Cesta: Info / Tiskové centrum / Články / Centrální správa bezpečnostních incidentů

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

Zajištění IT bezpečnosti neznamená nasazení technologií, ale především provozních systémů - sledování hrozeb, analýzy útoků a vhodná reakce na ně, změně pravidel na jednotlivých (bezpečnostních) systémech či prvcích v případě potřeby. Jedná se o nepřetržitý cyklus, který se skládá z návrhu řešení, jeho implementace, monitorování a na základě monitorování návrhu nových pravidel resp. řešení.

Při ochraně sítě a v ní zapojených výpočetních systémů jsou používány firewally, detektory průniku (IDS - Intruder Detection System), antivirová ochrana uživatelských PC, serverů (souborových, poštovních, atd.) a bran, systémy pro identifikaci uživatelů a další bezpečnostní prvky a systémy. Problém je v tom, že každý z nich je koncipován tak, aby působil samostatně. Navíc tyto prvky a systémy mají obvykle své vlastní řídící a dohledové aplikace, které jsou schopny detekovat celou škálu problémů a útoků a generovat o nich potřebné informace.

Takto izolované samostatné aplikace zpravidla poskytují informace jen o útoku či problému, který je daná aplikace schopna řešit. Nevýhody takového řešení jsou patrné - množství samostatných aplikací, které se musejí samostatně spravovat a nastavovat, a velké množství alarmů podobného typu od různých systémů. Jeden útok může být zaznamenán a ohlášen několika systémy současně a jejich analýzu tudíž může provádět souběžně několik administrátorů. Reporty jsou vytvářeny pouze pro jednotlivé aplikace, technologie, výrobce, ne pro bezpečnostní systém IT.

Existuje nějaké komplexní řešení dohledu bezpečnosti? Ještě před několika málo lety bylo řešení tohoto problému velmi problematické. Ovšem bezpečnost IT je obzvláště v posledních letech velmi preferovaná oblast. Za necelý rok prošla oblast integrace a zpracování informací z bezpečnostních prvků a systémů opravdu velkým rozvojem.

Např. dle studií a zveřejňovaných srovnání Gartner Group [1] bylo mezi "leadery" v tzv. "Magickém kvadrantu" v roce 2004 šest společností oproti roku 2003, kdy mezi "leadery" nebyla zařazena žádná společnost.

Princip centrální správy bezpečnostních incidentů

Typické schéma činnosti systému centrální správy bezpečnostních incidentů je uvedeno na obr. 1.

Obr. 1: Příklad řešení systému pro centrální zpracování a analýzu bezpečnostních incidentů

Obecně lze tyto činnosti rozdělit na:

• sběr dat o událostech, tj. potenciálních incidentech z jednotlivých bezpečnostních prvků, systémů (senzorů);
• odstranění duplicit a korekce dat;
• korelace dat a nastavení reakce na problém;
• upozornění na problémy uživatelům (akce, eskalace);
• prezentace.

Sběr dat z různých zdrojů

Systémy pro centrální správu událostí z bezpečnostních systémů umožňují v první řadě sbírat a integrovat data o událostech (incidentech) ze senzorů bezpečnostních prvků, systémů a zařízení i různých výrobců a převádět je na jednotný formát. Liší se jak množstvím podporovaných dohlížených zařízení a technologií, tak úrovní jejich podpory. Základní podmínkou správné funkce systému je sběr dat z dostatečného množství zdrojů.

Data z jednotlivých prvků/zařízení jsou buď přímo nebo prostřednictvím specializovaných "agentů" posílány do centrálního systému. Výrobci zpravidla ke svým technologiím dodávají "agenty", kteří umožňují sběr a odeslání informací na centrální stanici. U prvků a systémů, které neumožňují implementaci specializovaných agentů (například směrovače), se využívá zpracování standardních výstupů z těchto zařízení - syslog, SNMP.

Odstranění duplicit a korekce dat

Centrální systém poté, co jsou do něj nasměrována data z různých zdrojů, umožňuje odstranit duplicity zpráv a tím zásadně snižovat obrovské množství dat, která jsou dále zpracovávána. V této fázi lze odfiltrovat také velké množství tzv. falešných útoků, které jsou pro administrátory vlastně největší překážkou efektivní práce s daty o útocích.

Odstranění duplicit je v oblasti systémů pro zpracování bezpečnostních alarmů největší přínos. Bezpečnostní prvky a sondy generují množství informací, které se týkají potenciálních problémů, ohrožení. Problém při zpracování je právě generované množství informací, kdy jeden potenciální útok je zachycen několik systémy, které začnou generovat alarmy. Typicky se jedná o útok, kteerý se snaží zjistit aktivní porty na jednotlivých prvcích v síti. Tento jeden útok generuje množství alarmů od firewallů, IDS systémů (sítových i na operačních systémech).

