Název: Bezpečně ušitá síť
Zdroj: Connect!
Datum vydání: 1.2.2008
Podtitulek: Správa a dohled zabezpečení sítě
Autor: Tomáš Paczek, ANECT a.s.
Bezpečně ušitá síť
Většina současných sítí obsahuje větší množství bezpečnostních zařízení, která mají chránit data a uživatele sítě. Patří mezi ně například firewally, IDS/IPS systémy, antivirová ochrana, aktivní síťové prvky a další. Nasazení těchto zařízení a jejich správa bývá často velice náročná. Zejména analýza vzniklých incidentů. V tomto článku se podíváme na příkladu systému CS MARS, jak taková činnost probíhá.
Tato zařízení generují obrovský objem událostí v závislosti na velikosti sítě, často jsou to desítky tisíc událostí za minutu. Při výskytu bezpečnostního incidentu objem dat ještě stoupne. Pro vyhodnocení těchto událostí je nutné provést analýzu dat, kterou není možné zvládnout manuálně. Pro bezpečnostní dohled existuje řada výkonných a účinných nástrojů.
Kvalitní grafické rozhraní umožňuje rychlou a přehlednou definici bezpečnostních pravidel pro různé technologie a snižuje pravděpodobnost chybné konfigurace. Bez správného nástroje je pracné získat z těchto dat informace
0 vlastní události, které jsou důležité pro reakci administrátora. Nástroje pro zpracování bezpečnostních incidentů se obecně označují jako SIEM (Security Information and Event Management). Jde o nástroj pro správu a dohled bezpečnostních incidentů, které jsou generovány různými zařízeními v síti.
Základní funkce SIEM:
- zpracování bezpečnostních událostí -zahrnuje uložení, normalizaci, sumarizaci, korelaci a statistické zpracování. Důležité je i zálohování incidentů;
- správa přístupu k datům - SIEM podporuje různé role v týmu: Administrátor, Security Analyst, Operátor, Notification Only;
- workflow pro zpracování incidentů -každý incident má označeného řešitele, kterým se jím zabývá.
Nástroj SIEM může být implementován jako softwarová aplikace, či jako hardwarové zařízení. V síti sbírá data (logy) z různých síťových prvků, jako jsou firewally, IPS/IDS zařízení, přepínače, směrovače nebo aplikační servery.
Monitorovací systém CS MARS
Příkladem SIEM budiž systém pro monitorování bezpečnosti a analýzu CS MARS (Cisco Security Monitoring Analysis and Response System). Je to výkonný nástroj pro zaznamenávání a zpracování informací o událostech v síti - jedná se o software předinstalovaný na specializovaném hardwarovém zařízení.
Zpracovává, vyhodnocuje a archivuje informace o událostech v síti pocházející ze síťové infrastruktury (směrovačů, LAN přepínačů), ze specializovaných bezpečnostních zařízení (firewallů, IDS/IPS systémů, antivirů, skenerů zranitelností) i z koncových stanic a serverů.
Inteligentním způsobem dává zpracované informace do souvislosti, seskupuje a analyzuje související data s cílem rychle odhalit bezpečnostní incidenty v síti. Informace dále konsoliduje, záznamy komprimuje a následně ukládá do databáze. Zobrazuje spolehlivě a přesně topologii sítě, umí automaticky objevovat reportovaná zařízení a vykreslit síťovou topologii L3.
V případě výskytu útoku zaznamená události nejen do databáze, ale zobrazí je v reálném čase v mapě. Správce tak vidí zřetelně směr šíření útoku, což velmi usnadní efektivně reagovat na útok, přičemž samotná "mašinka" může pře-konfigurovat síťová nebo bezpečnostní zařízení tak, aby útok zablokovala. Vytváří přehledné zprávy a výkazy o bezpečnostních incidentech. Tyto výkazy je možné využít k dokumentaci, hledání slabých míst, k plánování rozvoje sítě.
MARS podporuje heterogenní sítě obsahující zařízení od různých výrobců. Velmi jednoduše se uvádí do provozu, využívá nativního logovacího protokolu pro posílání incidentů. Výkonnostní parametry zařízení a hierarchická architektura umožňuje jeho nasazení v prakticky libovolně velké síti.
