Выявление инцидентов информационной безопасности с помощью MaxPatrol SIEM

Возможности сканирования с настройкой времени и частоты запуска. Сканирование сетевых узлов по выборкеВозможность автоматического анализа результатов сканирования. Выдача рекомендаций по восстановлению и настройке процесса поиска уязвимостей.В системе имеются возможности автоматической пересылки отчетов ответственным специалистам при обнаружении уязвимостей, с указанием уровня их опасности, формирования отчетности по расписанию, включая отчеты по устранению уязвимостей. Возможность создания отчетности с поддержкой сортировки по видам уязвимостей или хостам, создание аналитического отчетапо результатам поиска уязвимостей и состоянию защищенности сети. Поддерживается множество форматов отчетов, включая:встроенные (XML), PDF, CSV и HTML. Возможна настройка рассылки уведомлений об отправке отчета, о получении или обновлении состояния защищенности сети.Функционал системы MaxPatrolвключает [2]:Комплекс превентивных мероприятий, включающих:систему управления активами — в систему встроен набор сканеров сетевых узлов и модулей для решения задач инвентаризации и проведения аудита различных систем;модуль управления уязвимостями, включающий встроенную базу знаний PT KnowledgeBase (далее PT KB), в которую вносится информация об уязвимостях с открытых баз данных (например, база данных CVE), сторонних вендоров ИБ (Kaspersky, Group-IB) и из собственной базы данных уязвимостей;Посредством сканера безопасностиMaxPatrol SIEM возможна организация полного цикла работы с данными о событиях информационной безопасности, что предполагает следующие этапы: - Сбор данных о событиях в информационной системе от различных внешних источников. В стандартном комплекте поставки MaxPatrol SIEM поддерживаются следующие форматы и протоколы: Syslog, посредством которого осуществляется пассивный сбор событий по протоколу Syslog; WindowsEventLog, в который входит информация о событиях WindowsEventlog; WindowsFilelog, в который входят данные о событиях из файлов MicrosoftWindows; Windows WMI log, в котором содержатся данные о событиях WindowsEventlog через WMI; системы NetFlow, в которой осуществляется пассивный сбор данных о событиях по протоколу NetFlow; ODBC Log, содержащий информацию о событиях, связанных с доступом к СУБД; SSH FileLog — данные о событиях из файлов по протоколу SSH; CheckPoint LEA — сбор данных от устройств CheckPoint по протоколу OPSEC; SNMP Traps — пассивный сбор данных по протоколу SNMP. При сборе информации из файлов поддерживается разбор простых текстовых файлов, форматов JSON, TABULAR и WindowsEventLog. Несмотря на относительно небольшой, по сравнению с конкурентами, набор готовых коннекторов к целевым системам «из коробки», специалисты PositiveTechnologies при проведении пилотных проектов и внедрений готовы реализовать поддержку любых источников данных, используемых заказчиком, в рамках технической поддержки. Нормализация событий для приведения их к общему стандарту и подготовке к дальнейшей обработке. Каждое событие безопасности проходит через специальную формулу нормализации и преобразовывается в структурированный объект. У объектов событий есть обязательные параметры — дата/время, идентификатор, актив (объект), к которому относится событие, тип действия и статус. Заполнение дополнительных параметров проводится в зависимости от характера события, связанного с системой информационной безопасности. Имеется возможность редактирования формул нормализации. Сервис фильтрации событий предполагает возможности удаления лишних событий, не имеющих отношения к информационной безопасности. Сервис агрегации предполагает возможности удаления и объединения повторяющихся событий для сокращения объемов хранения данных. Сервис корреляции предполагает проведение анализа взаимосвязей между различными событиями по определенным правилам с автоматическим созданием данных об инцидентах при срабатывании правил. Хранение — ведение архива событий и срезов состояний наблюдаемых систем для проведения глубокого анализа и расследования возможных инцидентов безопасности.