молодых игроков, которые только начинают продвигать свои продукты. Выбрав их решения, можно сэкономить, однако эта экономия зачастую оказывается мнимой. Даже если забыть на время об общем уровне развития системы, остается проблема интеграции с различным программным обеспечением и устройствами. Лидеры рынка поддерживают интеграцию с сотнями продуктов, тогда как у новичков цифры намного скромнее. Разработка дополнительных коннекторов сведет выигрыш в цене в лучшем случае к нулю. А неполная «точечная» интеграция с ИТ-инфраструктурой сделает SIEM-систему крайне неэффективной.
Одним из самых авторитетных исследований рынка SIEM-систем, признаваемым большинством специалистов, является ежегодное исследование компании NitroSecurity «SIEM Magic Quadrant». На основе анализа отчетов NitroSecurity за последние три года и с учетом снятия с производства популярной SIEM-системы Cisco Security MARS можно выделить следующую пятерку производителей, являющихся на сегодня лидерами на рынке SIEM: HP (поглотившая компанию ArcSight), EMC (в свое время купившая компанию RSA), Q1 Labs (с продуктом QRadar SIEM), Symantec (SIM), LogLogic.
Все системы имеют свои преимущества, недостатки и особенности, которые необходимо изучить, перед тем как сделать выбор. Если вы решили отказаться от услуг профессиональных консультантов, то стоит обратиться в первую очередь к англоязычным источникам информации, так как большая часть информации на русском языке имеет маркетинговую направленность.
Уровень сбора
Уровень сбора предназначен для сбора, нормализации и отправки на уровень ядра событий безопасности, поступающих от антивирусных приложений, систем защиты от несанкционированного доступа, различных систем мониторинга и обнаружения вторжений, систем межсетевого экранирования, защиты почты, DLP, сетевого оборудования, серверов и т. д. Помимо интеграции с традиционными ИТ-системами, зачастую с помощью несложных агентов сбора данных возможно осуществить подключение к АСУИБ и систем физической защиты: пожарной и охранной сигнализации, систем контроля и управления доступом, систем контроля безопасности на производстве и т. п. Интеграцию с такими системами не стоит недооценивать. Недавний инцидент с червем Stuxnet, заражающим контроллеры Siemens на заводах по обогащению урана, показал, что компьютерная безопасность выходит сегодня далеко за границы защиты компьютеров руководителей организации. В эпоху, когда даже обычные офисные лифты используют IP-сети для взаимодействия с системами управления, подобные инциденты могут привести к серьезным последствиям.
В самом простом случае уровень сбора может быть реализован средствами SIEM-системы уровня ядра, однако данный подход исключает интеграцию с нестандартными системами, многими отечественными средствами защиты информации, самописными приложениями и т. п. Специализированные коннекторы могут разрабатываться на заказ как обычные приложения с применением традиционных средств программирования или при помощи специализированных средств разработки, созданных вендором используемой SIEM-системы.
Уровень управления
Уровень управления АСУИБ может иметь различный вид. В самом простом случае это набор организационных мер, организационно-распорядительной документации и те средства визуализации и отчетности, которые предоставляет SIEM-система. Более сложный вариант уровня управления предполагает создание программной надстройки, которая позволяет автоматизировать многие функции управления информационной безопасностью, такие как визуализация данных и создание отчетов о состоянии ИБ на предприятии, управление и хранение истории инцидентов ИБ, ведение реестров информационных активов, поддержание в актуальном состоянии документации в области управления ИБ и т. д. Такой уровень управления интегрируется или основывается на других средствах автоматизации, используемых на предприятии (например, на системе Service Desk), либо же строится отдельно.
Некоторые SIEM-системы имеют встроенные средства интеграции с корпоративным Service Desk (например, Symantec SIM), для других придется разрабатывать их дополнительно. Для создания отдельного специализированного уровня управления можно также подключить разработчиков или воспользоваться готовым вариантом. Примером АСУИБ с выделенным полнофункциональным уровнем управления является система Security Vision, использующая в качестве ядра Q1Labs QRadar SIEM. Помимо прочего, эта система содержит средства автоматического создания и актуализации документации в области управления ИБ на предприятии на русском языке. Для этого используется регулярно обновляемая разработчиками база шаблонов.
Построение АСУИБ позволяет компании не только повысить эффективность системы информационной безопасности, но и выполнить требования большого числа иностранных и отечественных стандартов. В частности, внедрение системы менеджмента информационной безопасности поможет выполнить значительную часть требований группы стандартов по ИБ ISO/IEC 27000, часть требований PCI DSS и стандарта Банка России, требования к созданию подсистемы регистрации и учета систем защиты персональных данных и ключевых систем (требования ФСТЭК РФ) и т. д.
По всей видимости, в ближайшем будущем АСУИБ ждет судьба систем электронного документооборота и CRM-систем. Из модных новинок, осваиваемых самыми передовыми организациями, они превратятся в стандарт для крупных компаний. Стремительный рост рынка подобных решений показывает, что процесс этот уже начался.
Андрей Янкин — эксперт центра компетенции информационной безопасности компании «АйТи»; ayankin@it.ru