Řešení bezpečnostních incidentů
Při zpracování událostí můžeme rozlišit pět dílčích úkolů, které na sebe navazují. Jejich realizace je efektivní právě v tomto Pořadí -
- Centralizace - sběr událostí na jedno místo, do jednoho datového skladu bezpečnostních záznamů - tzv. CSDW (Cent-ralized Security Data Warehouse). Praxe ukazuje, že pokud neexistuje, tak při řešení bezpečnostního incidentu trvá obvykle minimálně dvě hodiny, než jsou posbírány podklady. Další výhodou je sjednocení archivace a řízení přístupu k informacím. V heterogenním prostředí je potřebné zabezpečit různé způsoby získávání dat pro vyhodnocování.
- Normalizace - sjednocení formátu přijímaných dat. Každý výrobce má vlastní formát logu, na úrovni normalizace se z různých formátů logů vybírají klíčové informace, které jsou pak použity v jednotném datovém modelu. Zavedením jednotného slovníku pojmů se propojí izolované světy dílčích systémů - např. virový infekt lze zachytit antivirem nebo IDS/IPS systémem, přičemž oba o tom reportují vlastním způsobem. Zavedením stejné taxonomie se mohou úspěšně korelovat události těchto systémů.
- Doplnění kontextu - rozšíření informace obsažené v logu o informace charakterizující prostředí a bezpečnostní záměr. Na této úrovni nastává vyhodnocení logu z hlediska bezpečnostní politiky organizace. Takto lze u konkrétní zprávy zvýšit její kritičnost, nebo naopak označovat určité varovné záznamy jako běžnou odezvu normální komunikace (Falše Positive). Bezpečnostní záznamy jsou pomocí korelace seskupeny do incidentů, které nesou informace o atomických záznamech, ale také charakteristiku pocházející z korelačního pravidla. Tedy přesněji specifikují typ aktivity nebo podezření. Korelační pravidla umožní na základě zkušeností z praxe klasifikovat závažnost incidentu a přebírat tak "best practices" při zpracování logů ze široké komunity uživatelů systému. MARS obsahuje více než 130 vestavěných korelačních pravidel, k nimž lze dále přidávat vlastní pravidla.
- Prezentace dat je důležitá z hlediska pochopení celkové bezpečnostní situace. Lze poskytnout výstupy s různou úrovní detailů podle potřeby administrátora. Systémy SIEM vesměs používají propracované GUI, které poskytuje agregované a sumarizované pohledy na bezpečnost. Umožňují také zobrazování detailů incidentu. Výstupy SIEM lze rozdělit na real-time pohledy, detailní nebo sumarizované reporty. Správu lze provádět přes CLI rozhraní (příkazovou řádku), resp. přes webové rozhraní přístupné přes HTTPS.
- Odezva - spuštění bezpečnostního procesu, který má vzniklou situaci řešit. Pokud je systém SIEM provozovaný určitou dobu, lze empiricky zjistit, že určité typy událostí vyžadují většinou stejnou reakci, kterou lze zautomatizovat. Např. virem napadená stanice má mít zablokovaný přístup k serverům. Systém CS MARS umí pro známá zařízení (přepínače, směrovače či firewally od firmy Cisco) navrhnout řešení incidentu ve formě ACL (Access Lists) a aplikovat je na daném zařízení. Takto lze dosáhnout téměř okamžité odezvy na incident. Sporné události je vhodné ponechat na rozhodnutí obsluhy. Odezvou systému je pak eskalace události do HelpDesk systému či notifikace odpovědného správce (e-mail, SMS). Správa a kontrola bezpečnostních incidentů na síti bez použití účinného vyhodnocovacího systému je u velkých sítí obtížná. Pokud nemáme vhodný nástroj pro analýzu událostí na síti, může reakce na útok trvat delší dobu. Systémy SIEM umožňují výrazným způsobem tuto dobu zkrátit a reagovat na vzniklé bezpečností problémy ve velmi krátké době.
 | Tomáš Paczek |
