СЕТЕВОЕ МОДЕЛИРОВАНИЕ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ КОРРЕЛЯЦИИ СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Е. В. Корчагина, Н. А. Андреева, А. С. Бутов

Воронежский институт ФСИН России

Для корректного функционирования системы корреляции событий информационной безопасностивыполняется формирование сетевой модели. В сетевой модели определяются характеристики информационной среды, в которой функционируют защищаемые узлы. Общая структура сетевой модели приведена на рисунке 1.

Структура сетевой модели системы корреляции событий информационной безопасности

Рис. 1. Структура сетевой модели системы корреляции событий информационной безопасности

Компонентами сетевой модели системы являются:

  • - Субъекты (Customers) - компании или какие-либо структурные единицы предприятия, владеющие или обслуживающие сети;
  • - Сети (Networks) - объект, служащий для отделения одного частного пространства IP-адресов, содержащего зоны, от другого;
  • - Зоны (Zones) - непрерывный диапазон адресов, представляющий собой IP- подсеть, которой принадлежат активы или диапазоны активов;
  • - Диапазон активов (AssetRange) - непрерывный диапазон адресов активов, объединенных в группу по какому-либо признаку;
  • - Активы (Assets) - какой-либо хост в сети;
  • - Категории (Categories) - группа объектов (активов, диапазонов активов или зон), объединенных по какому-либо признаку;
  • - Расположения (Locations) - географическое расположение, к которому могут быть отнесены сети, зоны, активы и их группы;
  • - Уязвимости (Vulnerabilities) - атрибут, назначаемый активу, говорящий о выявленной на нем уязвимости.

Для поддержки процессов, которые обеспечат функционирование ИСБ, система предоставляет возможность создания следующих дополнительных объектов:

  • а) Для управления инцидентами:
    • 1) Инциденты (Cases) - объекты, содержащие в себе информацию об инциденте ИБ и используемые для автоматизации процесса расследования подобных ситуаций. Инциденты могут быть созданы автоматически присрабатывании правил корреляции;
    • 2) Файлы (Files) - объекты, предоставляющие возможность загрузить в систему файлы, которые при необходимости можно ассоциировать с инцидентами, в качестве атрибута;
    • 3) Оповещения (Destinations) - объекты, содержащие параметры оповещения. Оповещение может выполняться средствами Console, электронной почты и т. д;
    • 4) Этапы (Stages) - объекты, представляющие собой стадии исследования подозрительного события. Совокупность этапов представляет собой весь процесс исследования события ответственными за каждую стадию. Данный процесс заканчивается определением того, содержит данное событие признаки злонамеренной активности или нет;
  • б) Для построения отчетности:
    • 1) Запросы (Queries) - объекты, содержащие параметры запроса к БД системы с целью получить записи с событиями, пользователями, списками, активами и т. д. Запросы могут быть использованы для построения отчетов, для визуализации запросов, для вычисления трендов и т. д.;
    • 2) Шаблоны (Templates) - макеты отчетов, для создания и редактирования которых предусмотрен встроенный редактор ReportDesigner;
    • 3) Тренды (Trends) - объекты, позволяющие выполнять какой-либо запрос по расписанию, сохранять результаты, сравнивать их и тем самым отслеживать изменения в результатах этого запроса во времени;
    • 4) Отчеты (Reports) - объекты, объединяющие шаблон и данные, а также определяющие расписание выполнения и формат вывода отчета. В качестве источника данных для отчета могут выступать запросы, тренды и списки;
    • 5) Архивы (Archives) - объекты, содержащие сохраненные и выполненные по расписанию отчеты;
  • в) Для вычислений и временного хранения различных данных:
    • 1) Переменные (Variables) - данные объекты предоставляют возможность выполнения различных операций с полями событий или другими переменными. В качестве операций доступны арифметические операции, операции над строками, над IP-адресами и т. д. Переменные могут быть глобальными (доступными при построении всех объектов) и локальными (доступными при построении одного объекта);
    • 2) Активные списки (ActiveLists) - таблицы, заполнение или удаление записей в которых может происходить как вручную, так и автоматически при срабатывании правил. Данные объекты полезны для автоматизации однотипных задач, таких как отслеживание количества подключений с одного IP-адреса или списка последних источников атак.

