Руководствуясь принципом “Предупрежден — значит защищен”, корпорация Symantec (www.symantec.com) разработала модель безопасности, состоящую из нескольких компонентов и включающую комплекс мер, которые способны помочь компаниям подготовиться к ожидаемым интернет-атакам и защититься от них. В первую очередь следует организовать раннее оповещение клиентов, чтобы те успели принять необходимые действия до того, как угроза нанесет ущерб их бизнесу.
 Джим Харт (слева) и Алан Осборн демонстрируют работу центра UK SOC |
Во-вторых, и это самое главное, нужно защитить предприятие. Для этого требуется набор средств безопасности на всех уровнях корпоративной сети, что позволит предохранить информационную инфраструктуру, в то же время избежав простоев в работе и снижения производительности. В-третьих, необходимо быстро реагировать на появление угроз, что включает постоянную готовность к атаке и концентрацию усилий на её предотвращении. И наконец, надо обеспечить управление этой обширной средой безопасности путем эффективного использования технологий, данных и персонала. При этом оптимальный уровень защиты компании достигается только в том случае, когда принимаются во внимание все четыре компонента безопасности.
Подобная модель, как считают специалисты Symantec, имеет сходство с системой защиты от природных катаклизмов — тайфунов, землетрясений, наводнений и т. д. Именно такая система использовалась, например, при защите от урагана “Катрина” в американском штате Флорида в 2005 г. Вначале на основании данных наблюдения за приближающимися бурями служба метеопрогноза разослала предупреждение о надвигающемся стихийном бедствии, после чего была проведена экстренная защита домов и предприятий и организована эвакуация жителей. Полученный в ходе решения этой кризисной ситуации опыт помог выработать комплекс мер, которые позволят в дальнейшем предотвращать аналогичные события или сводить к минимуму их последствия.
В целях реализации этой модели Symantec создала разветвленную сеть центров Security Operations Centers (SOC), расположенных по всему миру и круглосуточно предоставляющих услуги по обеспечению безопасности информации. Мы посетили один из таких центров — UK SOC, он находится в Великобритании и ведет свою деятельность в регионе EMEA.
В UK SOC трудится команда из 25 человек, которая разбита на две работающие посменно функциональные группы: инженеры и аналитики. Инженерная группа поддерживает функционирование систем предупреждения о глобальных угрозах и раннего оповещения, которые обеспечивают рассылку своевременных всесторонних уведомлений о надвигающихся компьютерных атаках по всему миру. Эти уведомления предлагают также эффективные решения и контрмеры для противодействия таким угрозам.
Группа аналитиков проводит анализ событий в области безопасности, которые происходят в системах клиентов, в целях выявления чего-либо необычного. Основная задача здесь — мониторинг таких событий и их предупреждение. Одни события бывают чисто локальными, не приводящими к каким-либо серьезным последствиям, другие же, наоборот, служат серьезным предупреждением о глобальной угрозе. При этом некоторые из поступающих данных — “фальшиво положительные”, т. е. по всем признакам представляют собой атаку, хотя на самом деле таковой не являются. При отслеживании событий в системе специалисты сопоставляют их, выясняя, есть ли похожие, а также изучают их взаимодействие друг с другом. Это позволяет понять, единая ли у них природа и из какого источникa они возникли. На основе связи между несколькими отдельными событиями аналитики выявляют те или иные тенденции в области безопасности. Естественно, что чем больше информации будут иметь в своем распоряжении специалисты, тем более точные и достоверные выводы они смогут сделать.
Сбор и анализ данных
Работа центра UK SOC, по словам Алана Осборна, старшего менеджера и руководителя инженерной группы EMEA, происходит следующим образом. Все записи событий и сигналы, выдаваемые разнообразными средствами безопасности, имеющимися у клиента, с помощью компактных удаленных агентов, встроенных в эти средства, передаются по каналу SSL во входные устройства SOC. Там с использованием архитектуры Symanteс SOC Technology Platform полученная информация проверяется, обрабатывается и вводится в реляционную базу данных, где хранятся записи регистрации событий и сигналы. Объем такой базы в UK SOC составляет около 50 ТБ.
