Автоматизированные экспертные системы - очень просто об очень сложном. Часть 1

 
 5

Опубликовано: 18 марта 16:13

 

Всем привет! 

Сегодня бы хотелось поговорить об относительно новом явлении на рынке информационной безопасности – автоматизированных экспертных системах. В цикле статей, специально для читателей моего блога в интернет-магазине Техно-Инвест я расскажу о том, что такое автоматизированные экспертные системы, об основных игроках и продуктах на этом рынке и о том, зачем такая система может понадобиться IT-сотруднику, ответственному за информационную безопасность его предприятия.

Первый статью я постарался сделать максимально простой, чтобы было понятно  большинству читателей. В ней я расскажу о то, что вообще такое – SIEM.

Сразу начну с примера. Представьте себе распределенную по территории России компанию, с сетью, тысяч на пять устройств. Пусть там будут и сервера, и рабочие станции, мобильные устройства и много чего еще. И пусть за этим все у нас следит высококвалифицированный IT-отдел в центральном офисе и множество подотделов на местах, в которых работают произвольное количество сотрудников совершенно разной квалификации, чаще всего явно недостаточной. Далее, предположим, что внутри этой сети у нас циркулирует большое количество информации, разной степени секретности, важности и критичности. Доступ посторонних лиц к этой информации чреват прямыми убытками, потерей репутации и вообще категорически недопустим. При этом, в рамках нашей сети с этой информацией у нас работает громадное количество совершенно неквалифицированных пользователей, среди которых попадаются откровенные саботажники или просто идиоты.

А теперь представьте что вы IT-директор этой компании и отвечаете за весь этот цирк или вы начальник отдела информационной безопасности и боретесь по мере сил за то чтобы обеспечить эту самую безопасность, не щадя живота своего.

Какие у вас есть инструменты для этого? Ну, понятное дело, у вас везде подняты антивирусные решения, при этом на разных участках сети от разных производителей (обычный в таких случаях бардак), стоят межсетевые экраны, прокси-сервера, возможно даже системы обнаружения предотвращения вторжений, различного рода DLP-системы.

И вам нужно за всем этим многообразием как-то уследить. Предотвратить проникновения извне и изнутри среди бесчисленного количества срабатываний (скорее всего ложных), минимизировать возможные убытки да еще иметь возможность отмазываться от требований гос.регуляторов по поводу соблюдения закона «О персональных данных», плюс иметь возможность отчитаться за свою работу перед руководством, желательно в понятном тому виде. А если всё-таки инцидент имел место быть – перерыть кучу журналов в различных системах с целью выявить какие-либо аномалии или найти события, которые могли бы относиться к делу.

Тут-то вам на помощь и приходит автоматизированная экспертная система.

Итак, системы управления событиями и инцидентами информационной безопасности (это, кстати, более точный перевод термина SIEM – security information and event management) – что же это такое? Ну, очевидно, что это система, которая позволяет управлять всеми событиями и инцидентами собственно информационной же безопасности (капитан Очевидность всегда спешит на помощь). Тут важно договориться о терминологии, что мы сразу и сделаем – событие – это когда произошло что-то заметное в рамках вашей сети, а инцидент – когда за это заметное с кого-то могут снять премию, голову или вообще оштрафовать и уволить. Что мы считаем заметным в рамках нашей сети? Да всё что угодно, всё, что кажется существенным непосредственно нас. Аутентификация пользователей, ошибки этой самой аутентификации, вообще любые программные ошибки любого программного обеспечения, обращение к оборудованию, всякое, что может произойти в недрах операционной системы или сервера.

Мы выбрали, что из этого для нас представляет интерес, и начали собирать оттуда журналы. Дальше мы начинаем работать с этими логами в режиме реального времени. Естественно, не собственноручно. Для этого мы пишем правила нормализации – LML-rules. Нужны они для того, чтобы из просто текста (коим является журнал в «сыром вид» - raw log), вытащить определенные, важные для нас значения, классифицировать их и положить в нужную табличку. Например, ip-адрес источника и назначения, путь к файлу и т.д. Когда мы собрали много разной информации и «расфасовали» её по полочкам (мухи отдельно – котлеты отдельно) – с этими данными можно творить чудесные вещи: помимо того, что сами по себе они уже являются готовой базой для проведения расследований инцидентов (т.н. forensic-а), мы можем ещё их и анализировать (опять же – на лету!). Производится такой анализ с помощью правил корреляции (по сути – сопоставление различных значений по определенным критериям). Данные правила, опять же могут содержать всё что угодно. К сетевой карте одного из ПК в сети пошло большое количество обращений, пользователь пять раз неправильно ввёл пароль при входе в систему, произошел отказ какой-то подсистемы или оборудования и оно не отзывается (на самом деле список этот безграничен, равно как и открывающиеся возможности для корреляции). Правилами можно описать почти всё что угодно. На основе этих правил также может быть реализована реакция на выявленный инцидент, ну, к примеру – сразу извещается ответственный сотрудник, или блокируется доступ или т.д. и т.п.

Собственно, вот эта модель, когда собираются журналы, анализируются на основании заранее заданных правил и автоматически принимаются какие-то решения – и есть простейший пример автоматизированной экспертной системы.

В следующей статье (в эту пятницу) – примеры таких систем на российском рынке, подробный рассказ о том, как это работает и примеры успешного применения таких систем в условиях приближенных к «боевым».


 

Комментарии


Kaedon (гость)
22 июня 7:30
 
Great common sense here. Wish I'd thuhogt of that. http://ntuqcge.com [url=http://nvevpgw.com]nvevpgw[/url] [link=http://oepxtsdm.com]oepxtsdm[/link]

Pebbles (гость)
21 июня 10:26
 
It's impeiatrve that more people make this exact point.

Kaedn (гость)
21 июня 3:59
 
I have exactly what info I want. Check, please. Wait, it's free? Aweemos! http://ctrfodhafta.com [url=http://pkuiwz.com]pkuiwz[/url] [link=http://wnwxkqu.com]wnwxkqu[/link]

Grizzly (гость)
19 июня 18:25
 
I found just what I was needed, and it was eniaiterntng!

Trix (гость)
19 июня 11:20
 
Footprint Friday, Sunday School, Motivation Monday, Sweet Sharing Monday, Scratch Cookin Tuesdays, Party Wave Wednesday Digg Diggvar dd_offset_from_content = 40; var dd_s_poofftet_from_content = 0;

Оставьте сообщение

Имя:

Комментарий:


Техно-Инвест разработка - продажа - внедрение ВАШ ВЕРНЫЙ ШАГ

+7 (495) 518-50-49

Закажи обратный звонок!
Узнай все о товаре!
Сделай заказ!
Получи скидку или подарок!
 
 
Корзина пуста