Журнал "Information Security/ Информационная безопасность" #5, 2024

В остальное время достаточно авто- матических уведомлений о нарушениях, которые не создают ощущения "стек- лянного колпака" и не вызывают у чело- века лишнего раздражения. Практика показывает, что чем менее заметно наблюдение работодателя за работни- ком, тем лучше для всех участников этого процесса. Работник должен знать, что контроль есть, но не ощущать его на практике. О системах мониторинга Сейчас на рынке вендоры и интегра- торы предлагают различные системы для мониторинга. Разобраться в этом сонме не просто; требуется определен- ная квалификация, чтобы не запутаться и выбрать то, что надо. Немного философии Есть понятие априорного и апосте- риорного знания. Смысл латинского выражения "априори" означает знание, полученное не из опыта, а изначально имеющееся в сознании. В буквальном переводе – "из предшествующего". В противоположность этому понятие "апостериори" означает "из последую- щего"; то есть это знание, полученное благодаря опыту. Философы считают: то, что получено благодаря опыту, – это случайно и временно, так как опыт постоянно меняется, и нередко бывает так, что прежний опыт полностью опро- вергается новым. То есть апостериорное знание, если оно не опирается на априор- ное, не имеет какого-либо существен- ного значения. Перейдем к мониторингу Если управляющее воздействие на систему формируется на основе уже свершившегося события (на основе опыта), то такой мониторинг, по всей вероятности, будет являться апосте- риорным мониторингом. Если же управляющее воздействие на систему формируется на основе расхождения между существующими и заранее определенными параметрами контроля (изначально имеющимися), то это будет априорный мониторинг. Поэтому можно выделить два типа систем мони- торинга. 1. Системы мониторинга событий безопасности, то есть системы апосте- риорного мониторинга. 2. Системы мониторинга установлен- ных функций, влияющих на безопасность информации, то есть системы априор- ного мониторинга. Системы первого типа обеспечи- вают анализ событий безопасности в реальном времени, исходящих от сете- вых устройств и приложений. Они обес- печивают: l сбор и анализ данных об и инцидентах безопасности; l сбор и анализ подозрительных собы- тий безопасности; l сбор и анализ вирусной активности; l выявление несанкционированных действий субъектов; l выявление уязвимостей в системе безопасности; l эвристический анализ по выявлению аномалий в сетевом трафике; l обнаружение атак на основе анализа служебной информации. Здесь требуется возможность кор- реляции различных событий и приня- тия на основе такого анализа решения о возможном ущербе для ресурса и бизнеса в целом. Например, система определила, что тот или иной порт открыт, в это время произошел сбой и отключился межсетевой экран, что создает предпосылку к проникнове- нию злоумышленника в сеть для совершения противоправных дей- ствий, которые нанесут ущерб бизнесу (атаки). Как видно, системы мониторинга такого типа требуют обязательного при- сутствия человека, который берет на себя функции анализа и корреляции событий, пусть и с использованием средств автоматизации процесса ана- лиза, и принимает решение о критич- ности события и необходимости его устранения. Зачастую это требует раз- работки целого комплекса так назы- ваемых "правил корреляции", на осно- вании которых система и принимает решение. Для разработки таких правил необходимо задействовать специали- стов, владеющих не только знаниями о структуре и особенностях собственно информационной системы, но и имею- щих определенный аналитический склад ума, позволяющий предвидеть возможные последствия от той или иной комбинации событий. Ну и конеч- но, набор таких правил индивидуален для каждой информационной системы. Поэтому системы первого типа требуют адаптации под каждую информацион- ную систему и бизнес-задачи компании. Вот тут-то и открывается безгранич- ное поле для деятельности нейросетей, которые могут обучаться как с помо- щью заданных человеком алгоритмов, так и на основе прошлого опыта, то есть самостоятельно, используя ранее полученные данные. Правда, и здесь без человека не обойтись: алгоритмы обучения тоже надо кому- то писать. Зато такой вид мониторинга позволяет реагировать на нестандарт- ные ситуации, выявлять то, чего рань- ше не было, искать "бутылочные гор- лышки", используя специальные алго- ритмы поиска проблем. Часто системы мониторинга такого типа называют SIEM (Security informa- tion and event management). Типичный представитель такой системы – это MaxPatrol, имеющий кроме того меха- низмы тестирования на проникнове- ние, системных проверок и контроля соответствия стандартам. Системы второго типа тоже рабо- тают в реальном времени, но немного по-другому. Они фиксируют отклонения от установленных параметров, влияю- щих на безопасность информации: l геолокация компьютера и структура информационной сети; l состав программного и аппаратного обеспечения; l параметры настройки операционной системы; l актуальность программного обес- печения; l настройки средств защиты инфор- мации; l типы и состав подключенных USB- устройств; l процессы, запущенные в операцион- ной системе; l действия пользователей в информа- ционной системе. Такие системы похожи на триггер, у них, по сути, два состояния: "да" и "нет". То есть любое отклонение от заранее заданных параметров воспринимается такой системой как нарушение безопас- ности информации. Например: ведется мониторинг обнов- ления антивирусной базы. Если про- граммное обеспечение не прошло обнов- ление в установленное время, то это предпосылка к проникновению злоумыш- ленника в сеть и совершению противо- правных действий, которые нанесут ущерб бизнесу (атаки). В этом случае, как правило, имеется реальная возмож- ность полностью автоматизировать про- цесс управления устранением возникших обстоятельств, так как все параметры, а также припуски и допуски, заранее известны. Поэтому особенность таких систем в том, что в случае нарушения установленных параметров они могут выводить из оборота (отключать) эле- мент информационной системы, в кото- ром произошло отклонение. Кроме этого, полный мониторинг приложений, исполь- зуемых процессов и коммуникации поз- воляет обнаруживать и предотвращать скрытые процессы, которые не вписы- ваются в простые сигнатуры или шаблон, и, например, легко обходят классический антивирус. Ну и, конечно, системы мониторинга такого типа позволяют автоматизиро- вать оповещение о предпосылках наступления инцидентов безопасности. Сами по себе системы второго типа проще, чем первого, не требуют высо- коквалифицированного персонала и достаточно привлекательны для сред- него и малого бизнеса за счет своей практичности, простоты, гибкости и относительной дешевизны. Они могут служить сенсорами (источником инфор- мации о событиях безопасности) для систем мониторинга первого типа. Иногда такие системы называют EDR (Endpoint Detection and Response); это приемлемо, но не совсем верно, воз- можно потому, что в классификации • 27 SOC + EDR www.itsec.ru