После этого начинается процесс добычи информации, в ходе которого применяется специальный механизм, реализованный в базе данных Symantec для каждого клиента и непрерывно считывающий нормализованные данные безопасности со скоростью несколько тысяч операций в минуту. Такой механизм позволяет обнаруживать случаи потенциально вредоносной деятельности и их характер. В настоящее время процесс добычи данных включает тысячи запросов по анализу трафика, выявлению аномальной деятельности и проверке сигнатур проникновения, а также сотни проверок состояния.
Установление корреляции событий, по мнению главного аналитика EMEA Джима Харта, представляет собой наиболее важную часть архитектуры Symanteс SOC Technology Platform. Полученные в ходе этого процесса новые подсобытия безопасности (т. е. отдельные признаки вредоносной деятельности) сортируются в таблицу подсобытий для дальнейшего анализа. Через регулярные интервалы времени механизм Event Correlation Engine по множеству параметров сравнивает отдельные подсобытия, и те из них, между которыми найдена связь, проверяются и исследуются аналитиками с помощью программы Analyst Response Console. На основании этой информации определяются характер угроз и степень серьезности каждого события.
 Модель безопасности Symantec |
Работа с клиентами
Как считает Алан Осборн, большую роль в противодействии возникающим угрозам играет личный контакт. Каждый клиент, заключив соглашение с UK SOC, получает доступ к службе MSS (Management Security Services), которая на основании собранных по всему миру сведений ведет постоянный мониторинг и оперативный анализ данных о безопасности. За счет этого обеспечивается быстрое реагирование на инциденты и тем самым удается сократить ущерб, наносимый корпоративным системам информационной безопасности, или вовсе избежать его. Служба MSS осуществляет круглосуточную техническую поддержку клиентов, используя три способа предупреждения их об угрозе. Во-первых, это автоматические уведомления, создаваемые путем преобразования текстовой информации в речевые сигналы. Они позволяют быстро, в пределах 15 мин, оповестить о возникающих угрозах всех пользователей, включенных в базу данных определенного клиента, а также передать сообщение об угрозе на все зарегистрированные точки контакта (point-of-contact, POC). Во-вторых, это уведомления, рассылаемые по электронной почте. Такие сообщения содержат ссылки на Web-портал, где имеется более подробная информация. И наконец, это публикация материалов на Web-портале. Там содержатся анализ возникающих угроз, выполненный службой Symantec Security Response, а также рекомендации по противодействию атакам.
Как показывает практика UK SOC, к услугам MSS клиенты обращаются в основном в течение первых трех месяцев после заключения договора с компанией Symantec. За это время они накапливают достаточный объем информации о событиях в области безопасности, который может использоваться в центре SOC для дальнейшего анализа. В результате в следующий период (от четырех до семи месяцев) количество критических угроз для одного клиента падает до 30% (если за 100% считать их объём в самом начале сотрудничества).
На настоящий момент UK SOC обслуживает около 6 тыс. устройств у 600 клиентов, представляющих очень широкий спектр отраслей. Самые крупные работают в нефтегазовой индустрии, много их и в финансовом секторе. Интересно отметить, что все имеющиеся сегодня у центра клиенты относятся к частному сектору. Что же касается государственных структур, то они только начинают проявлять интерес к обеспечению безопасности своих данных, и лишь небольшая часть из них ведет переговоры на предмет комплексных услуг MSS.
Особенно уязвимы, по мнению специалистов UK SOС, те системы, которые имеют наибольшее количество подключенных пользователей, а также кабельный Интернет — это как раз то, что в настоящее время сильно развито в Англии и США. Данные технологии так же быстро развиваются на Тайване, во Франции и Южной Корее. Сегодня одной из самых незащищенных стран является Китай, поскольку там, несмотря на широкое распространение Интернета, очень плохо обстоит дело с обновлениями ПО, при том что это страна, где весьма активно действуют хакеры.
Главные трудности
Одна из серьёзных проблем, возникающих при решении задачи защиты от кибератак, состоит в том, что средства безопасности генерируют огромное количество сложных и трудных для управления данных. Так, один сетевой экран в интенсивно работающей сети может создавать 1000 Мб данных регистрации в час, что составляет 23,4 ГБ в сутки, или 164 ГБ в неделю. А одна система обнаружения атак IDS (Intrusion Detection System) может подавать 1500 сигналов в час (36 тыс. в сутки, или 252 тыс. в неделю). Поэтому чем крупнее организация и чем больше средств безопасности она использует, тем значительней объем информации, который приходится обрабатывать.
