|
Традиционно мониторинг событий, касающихся информационной безопасности информационной инфраструктуры, ведется практически с каждого устройства сети. То есть на серверах и сетевых устройствах имеет собственный журнал регистрации событий, реализована функция обнаружения аномального поведения, подачи сигналов тревоги, реакции на угрозы, а также анализа различных нарушений. Как следствие отсутствует связь между событиями на разных сетевых устройствах, администратор системы вынужден анализировать большие объемы информации, поступающие из разных источников в различном виде и формате.
К чему ведет такая ситуация? Администраторы, ограниченные во времени и ресурсах, не всегда могут адекватно реагировать на сигналы тревоги, не имеют возможности воспринять всю поступающую информацию и сформировать единую отчетность. В то же время очевидно, что сегодня крайне важно иметь полную картину происходящего внутри сети и оперативно реагировать на возникающие угрозы.
Одним из эффективных инструментов решения обозначенных проблем может стать программно-аппаратный комплекс CS-MARS (Cisco Security Monitoring Analysis and Response System). Каким образом организуется его работа? Условно можно выделить 4 этапа:
1. Сбор данных внутри сетевой инфраструктуры
Комплекс Cisco MARS собирает информацию о событиях внутри сети, анализируя топологию сети и конфигурацию маршрутизаторов, коммутаторов и межсетевых экранов, а также собственно сетевой трафик. На основе проведенного анализа формируется топологическая схема сети с подробной информацией о конфигурации каждого устройства и действующих политиках безопасности.
Данные о событиях, регистрируемых в информационной инфраструктуре, собираются со следующих устройств:
-
сетевые устройства (маршрутизаторы и коммутаторы и т.д.);
-
устройства и приложения, обеспечивающие защиту (межсетевые экраны, системы обнаружения вторжений, сканеры уязвимостей и антивирусные программы и т.д.);
-
главные узлы (серверы под управлением Windows, Solaris и Linux и т.д.);
-
приложения (базы данных, Web-серверы и серверы аутентификации и т.д.);
-
программы обработки сетевого трафика (Cisco NetFlow и т.д.).
Программно-аппаратный комплекс позволяет работать с программным и аппаратным обеспечением различных производителей. В случае отсутствия оборудования, входящего в сетевую инфраструктуру, в списке поддерживаемого оборудования возможно написать самостоятельно необходимые алгоритмы анализа событий специально для этого устройства.
2. Корреляция и Анализ данных
Собранные данные упорядочиваются в соответствии с построенной схемой топологии, конфигурациями обнаруженных комплексом устройств, а также сходными типами атак. Информация о похожих атаках объединяется и представляется в виде одного инцидента в режиме реального времени. Системные и пользовательские правила корреляции одновременно применяются к множеству групп событий для определения типа нарушения. Cisco MARS имеет предустановленный набор заданных правил корреляции, регулярно обновляемый специалистами компании Cisco Systems. Можно утверждать, что таким образом удается определить большинство комбинированных и неизвестных атак, а также червей.
Функция корреляции событий на основе контекста обеспечивает сокращение объема необработанных данных о событиях безопасности, позволяет назначить приоритеты ответных действий и достичь максимальной результативности системы.
3. Визуализация и устранение нарушений
В ходе очередного этапа Cisco MARS предоставляет администратору сети через графический интерфейс пользователя обновляемую в режиме реального времени топологическую схему сети, отображающую «горячие точки», нарушения, пути атак и данные проведенного анализа с полным описанием нарушений. Таким образом, обеспечивается немедленное подтверждение наличия угрозы и уровня ее опасности.
Анализ осуществляется технологией Cisco SureVector, которая обрабатывает аналогичные группы событий, определяет степень фактической опасности угроз или эффективность принятых мер по их отражению. Для этого анализируется весь путь атаки вплоть до MAC-адреса конечного узла.
Технология автоматического отражения атак Cisco Auto Mitigate определяет расположенные на пути атаки доступные устройства защиты и автоматически генерирует необходимые команды, которые пользователь может выполнить для отражения атаки. Использование комплекса перечисленных технологий позволяет оперативно и безошибочно определить и сдержать атаку.
4. Создание отчетов
Программно-аппаратный комплекс Cisco MARS предоставляет простой в использовании механизм анализа и таким образом значительно упрощает традиционный процесс защиты сети за счет автоматизации определения, анализа распространения, оповещения и комментирования событий безопасности для ежедневных операций и специальных проверок. Все данные о работе устройств сети и атаках на них могут быть сохранены и использованы для последующего анализа.
Кроме того Cisco MARS позволяет сформировать стандартные отчеты, используемые для удовлетворения эксплуатационных требований и позволяющие обеспечить соответствие нормативным документам, включая положения закона Сарбейнса-Оксли (Sarbanes-Oxley), акт Грэмма-Лича-Блили (Gramm-Leach Bliley Act, GLBA), акт Health Insurance Portability and Accountability Act (HIPAA), акт Federal Information Security Management Act (FISMA) США, а также европейское соглашение Revised Basel Capital Framework (Basel II).
Генератор отчетов имеет простой и наглядный интерфейс и позволяет использовать более 80 стандартных отчетов, создавать групповые отчеты или создавать новые отчеты по планированию действий и ликвидации последствий, нарушениям и сетевой активности, защищенности и проверке, а также ведомственные отчеты в текстовом, графическом и общем формате.
О характеристиках конкретных моделей Cisco MARS читайте в разделе «Продукты». |
