СВІТ IT

nFX SIM One

Сучасні інформаційні системи насичені засобами інформаційної безпеки: антивірусні засоби, міжмережеві екрани, системы виявлення та запобігання вторгненням, системи аналізу захищеності і т.і. Кожен з цих засобів генерує повідомлення про події безпеки та веде журнал аудиту. Деякі події безпеки реєструються одначасно декількома засобами захисту. Наприклад, віруси і троянські програми можуть проявляти активність, яка фіксується не лише антивірусними засобами, але і засобами виявлення вторгнень. Як результат, генерується велика кількість тривожних повідомлень про одну і ту ж саму подію безпеки. Обсяг інформації від засобів захисту може сягати десятків та сотень мегабайт на добу. Певна частина цих повідомлень є результатом помилкового спрацювання систем захисту, деякі з повідомлень неактуальні. Адміністратори великих мереж нездатні проаналізувати увесь безперервний потік повідомлень і своєчасно реагувати на серйозні загрози. До того ж усі засоби захисту мають власні консолі управління, специфічний інтерфейс, що не дозволяє побачити сукупну картину стану безпеки в організації, чи зв’язати між собою дані, отримані від різних засобів. Для підвищення продуктивності праці адміністраторів безпеки необхідно спростити механізми управління подіями безпеки та скоротити обсяги інформації, яка виводиться на консолі.

Програмний продукт nFX SIM One, розроблений компанією netForensics, призначений для роботи в гетерогенному середовищі програмних та апаратних засобів безпеки і реалізує безперервне збирання, обробку і відображення подій безпеки. Система може функціонувати під управлінням операційних систем Windows, Linux або Solaris. Для зберігання даних використовується повнофункціональна СУБД Oracle 9. Система має широкі можливості щодо роботи в розподіленому режимі, підтримує стійкі до відмов конфігурації і реалізована за модульним принципом на основі Java-технологій.

Переваги nFX SIM One:

автоматизує процес збирання, обрабки і аналізу подій безпеки;

відображає поточний стан безпеки комп’ютерних систем шляхом об’єднання різнорідних даних та реєстрації подій від різних джерел;

за необхідності, автоматично протидіє атакам;

скорочує час реагування на можливі спроби порушення безпеки;

знижує кількість помилкових спрацювань системи безпеки;

гнучка конфігурація у випадку зміни складу і апаратно-програмного забезпечення мережі та її топології;

можливість збору інформації з великої кількості різних джерел.

Можливості nFX SIM One:

1. Нормалізація

Нормализація – це процес перетворення повідомлень від апаратних чи програмних засобів у внутрішні повідомлення nFX SIM. Існуючі на сьогоднішній день програмно-апаратні засоби, за відсутності єдиного стандарту, генерують десятки тисяч типів повідомлень. Усі ці повідомлення після нормалізації приводяться до одного із 150 можливих внутрішніх типів (nF Alarm). Кожному з повідомлень присвоюється ступінь пріоритету від 1(самий низький) до 5(самий високий).

2. Фільтрація

За допомогою функцій фільтрації можуть бути відкинуті повідомлення, які не відповідають певним критеріям. Можливі критерії: адреса джерела, або отримувача, порти джерела та отримувача, тип засобу, який надсилає повідомлення, ідентифікатор користувача, тип повідомлення і т.і.

3. Агрегація

Агрегація – це процес групування подій за певними критеріями. При цьому декілька однотипних подій замінюються однієї подією з зазначенням кількості агрегованих однотипних подій. При функціонуванні деяких засобів, наприклад, при скануванні портів, генерується велика кількість подій від різних джерел, хоча в дійсності має місце лише одна подія – сканування. Внаслідок значного зменшення кількості подій після проведення агрегації, суттєво спрощується їх аналіз. Агрегацію можна здійснювати за багатьма параметрами:

засіб, який згенерував повідомлення;

адреса джерела;

адреса отримувача;

порт джерела;

порт отримувача;

зовнішній тип повідомлення;

внутрішній тип повідомлення;

напрямок;

процесс;

ідентифікатор користувача.

Крім параметрів групування, для агрегації можуть бути налаштовані час та критерії порівняння для кожного типу повідомлень.

4. Кореляція

Агрегатовані події підлягають кореляційній обробці. Існують наступні варіанти кореляції даних:
кореляція з даними про операційну систему (Unix-атака направлена на систему з Windows не буде ефективною, тому нею можна знехтувати);
• кореляція атак і уразливостей (атака може нанести шкоду лише у випадку, коли об’єкт має уразливість до такого виду атак);
• аналіз шаблону атаки (дозволяє дійти висновку про застосування певного засобу для атаки);
• порівняння даних (об’єднання однотипних подій на певному інтервалі, наприклад підбір паролів, або об’єднання пов’язаних між собою подій на певному інтервалі часу, наприклад, компрометація вузла і наступна атака з цього вузла).

