Файл: Современные технические средства выявления инцидентов информационной безопасности.pdf
Добавлен: 29.03.2023
Просмотров: 145
Скачиваний: 1
СОДЕРЖАНИЕ
Глава 1 Характеристика инцидентов информационной безопасности
1.1 Инцидент информационной безопасности
1.5 Нормативные документы, стандарты
1.6 Процесс управления инцидентами ИБ
1.7 Обучение пользователей вопросам выявления инцидентов ИБ
Глава 2 Технические средства и системы выявления инцидентов ИБ
2.2 DLP система предотвращения утечек данных
На основании событий проводятся корректирующие действия, оценка текущей защищенности системы, эффективности функционирования СУИБ.
2.2 DLP система предотвращения утечек данных
DLP – это система предотвращения утечек данных в информационной среде. Она представляет собой специальный инструмент, с помощью которого системные администраторы корпоративных сетей могут отслеживать и блокировать попытки несанкционированной передачи информации. Кроме того, что такая система может предотвращать факты незаконного завладения информацией, она также позволяет отслеживать действия всех пользователей сети, которые связаны с использованием социальных сетей, общением в чатах, пересылкой e-mail сообщений и пр. Основная цель, на которую нацелены системы предотвращения утечек конфиденциальной информации DLP, является поддержка и выполнение всех требований политики конфиденциальности и безопасности информации, которые существуют в той или иной организации, компании, предприятии [1].
Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.
Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах (почтовые протоколы, FTP, HTTP-трафик), но и о более новых системах сетевого обмена (Instant Messengers, облачные хранилища). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.
Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что копируется на съемный носитель, какие документы отправляются на печать, что набирается на клавиатуре, записывать аудиоматериалы, делать снимки экрана. На уровне конечной рабочей станции перехватывается шифрованный трафик (например, Skype), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.
Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.
Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам
Выбор DLP-системы зависит от задач, которые требуется решить конкретной компании. В самом общем виде задачи делятся на несколько групп, включая контроль движения конфиденциальной информации, надзор за активностью сотрудников в течение дня, мониторинг сетевой (анализ шлюзов) и комплексный (сети и конечные рабочие станции).
Для целей большинства компаний оптимальным будет выбор комплексного DLP-решения. Для малых и средних предприятий подойдут хостовые системы. Плюсы хостовых DLP – удовлетворительная функциональность и невысокая стоимость. Среди минусов – низкие производительность, масштабируемость, устойчивость отказов.
У сетевых DLP подобных недостатков нет. Они легко интегрируются и взаимодействуют с решениями других вендоров. Это важный аспект, поскольку DLP-система должна слаженно работать в тандеме с продуктами, уже установленными в корпоративной сети. Не менее важна и совместимость DLP с базами данных и используемым программным обеспечением.
При выборе DLP учитываются каналы передачи данных, которые используются в компании и нуждаются в защите. Чаще всего это протоколы электронной почты, IP-телефонии, НТТР; беспроводные сети, Bluetooth, съемные носители, печать на принтерах, сетевых или работающих автономно [4].
Функции мониторинга и анализа – важные составляющие корректной работы DLP-системы. Минимальные требования к аналитическим инструментам включают морфологического и лингвистического анализа, способность соотносить контролируемые данные со словарями или сохраненными файлами-«эталонами».
Результативность работы системы зависит от грамотной настройки автоматизации поисковых алгоритмов. Поэтому преимуществом продукта будет простой и понятный процесс наладки DLP, который не потребует регулярных консультаций у технических специалистов вендора.
Мировой современный рынок DLP В данный момент главные места на мировом рынке DLP-систем занимают компании, широко известные в данной сфере. К ним можно отнести Symantec, TrendMicro, McAffee, WebSense. Symantec
Symantec сохраняет лидирующие позиции на рынке DLP, хотя этот факт и удивляет, так как многие другие компании могут заменить ее. Решение все так же состоит из модульных компонентов, которые позволяют обеспечивать новейшие возможности, рассчитанные на интеграцию систем DLP в наилучших технологиях. Дорожная технологическая карта на настоящий год составлялась с использованием сведений своих клиентов и является сегодня самой прогрессивной из имеющихся на рынке. Вместе с тем это далеко не самый лучший выбор DLP-системы. Сильные стороны: значительное улучшение технологии Content-Aware DLP для портативных устройств; усовершенствование возможностей извлечения контента, по причине чего поддерживается наиболее комплексный подход; доработка интеграции возможностей DLP с иными продуктами Symantec (наиболее ярким примером может выступить Data Insight). То, на что необходимо обратить внимание (немаловажные минусы в работе, над которыми стоит задуматься): несмотря на то что дорожная технологическая карта у Symantec считается прогрессивной, реализация ее зачастую происходит с заминками; даже при том, что консоль управления является в полной мере функциональной, ее конкурентоспособность не так высока, как заявляют специалисты Symantec; нередко клиенты этой системы жалуются на время реакции службы поддержки; цена на данное решение по-прежнему значительно выше, чем у разработок конкурентов, которые со временем могут занять лидирующее место благодаря малым изменениям в этой системе [5].
