Insider: система обнаружения внутреннего нарушителя
объективная реальность
Когда мы задумываемся о безопасности информационной инфраструктуры организации, то в первую очередь думаем о внешних угрозах, совсем забывая о том, что опасность может подстерегать нас изнутри. К сожалению, наш собственный персонал зачастую способен нанести вред в сотни раз больший, чем злоумышленники, действующие извне. И большинству руководителей или администраторов сетей даже в голову не может прийти, что многие проблемы вызваны внутренними "болезнями". Многие работники являются людьми, добросовестно выполняющими свои обязанности, но все же и они способны неумышленно совершать ошибки, которые могут нанести ущерб. И это особенно опасно потому, что такие работники не чувствуют своей вины и даже считают, что их действия абсолютно правильны. Поэтому необходимо знать, какие проблемы возникают в процессе работы и иметь возможность предотвращения нарушений или получения информации о происходящем.
назначение
Система Insider предназначена для контроля соблюдения политики безопасности информационной системы (ИС) путем выявления несанкционированных действий легитимных пользователей (намеренных или ошибочных), способных нанести ущерб организации. В процессе функционирования системы Insider решаются задачи не только выявления нарушений политики безопасности, но и контроля производительности ПК, эффективности использования пользователями технических ресурсов компьютеров, на которых они работают. В связи с тем, что большинство задач обрабатывается на ПК, существенным требованием является контроль за неизменностью конфигураций вычислительных систем.
функции
Основными функциями системы Insider являются:
— сбор данных об активности пользователей ИС;
— анализ собранных данных;
— формирование управляющих воздействий на внутреннего нарушителя (ВН), включая оповещение администратора безопасности о несанкционированных действиях пользователя или его аномальном поведении.
В идеальном случае, правильно организованная работа в рамках должностных прав и обязанностей легитимного пользователя предусматривает определенность и предсказуемость его действий, регламентируемых политикой безопасности организации. В реальных условиях, в рамках предоставленных прав, пользователь может совершать умышленные или случайные нарушения, которые могут причинить ущерб. В данном случае недостаточно придерживаться принципа: "все, что не разрешено, то запрещено". Модель внутреннего нарушителя должна строится с учетом присущих человеку склонностей к игровому поведению. Поэтому для обнаружения ВН необходимо применять специальные методы анализа событий.
архитектура
Архитектура системы Insider включает различные модули, выполняющие функции сбора, анализа и хранения информации, а также управления самой системой:
— сенсоры:осуществляют сбор информации о состоянии ресурсов информационной системы и являются инструментарием удаленного мониторинга;
— служба управления сенсорами:контролирует сенсоры, выполняет функции контроля целостности сенсоров, концентрирует и направляет сигналы сенсоров в подсистему принятия решений, является центром распределения управляющих воздействий;
— подсистема принятия решений:предназначена для анализа событий, которые контролируются сенсорами. Эта подсистема состоит из нескольких модулей, производящих анализ событий с использованием различных методов для выявления угроз или обнаружения несанкционированных действий со стороны легитимных пользователей ИС;
— технологическое хранилище данных:выполнят функции хранения данных, разделяемых между модулями системы;
— консоль администратора:служит для централизованной настройки модулей системы, а так же для генерации отчетной информации.
В настоящее время система INSIDER предназначена для контроля рабочих станций пользователей, работающих под управлением ОС: Windows 2000/XP и выше, что обусловлено наличием в данных системах собственных средств,отвечающих за безопасность и целостность системы.
Комплектация системы INSIDER может быть разной (в зависимости от требований заказчика). В базовую комплектацию системы INSIDER входит:
1. Сенсоры для рабочих станций Windows 2000/XP.
2. Служба управления сенсорами.
3. Сервер баз данных MySQL.
4. Графическая консоль администратора, которая включает в себя:
— редактор топологии системы;
— конфигурирование и настройка сенсоров (включая "реакцию одного события");
— интерфейс подсистемы отчетов с базовым набором отчетов.
Сенсоры поставляются 2х типов:
1. активные — сенсоры, с возможностью осуществления противодействия;
2. пассивные — сенсоры, без возможности осуществления противодействия,
В качестве сервера БД выбран сервер MySQL из-за его скоростных характеристик при операциях запись/чтение. Также немаловажным фактором является его бесплатность (что сильно удешевляет систему). При специальных требованиях заказчика, система может работать и с другими базами данных, например, Oracle.
Базовый набор отчетов содержит:
1. Соединения:интенсивность работы в сети (отосланные/принятые пакеты); процессы, вызывавшие открытие UDP портов; процессы, вызывавшие установку соединения (TCP); процессы, вызывавшие установку соединения (расширенный).