Таким образом, с помощью системыMaxPatrolвозможно проведениесканирования всей корпоративной IT-инфраструктуры, включающей сетевое оборудование, сервера на платформахLinux и Windows, и рабочие станции с установленнымипрограммными продуктами.С помощью системы MaxPatrol 8 возможно проведение инвентаризации, технического аудита и контроля соответствия и изменений в информационных системах. ВсистемеMaxPatrol 8 реализована система отчётности, в которой отображается информация о найденных уязвимостях информационной системы. В системе MaxPatrol 8 не используются агентыдля сканирования, что позволяет упростить задачу развертывания ПО. Серверная часть приложения включает:- систему управления;- базу знаний, содержащуюданные о проведенных проверках, обнаруженных уязвимостях и стандартах;- базу данных, в которой содержатся данные об истории сканирования;- программные модули сканирования системы.На рисунке 2 приведен режим запуска сканирования. Рисунок 2 – Режим запуска сканированияВ сканере предусматривается наличие нескольких предустановленных профилей. Запуск задачи сканирования сети возможен по расписанию, возможно его применение на отдельных группах серверов или рабочих станций. Это позволяет работать с гранулированными политиками, в задачах которых будут только те сервисы, которые применимы к определенному сетевому узлу. Это позволяет грамотно выделять ресурсы для сканирования.На рисунке 3 приведен режим запуска сканирования. Рисунок 3 – Режим запуска сканированияНа рисунке 4 приведен результат сканирования сети.Рисунок 4 – Режим сканирования сетиУстранение обнаруженных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).ЗаключениеВ рамках данной работы проведен анализ технологий выявления инцидентов информационной безопасности, рассмотрены теоретическиеосновы проведенияпоиска уязвимостей,рассмотрены теоретические аспекты проведения аудита системы информационной безопасности. Также показано, что проведение аудита системы информационной безопасностис использованием специализированных программных средств позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению. В теоретический части работы рассмотрены особенности проведения аудита информационной безопасности, проведен обзор функционала программных средств – сканеров безопасности. В практический части работы проведен обзор программных решений в области мониторинга инцидентов информационной безопасности, проанализированы основные задачи, решаемые данными системами, приведены примеры наиболее распространённых программных продуктов данного класса, рассмотрены основные возможности работы с системой анализа уязвимостей MaxPatrolSIEM.Список использованных источниковОрганизациясистемы аудитаинформационной безопасности. [Электронный ресурс]. Режим доступа: http://mirznanii.com/a/19714/organizatsiya-audita-informatsionnoy-bezopasnosti-informatsionnoy-sistemyСканер уязвимостей MaxPatrolSIEM. Описание. [Электронный ресурс]. Режимдоступа: https://www.ptsecurity.com/ru-ru/products/mpsiem/Сканирование уязвимостей в ИТ-инфраструктуре. Обзор программных продуктов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/reviews/tenable-analysis-security-corporate-infrastructureСравнение программных продуктов – сканеров уязвимостей. [Электронный ресурс]. Режим доступа: https://www.tiger-optics.ru/resources/tenable-sc-maxpatrol/?yclid=1913900678926858974Лопатин Д. В. Программно-аппаратная защита информации: учебное пособие / Лопатин Д. В. - Тамбов: ТГУ, 2014. – 254с.Никифоров С. Н. Защита информации : учебное пособие / С.Н. Никифоров. - Санкт-Петербург :СПбГАСУ, 2017. – 76с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 cНикифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 129Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сСафонов В.О. Основы современных операционных систем [Электронный ресурс]: учебное пособие / В.О. Сафонов. - Москва: Интернет-Университет Информационных Технологий (ИНТУИТ), 2016. - 826 cБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cСеменов А.Б. Проектирование и расчет структурированных кабельных систем и их компонентов [Электронный ресурс]: монография / А.Б. Семенов. - Саратов: Профобразование, 2017. - 416 c Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 544 c.