С каждым днем растет сложность и количество различных угроз информационной безопасности. Соответственно увеличивается и число систем, призванных защитить бизнес от этих угроз. У 99% крупных компаний функционирует межсетевой экран, антивирусное решение и система обнаружения вторжения — это сегодня необходимый минимум. Кроме того, в сети работают базы данных, операционные системы и программное обеспечение собственной разработки. Все эти подсистемы генерируют регистрационные журналы и различные события. А если компания имеет несколько филиалов или удаленных офисов, то поток данных от информационных подсистем увеличивается в десятки раз!


Рис. Интерфейс webпортала системы управления и мониторинга CA eTrust SCC
Рис. Интерфейс webпортала системы управления и мониторинга CA eTrust SCC
В итоге администраторы получают сотни тысяч сообщений от множества разнообразных подсистем каждый день. Функционирование каждой из подсистем в отдельности критично для бизнеса в целом, поэтому специалисты вынуждены анализировать весь этот поток информации. Выделить важные сообщения становится всё сложнее, и в результате ценность отдельных решений для обеспечения безопасности стремится к нулю, а время восстановления информационной системы после сбоев катастрофически растет.

Классификация систем

Для решения описанной выше проблемы существуют системы централизованного управления и мониторинга информационной безопасности. Их назначение — сбор событий от наблюдаемых подсистем, фильтрация низкоприоритетных событий, корреляция событий поступающих различных подсистем и предоставление информации группе администраторов в удобном виде. Ещё одна важная задача — предоставление интерфейса для администрирования подсистем.

Системы централизованного управления и мониторинга можно условно поделить на два больших класса: специализированные под продукты одного производителя и имеющие возможность работать с продуктами третьих фирм. Ярким примером специализированных систем является набор ПО от Cisco Systems “Cisco Works”. Особенность этих систем — глубокая интеграция с поддерживаемым оборудованием и ПО, при полном игнорировании систем от других производителей.

Ко второму классу относятся системы, одинаково хорошо работающие с широким набором продуктов третьих производителей. В данном случае, подход диаметрально противоположный. Поддерживается множество целевых систем от различных разработчиков, хотя, конечно, говорить о глубокой степени интеграции не приходится. Зато у таких систем зачастую имеется собственный SDK (Software Development Kit), позволяющий обеспечить поддержку узкоспециализированных или разработанных самостоятельно программных комплексов.

В общем, правило выбора того или иного типа системы централизованного управления и мониторинга информационной безопасности понятно: если у вас гомогенная инфраструктура и нет необходимости контролировать системы от различных производителей, ваш выбор — специализированная система управления и мониторинга от основного производителя. Если же у вас, в силу тех или иных причин, имеется “зоопарк” различных систем, либо же вам необходимо контролировать кроме специализированных продуктов и весь комплекс операционных систем или баз данных — ваш выбор системы управления и мониторинга с открытым интерфейсом.

В этой статье будет рассмотрена типичная система управления широким спектром продуктов на примере ПО eTrust Secure Command Center (eTrust SCC) компании Computer Associates.

Преимущества использования

Рассмотрим основные преимущества, предоставляемые этой системой централизованного управления и мониторинга информационной безопасности:

Централизация средств контроля и управления

Компании, имеющие большое количество филиалов, сталкиваются с проблемой квалифицированных кадров на удаленных площадках. С одной стороны, содержать грамотного администратора в каждом офисе экономически неоправданно, с другой стороны, управление и контроль всех систем от разных производителей без специализированного решения невозможно. eTrust SCC предоставляет возможность группе квалифицированных администраторов в центральном офисе наблюдать полную картину по всем информационным системам во всех офисах компании и производить необходимые изменения в целевых системах из единого web-интерфейса портала.

Внедрение ролевого принципа администрирования

Ролевое администрирование позволяет реализовать модель разделения полномочий и ответственности между группами администраторов и менеджеров. Так администратор межсетевых экранов, регистрируясь на портале системы управления может получить доступ к управлению межсетевыми экранами, к журналам систем обнаружения вторжений и антивирусной системы, но не получит доступа к интерфейсу управления базами данных. В то же время, офицер безопасности может иметь доступ к журналам регистрации событий всех систем, но не иметь возможности производить их конфигурирование.

Отображение состояния безопасности о всей организации

Отображение состояния контролируемых систем можно выводить на карту территории или схематический план офиса, что позволяет быстро локализовать источник проблем и блокировать распространение угроз (например, вирусных эпидемий).

Возможность углубленного анализа инцидентов

Система управления и мониторинга позволяет произвести анализ возникновения инцидента, продвигаясь по дереву объектов и систем вплоть до уровня сервисов и отдельных событий. Так, если на схеме один из объектов изменил своё состояние с нормального на критичное, администратор может, разворачивая дерево объектов, локализовать источник проблемы и предпринять требуемые действия для восстановления нормальной ситуации.