2. Процессы:активизированные (запускаемые) процессы, активизированные процессы (расширенный), завершенные процессы (закрытие программ), завершенные процессы (расширенный).
3. Операции с файловой системой:создание файлов, чтение файлов, запись данных в файлы, удаление файлов, переименование файлов, замена файлов, создание директорий, удаление директорий, переименование директорий.
4. Операции с системным реестром:установка значения в системном реестре, удаление значения из системного реестра, создание ключа в системном реестре, удаление ключа из системного реестра.
5. Операции с принтером: посылка на печать.
6. Системные отчеты: конфигурация сенсоров, изменение конфигурации сенсоров.
Система Insider может работать с модулем автоматического анализа данных. Аналитический модуль предназначен для статистического исследования потоков событий, регистрируемых системой Insider с последующим формированием сигнала об обнаруженной аномалии. Принцип работы основан на сравнении эталонных значений характеристик потоков с текущими, и последующего вычисления значения аномальности потока. Для определения аномальности потока используется пороговая схема, т.е. задается некоторый порог аномальности, превышение которого считается аномальностью в потоке. На основе профилей — «статистического портрета» состояния набора потоков — принимается решение об аномальном состоянии группы потоков, которое может являться атакой. Исходными данными для анализатора являются потоки событий, содержащие сообщения о действиях всех контролируемых объектов сети. Любой поток событийимеет следующий набор характеристик: мат. ожидание интервала между событиями, СКО, апериодичность, параметр Эрланга.
Задачей аналитического модуля является не только поиск аномалий в потоках, но и определение, в каком объекте контролируемой сети найдена зарегистрированная аномалия.
Аналитический модуль может работать в двух режимах: режиме обучения и режиме анализа.
В режиме обучения модуль автоматически создает «статистические портреты» контролируемых объектов. Рекомендуемый срок работы модуля в режиме обучения — от 2 до 4 недель в масштабе реального времени. Режим обучения следует включать при первоначальной установке модуля и при изменении режима работы контролируемых узлов (возникновение множественных аномалий). В режиме анализа модуль работает в режиме поиска аномалий. Использование аналитического модуля крайне целесообразно в организациях, с количеством контролируемых узлов больше 20. Администратору не придется просматривать большое количество отчетов для обнаружения нарушения — аналитический модуль укажет, где именно (на каком узле и каком контролируемом объекте) смотреть. Работа модуля возможна как в реальном, так и в отложенном масштабе времени.
интеллект
Система Insider объединяет в себе различные по "интеллектуальности" и сложности методы обработки и анализа информации, служащие для обнаружения несанкционированных действий со стороны легитимных пользователей ИС. Базовый метод - регламентный - отвечает за принятие решения о том, является ли обнаруженное сенсором событие нарушением или нет. В случае нарушения инициируется соответствующий сигнал или реакция. Основой для принятия решений являются правила, с которыми работает анализатор, и которые задаются администратором ИС. Более "интеллектуальный" метод направлен на обнаружение аномальной активности и основывается на выявлении событий, несвойственных шаблонам "нормального" поведения объектов (в частности пользователей) ИС. Механизм выявления аномальной активности статистическими методами основывается на сравнении краткосрочного шаблона поведения субъекта с долгосрочным. При этом поведение объектов (пользователей, приложений, аппаратуры) характеризуется измеряемыми значениями некоторых параметров их функционирования. Значения параметров накапливаются и преобразуются в профили описания работы субъектов. Долгосрочные профили содержат в себе информацию об активности субъектов за последние несколько недель или месяцев, краткосрочные профили содержат информацию об их активности, которая наблюдалась в течении последних часов или даже минут.
противостояние угрозам
После выявления серьезных нарушений в контролируемой ИС должны приниматься решения о форме адекватной реакции. Для этого в сенсорах системы Insider интегрированы специальные модули, которые служат для нейтрализации последствий нарушений по отношению к субъектам-нарушителям в виде корректирующих воздействий. Возможность инициирования реакции является опциональной. Рекомендуется использовать этот механизм только после серьезного анализа возможных нарушений политики безопасности организации и построения модели нарушителя.
управление
Так как Insider представляет собой многокомпонентную систему, в ее состав входит инструмент централизованной настройки и управления всеми компонентами — консоль управления. Консоль управления включает редактор топологии, панель настройки сенсоров, интерфейсы настройки анализаторов и интерфейс подсистемы отчетов, позволяющий создавать графические и текстовые представления событий.
заключение
Система обнаружения внутреннего нарушителя Insider представляет собой эффективное средство контроля соблюдения политики безопасности, позволяющее администраторам и руководству получать исчерпывающие данные о происходящих в ИС организации событиях и своевременно реагировать на различные нарушения.
Дмитрий Герусс, по материалам компании-производителя.