Aplikace pro centrální zpracování umožňují vypořádat se s tímto problémem a snížit množství falešných poplachů.

Korelace dat

Tato část je nejdůležitější částí nastavení centrálního systému. Korelace dat umožňuje nastavení takové závislostí jednotlivých událostí, jejichž současný výskyt může znamenat bezpečnostní incident (útok).

Lze nastavit různé pohledy, např. z pohledu statistických informací, jako je počet útoků na službu v daném časovém období. Dále centrální systémy umožňují nastavování vlastních korelačních pravidel.

Korelace dat umožňuje nastavení i sdružení dat o napadení zachyceném na firewalu, síťovém IDS a následně na Host IDS centrálního systému. V této chvíli je zřetelně vidět útok, který v případě správy jednotlivých systému separátními aplikacemi není možné podchytit.

Upozornění na problémy (akce, předání informace)

Nedílnou součástí centrálního systému musí být možnost provádět specifické akce a předávání informací.

Příkladem akcí je:

• předání informace o útoku do nadřízených dohledových systémů (např. do HP OpenView, Tivoli, Micromuse Netcool);
• zaslání informace na pager/e-mail administrátora (eskalace na lidskou obsluhu);
• předání informace do HelpDesk systému (např. Remedy, HP OpenView ServiceDesk);
• provedení specializovaných akcí (např. ukončení spojení na firewall).

Prezentace, reporty

Součástí centrálních systémů je samozřejmě i prezentace statistik jak na technické, tak manažerské úrovni.

Ze získaných dat je možné vytvářet reporty a grafy o skutečně provedených útocích, které byly vedeny jak z vnějšku, tak i uvnitř firmy. Díky těmto informacím se pak imaginární bezpečnost se stává hmatatelnější. Kolik útoků bylo provedeno na náš informační systém? Kolik skončilo na firewallech? Kolik zablokoval systém IDS? Dostal se nějaký vir do vnitřní sítě? Na tyto a mnohé další otázky dokáže manažer pomocí reportů a grafů nalézt odpověď. Uvedeme proto příklady vhodných řešení.

Systémy pro dohled nad centrálním zpracováním událostí z bezpečnostních systémů

Pro konkrétnější objasnění možností zpracování událostí z různých bezpečnostních systémů jsme si vybrali aplikace, které jsou v portfoliu firmy Cisco. Tato společnost, známá spíše v oblasti síťové infrastruktury, ovšem do svého portfolia zařazuje aplikace dalších výrobců, aby pokryla důležité oblasti IT.

Mezi Cisco produkty tak v oblasti aplikací pro zpracování bezpečnostních incidentů můžeme nalézt dvě aplikace patřící dle Gartner group [1] mezi leadery a "vyzyvatele". Jedná se o aplikace firmy Micromuse ("vyzyvatel") a netForensics (leader).

Netcool for Security Management

Velmi často se můžeme v prostředí České republiky setkávat s produkty CiscoInfoCenter, které jsou OEM verzí produktů Netcool. To platí i o produktu Netcool for Security Manager (NfSM), jenž se v Cisco terminologii jmenuje CiscoInfoCenter for Security Manager (CIC fSM) a je typickým představitelem systému pro centrální správu bezpečnostních událostí.

netForensics

Dalším příkladem řešení centrálního zpracování bezpečnostních je produkt společnosti netForensics zvaný nFX Open Security Platform (nFX OSP). Rovněž tento produkt lze nalézt v portfoliu firmy Cisco Systems, a to pod názvem CiscoWorks Security Information Management Solution (SIMS).

Sběr dat

Netcool for Security Management

Systém NfSM podporuje přímo několik bezpečnostních systémů. Jde především o systémy Firewall 1 firmy CheckPoint, PIX firmy Cisco, dále IDS systémy Cisco a ISS. Informace z uvedených systémů jsou získávány instalací agentů - tzv. Probe. Mimo specializované Probe NfSM umožňuje sběr a integraci dat rovněž z libovolné aplikace, která zabezpečuje sběr bezpečnostních alarmů. Jedná se možnost napojení obecné Probe, která je schopna data číst na libovolném TCP portu, z libovolné databáze i log souboru.

Aplikace NfSM umožňuje získávat informace o bezpečnostních incidentech i sběrem SNMP trapů (periodicky posílaných hlášení) a Syslog zpráv.

Agenti NfSM (Probe) provádí klasifikaci informací získaných z jednotlivých systémů. Systém na základě pravidel provede převedení do Netcool události s možností zachování původní informace. Pravidla na Probe umožňují nastavování a definování příchozích událostí. Jednou z důležitých oblastí je příprava události pro odstranění duplicit. Události stejného typu mají na základě pravidel přiřazenu stejnou identifikaci (identifier).