Рисунок 1. Продукт компании Symantec
Websense
Последние несколько лет разработчики регулярно улучшают DLP-предложение Websense. Его смело можно считать полнофункциональным решением. Websense обеспечил современного пользователя расширенными возможностями. Выигрышные стороны: Со стороны Websense выдвигается предложение, связанное с применением полнофункционального решения DLP-системами, поддерживающего конечные точки и обнаружение данных. Посредством функции drip DLP возможно обнаружение постепенных утечек информации, достаточно долго длящихся по времени. Что заслуживает особого внимания: Редактировать данные можно только в покое. Технологическая карта характеризуется слабой мощностью.
Рисунок 2. Продукт компании Websense
McAfee DLP
Успела подвергнуться множеству изменений положительного характера и DLP-система безопасности McAfee. Ей не свойственно наличие особых функций, однако реализация базовых возможностей организована на высоком уровне. Ключевое отличие, если не считать интеграцию с иными продуктами консоли McAfee ePolicy Orchestrator (EPO), состоит в применении технологии хранения в централизованной базе захваченных данных. С помощью такой базы можно добиться их применения для оптимизации новых правил с целью проведения тестирования на предмет вероятности ложных срабатываний и для того, чтобы сократить время развертывания [6].
Что больше всего привлекает в данном решении? Организацию управления инцидентами смело можно назвать сильной стороной решения McAfee. С его помощью осуществляется прикрепление документов и комментариев, сулящих пользу при проработке на любом уровне. Данное решение способно обнаружить нетекстовой контент, например, картинку. Возможен вариант развёртывания DLP-системами от этого разработчика нового решения с целью защиты конечных точек, например, stand-alone. Достаточно хорошо показали себя функции, нацеленные на развивающиеся платформы, представленные в форме устройств мобильной связи и социальных сетей. Это позволяет им обойти конкурентные решения. Посредством базы данных, содержащей захваченную информацию, осуществляется анализ новых правил, что способствует снижению числа ложных срабатываний и ускорению внедрения правил. Решение McAfee DLP наделено базовыми функциями в виртуальной среде. Планы, касающиеся их развития, ещё не совсем четко сформулированы.
Рисунок 3. Продукт компании McAfee
Обзор различных решений, представленный выше, показывает, что все они работают одинаковым образом. По мнению экспертов, главная тенденция развития состоит в том, что «заплаточные» системы, содержащие компоненты от нескольких производителей, занимающихся решением определенных задач, сменятся интегрированным программным комплексом. Этот переход будет осуществлен по причине потребности в избавлении специалистов от решения некоторых проблем. Кроме того, будут постоянно совершенствоваться имеющиеся DLP-системы, аналоги которых не могут обеспечить тот же уровень защиты. –
2.3 Cистема обнаружения вторжения IPS
Система IPS — это такая же система обнаружения вторжения как и IDS, только имеет расширенные функции. IPS выполняет больше функций и соответственно обеспечивает большую защиту.
Система обнаружения вторжений IPS IDS не только мониторит систему, находит вторжение и сообщает пользователю о нем, но и защищает саму сеть и систему от вторжения. Большим преимуществом таки программ является то, что они работают онлайн и имеют способность сразу заблокировать вторжение.
главным частям IDS можно отнести:
считывающая подсистема, накапливающая информацию с сети,
анализирующая часть системы, определяющая нападения или вредоносные действия,
база данных, в которой хранится вся информация о собранных данных, атаках, анализе и т. д.,
система управления, с помощью которой пользователь может задать критерии работы всей системы, просматривать сеть, разграничивать доступ для просмотра нападений, отчетов анализа.
Какие проблемы позволяет решить система обнаружения атак и вторжений
К проблемам, решаемым системой обнаружения атак и вторжений, можно отнести:
анализ информацию об источнике,
блокировку или разрешение доступа в зависимости от итога анализа.
Перечислим функции, которые выполняет IDS, чтобы решить эти задачи:
просмотр активности пользователей,
мониторинг работы системы, нахождение ее узких мест,
просмотр важных файлов на целостность информации и данных,
сбор статистики и анализ сети, опираясь на информацию, собранную с предыдущих атак,
просмотр работу операционной системы.
Положительные стороны внедрения системы обнаружения вторжений
При использовании такой системы на предприятии она всегда скажет вам о том, в какой момент началось нападение или неправомерный вход. Вы имеете возможность отследить поведение и поступки стороннего посетителя. Программа вам покажет все, что сделал этот человек с момента захождения в систему до нанесения вреда.
Система оповестит вас в том случае, если данные были удалены или изменены. Так вы можете улучшить целостность своей системы. При любой сбое сети вы будете знать, что и где произошло.
Системы обнаружения вторжений просматривают интернет ресурсы и определяют когда и откуда был выполнен вход в систему. Но некоторые действия они к сожалению не могут определить.
Например, если у вас проблема с сетевыми протоколами, если процесс входа в систему самих сотрудников компании несложный, то такие системы не способны увидеть злоумышленников. Стоит отметить, что не со всеми проблемами вхождения система может справиться. Например, с атаками пакетного уровня, они не справляются.