Когда мы задумываемся о безопасности информационной инфраструктуры организации, то в первую очередь думаем о внешних угрозах, совсем забывая о том, что опасность может подстерегать нас изнутри. К сожалению, наш собственный персонал зачастую способен нанести вред в сотни раз больший, чем злоумышленники, действующие извне. И большинству руководителей или администраторов сетей даже в голову не может прийти, что многие проблемы вызваны внутренними "болезнями". Многие работники являются людьми, добросовестно выполняющими свои обязанности, но все же и они способны неумышленно совершать ошибки, которые могут нанести ущерб. И это особенно опасно потому, что такие работники не чувствуют своей вины и даже считают, что их действия абсолютно правильны. Поэтому необходимо знать, какие проблемы возникают в процессе работы и иметь возможность предотвращения нарушений или получения информации о происходящем.
назначение
Система Insider предназначена для контроля соблюдения политики безопасности информационной системы (ИС) путем выявления несанкционированных действий легитимных пользователей (намеренных или ошибочных), способных нанести ущерб организации. В процессе функционирования системы Insider решаются задачи не только выявления нарушений политики безопасности, но и контроля производительности ПК, эффективности использования пользователями технических ресурсов компьютеров, на которых они работают. В связи с тем, что большинство задач обрабатывается на ПК, существенным требованием является контроль за неизменностью конфигураций вычислительных систем.
функции
Основными функциями системы Insider являются:
— сбор данных об активности пользователей ИС;
— анализ собранных данных;
— формирование управляющих воздействий на внутреннего нарушителя (ВН), включая оповещение администратора безопасности о несанкционированных действиях пользователя или его аномальном поведении.
В идеальном случае, правильно организованная работа в рамках должностных прав и обязанностей легитимного пользователя предусматривает определенность и предсказуемость его действий, регламентируемых политикой безопасности организации. В реальных условиях, в рамках предоставленных прав, пользователь может совершать умышленные или случайные нарушения, которые могут причинить ущерб. В данном случае недостаточно придерживаться принципа: "все, что не разрешено, то запрещено". Модель внутреннего нарушителя должна строится с учетом присущих человеку склонностей к игровому поведению. Поэтому для обнаружения ВН необходимо применять специальные методы анализа событий.
архитектура
Архитектура системы Insider включает различные модули, выполняющие функции сбора, анализа и хранения информации, а также управления самой системой:
— сенсоры:осуществляют сбор информации о состоянии ресурсов информационной системы и являются инструментарием удаленного мониторинга;
— служба управления сенсорами:контролирует сенсоры, выполняет функции контроля целостности сенсоров, концентрирует и направляет сигналы сенсоров в подсистему принятия решений, является центром распределения управляющих воздействий;
— подсистема принятия решений:предназначена для анализа событий, которые контролируются сенсорами. Эта подсистема состоит из нескольких модулей, производящих анализ событий с использованием различных методов для выявления угроз или обнаружения несанкционированных действий со стороны легитимных пользователей ИС;
— технологическое хранилище данных:выполнят функции хранения данных, разделяемых между модулями системы;
— консоль администратора:служит для централизованной настройки модулей системы, а так же для генерации отчетной информации.
В настоящее время система INSIDER предназначена для контроля рабочих станций пользователей, работающих под управлением ОС: Windows 2000/XP и выше, что обусловлено наличием в данных системах собственных средств,отвечающих за безопасность и целостность системы.
Комплектация системы INSIDER может быть разной (в зависимости от требований заказчика). В базовую комплектацию системы INSIDER входит:
1. Сенсоры для рабочих станций Windows 2000/XP.
2. Служба управления сенсорами.
3. Сервер баз данных MySQL.
4. Графическая консоль администратора, которая включает в себя:
— редактор топологии системы;
— конфигурирование и настройка сенсоров (включая "реакцию одного события");
— интерфейс подсистемы отчетов с базовым набором отчетов.
Сенсоры поставляются 2х типов:
1. активные — сенсоры, с возможностью осуществления противодействия;
2. пассивные — сенсоры, без возможности осуществления противодействия,
В качестве сервера БД выбран сервер MySQL из-за его скоростных характеристик при операциях запись/чтение. Также немаловажным фактором является его бесплатность (что сильно удешевляет систему). При специальных требованиях заказчика, система может работать и с другими базами данных, например, Oracle.
Базовый набор отчетов содержит:
1. Соединения:интенсивность работы в сети (отосланные/принятые пакеты); процессы, вызывавшие открытие UDP портов; процессы, вызывавшие установку соединения (TCP); процессы, вызывавшие установку соединения (расширенный).
2. Процессы:активизированные (запускаемые) процессы, активизированные процессы (расширенный), завершенные процессы (закрытие программ), завершенные процессы (расширенный).