Pravidla jsou pro jednotlivé systémy přednastavená tak, aby umožnila efektivní vyhodnocení centrálním systémem a následné zpracování událostí. Pravidla je samozřejmě možné dále měnit a doplňovat.

netForensics

Systém nFX OSP podporuje množství bezpečnostních systémů různých výrobců a různé technologie, především firewally, IDS, antiviry, operační systémy, web servery, VPN koncentrátory. Mimo specializované agenty pro dané technologie a typy zařízení výrobců umožňuje implementaci univerzálního agenta a taktéž sběr informací pomocí SNMP, syslog zpráv. Oproti NfSM podporuje aplikace nFX OSP větší množství zařízení a výrobců.

Stejně jako u NfSC agenti zajišťují základní klasifikaci a agregaci informací. nFX OSP zásadním způsobem redukuje počet typů událostí. Jednotlivé typy událostí jsou mapovány, je jim přiřazen identifikátor - ID. Použité technologie a způsob mapování postavené na XML umožňuje definovat necelých 100 ID pro více jak 20 000 typů informací ze zařízení monitorujících komunikaci v rámci síťové infrastruktury.

Odstranění duplicit, klasifikace dat

Odstranění duplicit se výrazně projevuje především pro události, které informují o zjištění dostupných portů na serverech (port scan), ping sweep.

Netcool for Security Management

Příchozí zprávy na centrálním systému jsou dále zpracovávány.

Po příchodu událostí do systému NfSM jsou duplicitní události na základě nastaveného identifikátoru zobrazeny pod jednou událostí - je na ně pohlíženo jako na shodnou událost s větším počtem výskytů.

netForensics

Systém příchozí události rozděluje do devíti kategorií dle typu události (DOS, Virus, System atd.).

Systém provádí odstranění duplicit obdobně jako u systému NfSC. Systém podporuje odstranění stejných duplicitních zpráv i z různých zdrojů, např. více IDS.

Korelace dat

Další krok vyhodnocování události je korelace.

Netcool for Security Management

Klasifikace událostí je prováděna vlastní aplikací s využitím externích zdrojů. Modul NfSM je přes modul Impact propojen s databází útoků, s databází instalovaných systémů.

Při klasifikaci události se vychází z databází typů útoků, zranitelností systémů a informací o zařízeních. Pro jednotlivé události je provedeno vyhodnocení a "ocenění" dané události. Nastavení závažnosti události vychází z odhadu rizika z hlediska spravované části informačního systému. Při stanovení důležitosti události a její "hodnoty nebezpečnosti" se vychází z informací o počtu útoků stejného typu, závažnosti útoku a dopadu útoku na systémy. Dopad útoku na systémy je stanoven na základě porovnání informace s údaji z databáze zranitelností o systému, proti kterému je útok veden (databázový server, přístupový server, aktivní prvek, desktop PC atd.).

Pro příchozí zprávy jsou na základě pravidel sdružovány informace podobného charakteru do korelačních tabulek. Typické nastavené korelace jsou podle zdrojové a cílové IP adresy, korelace podle typu zařízení, podle jednotlivých zranitelností. Korelace umožňují odhalit, z kterých adres jsou vedeny útoky (i v případě, že se jedná o různé druhy útoků) a které systémy jsou cílem útoků.

netForensics

Pro správnou korelaci systém požaduje vytvoření databází používaných systémů a zařízení. V případě, že zákazník má databázi jednotlivých systémů, je velmi výhodné provázat tyto informace s aplikací netForensics.

Pro jednotlivá zařízení a jejich skupiny je nastavena jejich důležitost z hlediska funkce systému.

Korelace jsou vytvářeny na základě dvou principů:

• statistické korelace;
• korelace na základě pravidel.

V rámci statistických korelací je ohodnoceny události na základě závažnosti útoku a rizika. Jsou vytvořeny pohledy na základě rozšířenosti (popularitě) útoků na systém (např. vyšší rozšíření útoků na MS IIS než na Apache web server). Následně jsou vytvořeny korelační tabulky dle typů útoků, zdroje útoků a cílů.

Korelace na základě pravidel jsou založeny na sekvenci událostí, které systém zpracovává. Na obrázku 2 je zobrazen postup nastavení korelace pro příchozí informace v případě neúspěšného přihlášení.

Obr. 2: Způsob nastavení korelace pro příchozí informace v případě neúspěšného přihlášení.

Na obrázku je uveden příklad korelace, kdy je generována zpráva v případě, že v rozmezí 10 minut (600 sec) bylo 3x provedeno neúspěšné přihlášení. Závažnost zprávy vychází z informace o systému, na který se někdo snaží přihlásit. Pokud je provedeno neúspěšné přihlášení na server, jedná se o závažný problém, pravděpodobný únik. Pokud je informace od PC uživatele, jedná se pravděpodobně o zapomenutí hesla uživatelem.

