ВРЕД ПЕРЕГРУЗКИ
На практике реализация принципа «все тайное становится явным» сталкивается с рядом проблем. Так, широко распространено чрезмерное стремление к централизации управления средствами защиты и аудита. Одному или двум сотрудникам поручают управление и контроль десятков и даже сотен компьютеров. Но на каждой «персоналке» выполняются различные операции, происходят многочисленные события, а принцип перехода количества в качество пока никто не отменял. Понятно, что в случае постоянных перегрузок операторы могут просто не заметить вовремя нарушения информационной безопасности или не успеть отреагировать должным образом.
Своими издержками чревата погоня за разработкой всё новых версий программного обеспечения защиты и аудита, если производитель жертвует разработкой качественной системы анализа событий аудита. Например, специалисты, работавшие с сетевым вариантом Secret Net 4.0, помнят прекрасные возможности настраивать сложные фильтры событий, автоматически подгружать журналы аудита любой давности, для любого множества компьютеров или пользователей. Для проведения сложного анализа событий аудита в версии 4.0 ранее использовалась возможность выгрузки событий аудита в файлы текстового формата для их дальнейшей обработки в собственной системе анализа.
После первичной обработки данные журналов аудита, сопоставлялись с данными приказов о допуске сотрудников к цифровым подписям, вводу и контролю платежных документов, распоряжений о проведении модификаций программного обеспечения, а так же с событиями других систем: системы электронных расчетов, системы шлюзов зданий. Одной из целей такого анализа было выявление фактов использования цифровой подписи сотрудника или его учетных записей в периоды его отсутствия на работе: когда он не был зарегистрирован пропускной системой или когда время прохождения шлюзов не совпадало с работой учетных записей и цифровой подписи в журналах аудита.
НЕ ВСЁ НОВОЕ ЛУЧШЕ
К сожалению, в новой версии сетевого варианта Secret Net 5 эти опции сильно сокращены. Между тем известно, насколько в сфере информационной безопасности важен сложный ретроспективный анализ событий для выявления инцидентов. Он позволяет выявить повторяемость событий за значительные периоды времени, определить масштабы распространения события и проводить прочую аналитику.
Аналогичный поход, с выгрузкой журналов событий аудита в текстовый файл для дальнейшей обработки, недавно применялся для системы DeviceLock. При значительных объёмах данных, генерируемых сотнями компьютеров в день, «в ручном режиме» невозможно проверить правомерность всех заявок на доступа. Следует отметить: система DeviceLock содержит фильтры для событий аудита, но не поддерживает какую-либо базу хранения заявок. К тому же заявки делались как изменения уже существующих прав доступа, что увеличивало объем анализируемых документов.
Текстовый файл с более чем миллионом событий после первичной обработки загружался в базу данных Microsoft Access, куда вносились данные всех заявок на права доступа. Десяток-другой SQL-запросов позволял выявить множество проблем, и даже вычислять заявки, которые были исполнены на посторонних компьютерах. Сейчас организация работы с DeviceLock другая из-за изменения нормативной базы, и работы по созданию новой аналитической системы только начались.
ШИФРОВАЛЬНАЯ ПУТАНИЦА
До тех пор остается уповать на сознательность сотрудников, которые не попытаются использовать известные им «слабости» DeviceLock в личных целях. Выходит, что при разработке новых версий программного обеспечения своевременно не уделяют должного внимания разработке качественной системы анализа событий аудита, последствием может стать снижение уровня информационной безопасности.
Продуманной и гибкой аналитической системы требует не только анализ событий аудита. В 2010 году были расширены проверки правил фильтрации сетевого трафика на аппаратно-программных комплексах шифрования «Континент». В них активно применяются группы сетевых объектов − объединение нескольких сетевых объектов одним именем. Встроенный в комплекс мастер ввода данных автоматически генерирует несколько Правил, если в качестве отправителя или получателя сетевого трафика используется группа. В состав одной группы может входить другая.
С помощью специально разработанного комплекса vb-скриптов был проведен анализ правил, в котором проявились факты многократного разрешения сетевого взаимодействия между объектами сети. Например, между парой серверов правилами было разрешено взаимодействие только по трем сетевым протоколам, но при этом в правилах была допущена ошибка, которая почему-то взаимодействию не мешала.
Оказалось, оба сервера включены в состав разных групп, используемых в правилах разрешающих взаимодействие с системами архивирования, аудита, средств защиты и прочих операций. В итоге было обнаружено Правило, разрешающее взаимодействие без каких-либо ограничений между группами, в составе которых оказались оба сервера.
ПОДСЕТИ-ВЫРУЧАЛОЧКИ
Для администраторов аппаратно-программных комплексов шифрования «Континент» альтернативой использованию в правилах групп стали подсети. Проведенный в 2010 году анализ перекрытия правил между сетевыми объектами типа объект − объект и между одной подсетью и другой подсетью, типа подсеть −подсеть, обнаружил множество таких нарушений.
Правила, разрешающие взаимодействие между двумя объектами сети, оказались излишними, так как такое взаимодействие уже было разрешено правилами с участие подсетей, в IP-пространство которых попадали объекты сети. Выходило, что излишне первое правило, объект-объект, или же не обосновано второе, для взаимодействия типа подсеть — объект.
Многократное переопределение сетевого взаимодействия не позволяет гарантировать, что удаление правила, регламентирующего взаимодействие между двумя сетевыми объектами, приведёт к запрещению взаимодействия этих объектов. Без дополнительного автоматизированного анализа остаются только два варианта: верить в непогрешимость администраторов аппаратно-программных комплексов шифрования или использовать различные тесты сетевого взаимодействия. Практика показала ошибочность первого подхода, второй − очень затратный, и эффективен только при вводе системы в эксплуатацию.
ЗАТВОРНИКИ СПЕЦИАЛИЗАЦИИ
Стандарт информационной безопасности Банка России обязывает анализировать конфигурации, события аудита и многие прочие параметры. Эта работа может быть куда более эффективна при анализе в альтернативных системах, с использованием данных различных систем. Но производители средств защиты и аудита забывают про возможность экспорта данных своих систем хотя бы в простые текстовые файлы, или в модный сейчас формат XML.
Но даже специализированные системы аудита грешат односторонним подходом к анализу данных.Одна из специализированных систем аудита позволяет настроить длинную цепочку последовательного анализа поступающих событий, но не даёт ответа на простой вопрос, менял ли в этом месяце администратор сети свой пароль. Такой ответ, с точки зрения возможных последствий нарушения требований информационной безопасности, искупил бы все недостатки рассматриваемой системой аудита. Между тем требуется всего один SQL-запрос к базе данных этой системы, в которой есть все необходимые сведения.
Когда пользователь четко осознает, что его действия будут не только зафиксированы но и проанализированы системой защиты, пусть и со значительным опозданием, отношение к системе защиты меняется. Она более не кажется малополезной и затратной.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