В nFX SIM One реалізовані два механізми кореляції: статична кореляція і кореляція заснованв на правилах.

Статична кореляція
Статична кореляція – вбудований еврістичний механізм, який дозволяє здійснювати оцінку ризиків виходячи лише з даних, отриманих від засобів мережі - без наперед заданих правил. Адміністратор системи має можливість самостійно задавати індивідуальні параметри ресурсів, пов’язані з аналізом ризиків (значимість, уразливість, доступність для користувачів). В будь-який момент часу може бути згенерований звіт щодо ризиків ресурсів. Причину, з якої ризики приймають певні числові значення можна встановити шляхом генерації пов’язаних деталізованих звітів. Рівень деталізації може сягати інформації про конкретні події інформаційної безпеки.

Корреляція, заснована на правилах
Кореляція, заснована на правилах – механізм виявлення події, яка спричиняє появу наступної характерної послідовності подій. В систему вбудовані ознаки типових атак та існує можливість самостійного доповнення ознак для нових атак. За результатами кореляційного аналізу можуть виводитися наступні повідомлення:

вірогідно вдала атака (об’єкт уразливий);

вірогідно невдала атака (об’єкт неуразливий);

вірогідно невдала атака (блоковані деякі пакети у складі атаки);

вірогідно невдала атака (атака не може нанести шкоду даній операційній системі);

невдала атака (об’єкт блокував атаку);

вплив невідомий (об’єкт не сканувався);

вплив невідомий (операційна система не визначена);

вплив невідомий (уразливість не визначена);

вплив невідомий (кореляція не здійснювалась).

Окрім того, за результатами роботи системи кореляції можна отримати події, які є об’єднанням декількох подій:

атака з вузла, який був компрометований;

розподілена DoS-атака;

невдала спроба доступу до множини вузлів;

доступ до ресурсу з вузла, який був компроментований;

вдала спроба доступу на вузол, який був компроментований;

спроба компрометації вузла, який був просканований;

координована атака;

атака з одного вузла на множину вузлів;

атака через проміжний вузол;

та деякі інші види об’єднання подій.

5. Категоризація

Механізм категоризації приводить кожне внутрішнє повідомлення системи до однієї з категорій:

Категорія	Опис
Virus/Trojan	Повідомлення про можливу наявність вірусних програм чи "троянських коней"
Unknown/Suspicious	Повідомлення про невідому чи дивну активність
System Status/Configuration	Повідомлення про зміну статусу, чи налаштувань пристроїв
Reconnaissance	Повідомлення про розвідувальну діяльність, яка зазвичай здійснюється перед атаками
Denial Of Service	Повідомлення про виявлення атак типу "відмова в обслуговуванні "
Evasion	Повідомлення про спроби приховування діяльності зловмисника (очищення чи внесення змін до системних журналів і т.і.)/TD>
Access/Authentication/Authorization	Повідомлення про спроби доступу до ресурсів, автентифікації, чи авторизації
Application Exploits	Повідомлення про спроби використання уразливостей систем
Policy Violations	Повідомлення про спроби порушення політики безпеки

6. Візуалізація

Після нормалізації, агрегації і кореляції об’єднанні дані в реальному часі відображаються на консолі. Функціональні можливості nFX SIM One дозволяють візуалізувати події безпеки, що мають місце в системі, наприклад, поширення програм-червів.

7. Оповіщення

nFX SIM One оповіщує адміністратора про певні події безпеки, які вимагають його негайного втручання. Оповіщення може здійснюватися наступними способами:

e-mail;

пейджер;

SNMP;

AHD Call Request;

AHD Trouble Ticket.

За допомогою зовнішніх програмних засобів можна створити власні механізми оповіщення. Оповіщення може здійснюватись для кожної події, або при досягненні наперед заданної кількості однотипних подій.

8. Система генерації звітів

Основним результатом роботи системи nFX SIM One є генерація звітів. Звіти можуть складатися за наперед спланованим розкладом, або за запитом користувача. В системі існує 250 готових шаблонів звітів та можливість створювати власні форми звітності. Звіти можна отримати у форматах HTML, CVS, PDF. Усі звіти діляться на дві групи:

Device Independet View, до якої входять звіти про загальний стан безпеки комп’ютерної системи, без зазначення джерел повідомлень;

Vendor Specific View, до якої входять звіти, специфічні для кожного пристрою.

Device Independent View включає наступні підгрупи:

Security (звіти про стан безпеки в комп’ютерній системі - Alarm Category, Device Category);

Risk Management (звіти про ризики активів, загрози і активність порушників);

Utilization (звіти про використання різних ресурсів - FTP Access Summary, Host Access Summary, Mail Access Summary, Network Access Summary, Telnet Access Summary, WEB Access Summary).

Додаткова інформація про nFX SIM One

nFX SIM One datasheet