3. Операции с файловой системой:создание файлов, чтение файлов, запись данных в файлы, удаление файлов, переименование файлов, замена файлов, создание директорий, удаление директорий, переименование директорий.
4. Операции с системным реестром:установка значения в системном реестре, удаление значения из системного реестра, создание ключа в системном реестре, удаление ключа из системного реестра.
5. Операции с принтером: посылка на печать.
6. Системные отчеты: конфигурация сенсоров, изменение конфигурации сенсоров.
Система Insider может работать с модулем автоматического анализа данных. Аналитический модуль предназначен для статистического исследования потоков событий, регистрируемых системой Insider с последующим формированием сигнала об обнаруженной аномалии. Принцип работы основан на сравнении эталонных значений характеристик потоков с текущими, и последующего вычисления значения аномальности потока. Для определения аномальности потока используется пороговая схема, т.е. задается некоторый порог аномальности, превышение которого считается аномальностью в потоке. На основе профилей — «статистического портрета» состояния набора потоков — принимается решение об аномальном состоянии группы потоков, которое может являться атакой. Исходными данными для анализатора являются потоки событий, содержащие сообщения о действиях всех контролируемых объектов сети. Любой поток событийимеет следующий набор характеристик: мат. ожидание интервала между событиями, СКО, апериодичность, параметр Эрланга.
Задачей аналитического модуля является не только поиск аномалий в потоках, но и определение, в каком объекте контролируемой сети найдена зарегистрированная аномалия.
Аналитический модуль может работать в двух режимах: режиме обучения и режиме анализа.
В режиме обучения модуль автоматически создает «статистические портреты» контролируемых объектов. Рекомендуемый срок работы модуля в режиме обучения — от 2 до 4 недель в масштабе реального времени. Режим обучения следует включать при первоначальной установке модуля и при изменении режима работы контролируемых узлов (возникновение множественных аномалий). В режиме анализа модуль работает в режиме поиска аномалий. Использование аналитического модуля крайне целесообразно в организациях, с количеством контролируемых узлов больше 20. Администратору не придется просматривать большое количество отчетов для обнаружения нарушения — аналитический модуль укажет, где именно (на каком узле и каком контролируемом объекте) смотреть. Работа модуля возможна как в реальном, так и в отложенном масштабе времени.
интеллект
Система Insider объединяет в себе различные по "интеллектуальности" и сложности методы обработки и анализа информации, служащие для обнаружения несанкционированных действий со стороны легитимных пользователей ИС. Базовый метод - регламентный - отвечает за принятие решения о том, является ли обнаруженное сенсором событие нарушением или нет. В случае нарушения инициируется соответствующий сигнал или реакция. Основой для принятия решений являются правила, с которыми работает анализатор, и которые задаются администратором ИС. Более "интеллектуальный" метод направлен на обнаружение аномальной активности и основывается на выявлении событий, несвойственных шаблонам "нормального" поведения объектов (в частности пользователей) ИС. Механизм выявления аномальной активности статистическими методами основывается на сравнении краткосрочного шаблона поведения субъекта с долгосрочным. При этом поведение объектов (пользователей, приложений, аппаратуры) характеризуется измеряемыми значениями некоторых параметров их функционирования. Значения параметров накапливаются и преобразуются в профили описания работы субъектов. Долгосрочные профили содержат в себе информацию об активности субъектов за последние несколько недель или месяцев, краткосрочные профили содержат информацию об их активности, которая наблюдалась в течении последних часов или даже минут.
противостояние угрозам
После выявления серьезных нарушений в контролируемой ИС должны приниматься решения о форме адекватной реакции. Для этого в сенсорах системы Insider интегрированы специальные модули, которые служат для нейтрализации последствий нарушений по отношению к субъектам-нарушителям в виде корректирующих воздействий. Возможность инициирования реакции является опциональной. Рекомендуется использовать этот механизм только после серьезного анализа возможных нарушений политики безопасности организации и построения модели нарушителя.
управление
Так как Insider представляет собой многокомпонентную систему, в ее состав входит инструмент централизованной настройки и управления всеми компонентами — консоль управления. Консоль управления включает редактор топологии, панель настройки сенсоров, интерфейсы настройки анализаторов и интерфейс подсистемы отчетов, позволяющий создавать графические и текстовые представления событий.
заключение
Система обнаружения внутреннего нарушителя Insider представляет собой эффективное средство контроля соблюдения политики безопасности, позволяющее администраторам и руководству получать исчерпывающие данные о происходящих в ИС организации событиях и своевременно реагировать на различные нарушения.
Дмитрий Герусс, по материалам компании-производителя.
Сетевые решения. Статья была опубликована в номере 11 за 2003 год в рубрике software