Уменьшение объема трафика, передаваемого от контролируемой системы к серверу управления и мониторинга

При возникновении определенного инцидента различные системы могут генерировать сообщения, фактически описывающие одно и то же событие. Правила обработки сообщений позволяют избежать дублирования передаваемой информации, отсеять события, имеющие незначительный приоритет и произвести корреляцию сообщений от различных систем. Таким образом, на уровень системы управления и мониторинга поступает единственное сообщение, описывающее инцидент целиком. Эта функция позволяет избежать необходимости передачи больших объемов журналов регистрации для их ручного анализа в центральном офисе.

Возможность интеграции с произвольными системами

Большинство крупных компаний вынуждены использовать приложения, адаптированные или полностью разработанные с учетом специфики их бизнеса. Как правило, эти приложения имеют нестандартные интерфейсы и собственные форматы журналов регистрации событий. Для централизованного мониторинга и управления такими системами возможна разработка специализированных компонент при помощи имеющегося набора средств для разработки ПО (SDK).

Защищенное централизованное хранилище журналов наблюдаемых систем

Анализ произошедших за определенный период времени событий полезен не только для расследования инцидентов, но и для планирования будущего развития информационной системы компании. Так, большое количество записей в NT Event Log об ошибках доступа к массиву жестких дисков на сервере с базой данных могут служить сигналом к замене устройств, а частые вирусные эпидемии могут свидетельствовать о необходимости внедрения другой антивирусной системы.

eTrust Secure Command Center

Система управления и мониторинга имеет трехуровневую архитектуру, в которую входят:

сервер управления и web-портал для предоставления консоли управления администратора;
база данных для хранения информации;
клиентские компоненты и коллекторы.

Рассмотрим все компоненты по порядку.

Сервер управления и web-портал

Интерфейс управления представляет собой web-портал, внешний вид и функциональность которого настраивается администратором портала в соответствии с правами пользователя. Так, к примеру, топ-менеджеру вполне достаточно обеспечить доступ к информации об общем состоянии целевых систем, где данные представлены в виде карты, и к отчетам общего характера, отображающим динамику различных параметров. Внешний вид интерфейса управления представлен на рис.

Удобство web-портала в качестве основы для интерфейса управления заметно при первой же регистрации пользователя. Если администратор межсетевых экранов регистрируется на портале, он сразу же попадает в своё окружение, и его экран может представлять собой карту региона со схематическим отображением филиалов. Если значок филиала имеет зеленый цвет — значит, замечаний к работе межсетевых экранов нет. Если желтый — значит, в межсетевом экране филиала произошло событие, имеющее не очень большой приоритет. Если же значок красный — значит, подсистема экранирования требует немедленного внимания.

Оценив общую ситуацию, администратор имеет возможность произвести более глубокий анализ систем, работающих в ненормальном режиме. Двойной щелчок на значке приводит к попаданию в окно, предоставляющее доступ к расширенной информации о целевой системе. Информация может быть представлена в виде дерева, продвигаясь по которому администратор может добраться до источника тревоги, вызвавшего изменение состояния контролируемой системы. После локализации источника тревоги непосредственно из портала администратор может получить доступ на управление целевой системой. Это может быть доступ к web-интерфейсу, доступ к командной строке или терминальная сессия — в зависимости от типа интерфейса, предоставляемого целевой системой.

Таким образом, попадая на портал, администратор способен в считанные секунды локализовать наиболее проблемные точки, произвести углубленный анализ причин возникновения внештатной ситуации и получить доступ к управлению целевой системой непосредственно из консоли управления.

Кроме того, интерфейс в виде web-портала удобен тем, что консоль администратора доступна на любом компьютере, имеющем IP-соединение с сервером управления и мониторинга. Для обеспечения безопасности в eTrust SCC используются сертификаты, а соединение устанавливается по протоколу SSL.

База данных

В качестве базы данных для хранения информации eTrust SCC использует MS SQL. Архитектура системы управления позволяет размещать базу данных как на одном сервере, вместе с ПО web-портала, так и на отдельных серверах, в том числе в кластерной конфигурации.

Клиентские модули

Клиентские модули (Product Integration Component, PIK) представляют собой специализированное ПО, устанавливаемое на целевую подсистему. Задачи модуля PIK — обеспечить возможность управления подсистемой из сервера eTrust SCC, контролировать состояние целевой подсистемы в реальном времени, анализировать журналы, транслировать возникающие события на сервер управления, производить фильтрацию и корреляцию событий, а также передавать по запросу сервера управления отчеты, сгенерированные целевой системой.

Заключение

Правильно внедренная система управления и мониторинга информационной безопасностью способна значительно облегчить жизнь администраторов, выполняя за них огромный объем однотипной работы. Важным эффектом внедрения системы является повышение общего уровня информационной безопасности компании, особенно при наличии распределенной сети удаленных подразделений и значительного количества управляемых подсистем, разработанных разными производителями. Кроме того, наличие системы управления и мониторинга является требованием многих международных стандартов в области ИТ, что актуально для компаний, выходящих на международные рынки.