V prvním případě je potřeba analyzovat zdroj, který se chce k serveru přihlásit, a zdroj odstranit (odfiltrovat, zamezit komunikaci z tohoto zdroje). V případě hlášení z PC např. kontaktovat uživatele a změnit mu heslo.

Upozornění na problémy (akce, předání informací)

Netcool for Security Management

Systém dokáže upozornit administrátory na potencionální problémy. Umožňuje nastavení prahových hodnot, při jejichž překročení systém informuje o potenciálním ohrožení. Tyto informace jsou svázány jak s informacemi o počtu útoků a jejich důležitosti, tak s informací o jejich cíli; mohou být také přímo svázány s informacemi o dopadu na chod společnosti. Útoky s nízkou prioritou (s nízkým ohodnocením) mohou být po určité době v systému potlačeny a přesunuty do historické reportovací části.

Systém podporuje předávání informací do dalších dohledových systémů a propojení s HelpDesk systémy. Mimo komunikace s uvedenými systémy lze předávat informace o problémech přímo uživateli formou elektronické zprávy, SMS nebo informací na pager. Systém rovněž umožňuje rekonfiguraci bezpečnostních prvků na základě automatické akce, na základě nastavení parametrů pro jednotlivé události nebo na základě požadavku generovaného administrátorem. Veškeré tyto akce jsou ale velmi "choulostivé", a proto se tento typ akce nedoporučuje provádět automaticky, ale jako akci potvrzenou/vyvolanou operátorem.

netForensics

Administrátoři a operátoři jsou systémem informováni o závažných incidentech a znalostní báze umožňuje rychlejší reakci a řešení problémů. Systém umožňuje automatické vyhodnocování událostí a nastavení procesů pro práci s událostmi. Události je možné předávat dále do dalších dohledových systémů pomocí SNMP trapů, propojení s HelpDesk systémy, předávání informací formou elektronické zprávy, SMS nebo na pager.

Prezentace, reporty

Netcool for Security Management

Systém NfSC umožňuje přehledné nastavení zobrazení pohledů na aktuální stav jednotlivých sledovaných bezpečnostních systémů. Jde jak o přehledové informace, tak o detailní zobrazení jednotlivých událostí včetně zobrazení důležitosti a celkového skóre pro dané události, viz obr. 3.

Data z centrálního serveru jsou ukládána do speciální databáze určené pro reporty. Jsou zde předdefinované celé sady reportů, které například informují uživatele o souhrnech útoků z jednotlivých adres či o útocích na jednotlivé systémy, viz příklady na obr. 4.

netForensics

Podobně jako systém NfSC i nFX OSP umožňuje přehledné zobrazení pohledů na aktuální stav jednotlivých sledovaných bezpečnostních systémů, vydání souhrnné informace i detailní informace o jednotlivých událostech, viz obr.5.

Mimo zobrazení aktuálního stavu systém poskytuje reporty. Ty je možné automaticky generovat podle připraveného scénáře anebo lze vytvářet své vlastní reporty, které zobrazí požadované informace o útocích. Reporty umožňují informovat o trendech, např. nárůstech útoků na určitý typ zařízení. Na obr. 6 je příklad takového reportu.

Shrnutí

Obrovské množství událostí, jež jsou generovány jednotlivými bezpečnostními systémy, prakticky znemožňuje jednoduché třídění a analýzu alarmů. Proto jsou systémy pro centrální řešení bezpečnostních incidentů pro bezpečnostní administrátory jediným řešením, jak efektivně spravovat a dohlížet zabezpečení informačního systému.

Centrální systémy řeší problematiku díky klasifikaci jednotlivých alarmů a tímto způsobem upozorňují administrátory a operátory na případné útoky. Incidenty jsou schopny klasifikovat a díky tomu nabízet způsoby reakce na incidenty. Administrátoři a operátoři jsou pak na ně schopni reagovat s využitím automatické reakce, případně mohou podle předem připravených procedur provést ochranu zdrojů před útočníkem.

Jednotlivé systémy centrální správy se liší podporou technologií a zařízení různých výrobců i způsobem klasifikace útoků a prezentace dat. Výběr vhodného systému závisí na prostředí, ve kterém bude nasazen, a na potřebách administrátorů a operátorů. Při nasazení takového systému je ovšem nezbytné zabezpečit jeho provozní využití a nastavit procesy, které jsou spojené s řešením bezpečnostních incidentů. Odměnou vám bude, že se dozvíte, jakým útokům je váš informační systém vystaven a jak ho máte zabezpečen.

Použité zdroje

[1] Magic Quadrant for IT Security Management, 1H04, Gartner Research - March 2004, http://www.gartner.com
[2] http://support.micromuse.com/chan/technical/suite/nfsm.html
[3] http://www.cisco.com/en/US/partner/products/sw/cscowork/ps5209/index.html