Thursday, September 6, 2007

Регулярный мониторинг

Горячо любимый многими г-н Шнайер недавно поднимал тему отсутствия мониторинга за системами, которые существуют и работают, что определяет их неэффективность.
Теперь давайте оглядимся. Та-ак, что там у нас в сети творится:

  • подсистема антивирусной защиты – когда вы последний раз изучали вирусную активность в вашей сети и принимали меры?
  • подсистема резервного копирования – когда вы последний раз изучали ее журналы, на предмет поиска неудачно выполненных заданий?
  • подсистема обнаружения атак – когда вы последний раз смотрели ее журналы и пытались разобраться с зарегистрированными событиями?

Думаю, многие ответят – давно.

В чем проблема? Системы есть, но толку от них зачастую нет. Я уверен, что в 90% случаев система остается либо с настройками по умолчанию, либо в состоянии, в котором ее оставил «залетный» интегратор. Ну, иногда администратор системы немного ее ковыряет, но слишком часто встречаются администраторы, которые по 2-3 месяца изучают подсистему и в момент проверки не знают, что означают те или иные настройки, как работают и настроены рассылки уведомлений генерируемых системой и т.п.

Давайте опустим худший вариант, когда администратор просто не следит за системой потому-что не хватает знаний. Возьмем в принципе типичную картинку, когда что-то, генерируемое подсистемой, все-таки доходит до администратора. Что случается в этом случае? Тоже ничего хорошего.
Любая, не настроенная подсистема обнаружения атак генерирует сотни уведомлений в день. Подсистема антивирусной защиты, может завалить администраторами десятками писем о том, что обнаружены вирусы в файлах, находящихся на карантине. Подсистема резервного копирования ежедневно может сообщать о некритичных ошибках и в результате фильтруется все, включая важные для подсистемы события. Результат - администратор просто не обращает внимания на то, что генерируют подсистемы.

Но ведь проблему можно решить, просто ограничив поток информации идущей на администратора. Понятно, что существует вероятность того, что будут пропущены события, которые пропускать совсем не нужно. Но уж лучше плавно и равномерно идти к идеалу, чем с момента внедрения системы знать, что толку от нее никогда не будет.
То есть, вменив в обязанность администратору не абстрактное «мониторинг подсистемы ХХХ», а обязательную обработку N-событий, разбор инцидентов либо настройку правил фильтрации, мы начинаем контролировать процесс обслуживания подсистемы.

В сухом остатке:
  • временные затраты администраторов на обслуживание подсистем легко прогнозируются;
  • руководство всегда может оценить загрузку специалистов;
  • можно спрогнозировать время, когда система окажется настроенной под конкретную КИС и будет реально обеспечивать необходимый уровень информационной безопасности.

2 comments:

Sergey Soldatov said...

Игорь, как имеющий отношение к IDS/IPS полностью с тобой согласен и дополню лишь подходом.
1. Поначалу, чтобы ничего не терять имеет смысл включить все сигнатуры.
2. Каждое неинформационное событие надо исследовать на предмет является ли оно ложным срабатыванием. Если да - подстройка или фильтрация сигнатуры, если нет - то инцидент ИБ с последующей эскалацией по процедуре на службу поддержки пользователей или администраторов.
3. В идеальном случае, если а) изменений в инфраструктуре немного, б) они планируются и согласуются с ИБ, можно достичь того, что весь "шум" будет зафильтрован.
Проблемы такого подхода:
1. Процесс исследования сигнатур бесконечен. Выход - приоритезация, по опыту скажу, что реально навести порядок в серьезных событиях.
2. Контроль изменений ИТ-инфраструктуры - каждое изменеие может вызывать поднастройку систем обнаружения.

Amiran Alavidze said...

Любая система мониторинга требует фильтрации событий. Техника, упомянутая Сергеем, называется "Artificial Ignorance" и применима не только к IDS/IPS, но и к любой системе, генерирующей события требующие реагирования.

http://www.ranum.com/security/computer_security/papers/ai/index.html