Другая проблема обеспечения безопасности связана с непредсказуемостью частоты и конечного эффекта инцидентов и атак. Это создает неравномерность в работе по обеспечению безопасности, так как объем требуемых ресурсов и знаний, а также сроков их задействования постоянно меняется. Поэтому для сохранения эффективного уровня защиты необходимо осуществлять надлежащее управление как в течение пиков, так и во время спадов подобных инцидентов и атак. Обычно штат организаций рассчитан на определенный базовый уровень деятельности, так что во время авралов, связанных с безопасностью, численность специалистов в этой области становится недостаточной и часть ресурсов бросают на борьбу с угрозами. Особую сложность представляют смешанные угрозы, имеющие множество средств распространения, возможно, через многие типы устройств. В таких случаях рост интенсивности атак может начаться с одного уровня, а затем проходить несколько стадий в период расширения. Всё это приводит к незапланированным расходам и значительно снижает скорость реагирования на инциденты.
Средства раннего предупреждения
Алан Осборн рассказал, что для защиты информационных ресурсов клиентов UK SOC использует два основных средства раннего предупреждения Symantec: службу DeepSight Alert Services и систему DeepSight Threat Management System.
Первое из них обеспечивает своевременную, заблаговременную рассылку предупреждений о надвигающихся атаках, производит полный и надежный анализ угроз и оценку риска, поддерживающих процесс принятия решений. Помимо этого служба DeepSight Alert Services предлагает действенные контрмеры по отражению атак, которые помогают администраторам укрепить уязвимые места и заблаговременно защитить корпоративные системы от вредоносного кода еще до попытки нанесения ущерба.
Следует отметить, что полная персонификация этой службы дает клиентам возможность получать только те оповещения, которые значимы для их компаний. Способы доставки оповещений включают электронную почту, факс, SMS и телефон; допускается также выбор степени подробности оповещения. Таким образом обеспечиваются беспрепятственный доступ к информации и ускоренная доставка данных о потенциальной атаке.
Второе средство, DeepSight Threat Management System, осуществляет глобальное слежение за угрозами в области интернет-безопасности, обеспечивая раннее предупреждение об атаках. Функции настройки уведомлений и наличие инструментов экспертного анализа в системе помогает компаниям определять очередность использования ИТ-ресурсов, улучшая тем самым защиту важнейших информационных активов от атак. А благодаря автоматической передаче уведомлений с заданными приоритетами система позволяет классифицировать данные по времени, странам, отраслям и другим критериям.
Поддержку обоих средств осуществляет Symantec Security Response — организация, занимающаяся исследованиями и обслуживанием пользователей в сфере интернет-безопасности.
 Так выглядит “здание” лондонского центра SOC с автострады |
Английский центр безопасности UK SOC находится примерно в часе езды из Лондона. Надо сказать, что если вы не знаете его точное местоположение, то легко проедете мимо, не обратив внимания на ничем не примечательный, поросший кустарником холм недалеко от дороги. Когда же вы свернете с автострады, вам, пожалуй, очень пригодятся познания и сноровка, которыми обладает Джеймс Бонд. Дело в том, что инструкция, которая должна помочь вам добраться до места, выдержана в стиле лучших традиций секретной службы Её Величества. Так, один из её пунктов гласит: “На углу у светофора рядом с почтой поверните налево. Езжайте по этой дороге примерно 180 м и справа увидите большое дерево, у которого надо повернуть направо на проселочную дорогу. Если вы вдруг доехали до старой водокачки, значит, вы пропустили нужное дерево и надо вернуться обратно”.
Успешно справившись с этой задачей, вы доберетесь до небольшой автостоянки, располагающейся на вершине того самого холма, который можно было увидеть с автострады. Стоянка кажется практически пустой — на ней находится не более десятка машин. Вниз по склону идет узкая деревянная лестница, которая заканчивается перед массивной металлической дверью, ведущей внутрь холма. Ни вывески, ни какой-либо таблички с названием... Единственное, что указывает на то, что это место обитаемо, — кнопка звонка рядом с дверью и камера видеонаблюдения.
 Главный вход в центр UK SOC |