Содержимое списков может использоваться для построения других объектов (например, правил или фильтров);

  • 3) Списки сессий (SessionLists) - объекты, сходные с активными списками, но предназначенные для хранения информации о чем-либо, обладающем границами во времени. Примером может служить хранение информации о VPN-сессиях, для каждой из которых необходимо записать момент ее начала и окончания;
  • г) Для интеграции со сторонними системами:
    • 1) Команды интеграции (IntegrationCommands) - объекты, использование которых позволяет автоматизировать взаимодействие системы со сторонним ПО (например, вызов какого-либо скрипта), web-ресурсами (например, автоматический поиск в сети Интернет) или коннекторами системы (например, перезапуск коннектора). В качестве параметров команд могут быть использованы какие-либо поля записи о событии или личные параметры интеграции пользователя;
    • 2) Системы интеграции (Targets) - объекты, содержащие параметры какой-либо сторонней системы (например, IP-адрес целевого web-сервера или имя учетной записи). Данные объекты могут использовать параметры только для интеграции с web-ресурсами;
    • 3) Комбинации (Configurations) - объекты, позволяющие объединять сходные команды интеграции или сходные системы интеграции.

Пользователь при использовании этого объекта получит возможность выбора нужной команды и целевой системы, на которой ее требуется исполнить;

  • д) Для взаимодействия с ИСБ:
    • 1) Статьи (KnowledgeBaseArticles) - объекты, содержащие URI и обладающие возможностью ассоциации с большим количеством объектов системы, в частности с уязвимостями, что позволяет пользователю оперативно получить дополнительную информацию об интересующем его объекте;
    • 2) Пользователи (Users) - учетные записи пользователей системы.

Пользователи Moiyr быть объединены в группы. Модель предоставляет возможность

разграничения доступа к каждому из контейнеров, содержащих объекты, путем настройки ACL и определения его владельца. Дополнительно для каждого пользователя можно определить индивидуальные параметры интеграции.

Построение сетевой модели в автоматизированной системе корреляции событий ИБ центра агрегации событий осуществляется согласно следующему порядку (при создании компонентов сетевой модели выполняется ассоциирование компонентов согласно существующей структуре сети):

создаются группы (сетевые зоны):

/AllZones/UIS/< Город >/.

создаются подсети (в описанной выше зоне), соответствующие каждой локальной сети учреждений УИС и всех подразделений, именуемые согласно шаблону:

УИС <Город > - <Первый IP-адрес в подсети>-<Последний IP-адрес в подсети>. объектам назначается категория вида:

/AllAssetCategories/UIS/Название подразделения.

Разработка контентаосуществляется для следующих ресурсов сервера управления автоматизированной системе корреляции событий ИБ центра агрегации событий:

  • 1. Правила корреляции;
  • 2. Статические и динамические справочники;
  • 3. Панели мониторинга и графические представления;
  • 4. Отчеты и выгрузка событий.

При построении модели поведенческий анализ реализован при помощи PatternDiscovery. Поискпаттернов - процедура, предоставляющая возможность выделить из общей массы событий повторяющиеся последовательности (паттерны), что позволяет автоматически обнаруживать аномальную активность без наличия предварительных знаний о ней (при условии ее повторения).

ЛИТЕРАТУРА

  • 1. Удалов В. П. Принципы построения модели надежности интегрированной системы безопасности / В. П. Удалов // Вестник Воронежского института ФСИН России. - 2015. - № 2. - С. 60-65.
  • 2. Гизатуллин М. Г. Некоторые аспекты, связанные с моделированием сетей передачи данных / М. Г. Гизатуллин // Вестник Воронежского института ФСИН России. - 2015. - № 3. - С. 36-44.

УДК 681.3

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >