282
безопасности, соответствующие критериям принадлежности к инциденту
информационной безопасности, отличным от других контекстов;
2)
дерево контекстов - создается иерархия контекстов: контексты
верхнего уровня содержат наиболее общие критерии принадлежности
инцидентам информационной безопасности. За ними идут контексты второго
уровня, которые опираются на отличные от предыдущих, более специфичные
критерии, и так далее.
Структурный анализ.
Основными задачами структурного анализа
являются идентификация происходящих в реальном масштабе времени атаки
и управление состояниями контекстов. Структурный анализ представляет
собой набор операций, выполняемых независимыми модулями над каждым
из контекстов. Каждый модуль активируется специальными сообщениями и
производит анализ, используя стандартизованную семантику.
Успех работы структурного анализа основан на количестве доступных
операторов. При этом в самих контекстах
уже изначально заложены
встроенные операторы, такие как равенство адресам источника и назначения,
а также протоколам и портам транспортного уровня. Эти встроенные
возможности не только повышают количество операторов, но также
производительность структурного анализа.
Символ «!» означает, что данное условие должно иметь место для
активации модуля. В общем случае модуль анализа могут активировать два
типа событий: получение сообщения информационной безопасности и
наступление определенного времени.
После получения сообщения информационной безопасности для
каждого модуля анализа формируется заголовок, содержащий условия,
которые должны иметь место. Заголовок представляет собой набор операций
логическое «ИЛИ»,
связывающих условия, непосредственно оценивающие
инцидент информационной безопасности.
Функциональный и поведенческий анализ.
Дополнительные методы
корреляции используются для определения критичности попыток атак и
оценки того, разрешены ли данные действия в соответствие с политикой
безопасности. К дополнительным методам корреляции относят функцио-
нальный и поведенческий анализ.
Функциональный анализ производится для того, чтобы оценить степень
подверженности системы атаке и общий ущерб от реализации атаки на
заданную целевую систему. После проведения структурного анализа и
получения информации о том, какая атака имела место, делается запрос к
банку данных. Запрос содержит идентификатор атаки и идентификатор хоста
назначения. При получении запроса система
мониторинга информационной
безопасности генерирует ответ, который содержит следующую информацию:
-
критичность инцидента информационной безопасности — некоторое
числовое значение, которое использует качественную шкалу для оценки
важности происходящего инцидента информационной безопасности,
(например, 1 - информативный, 2 - важный, 3 - критичный);
283
-
код закрытия - отправляется в случае, когда необходимо закрыть
контекст;
-
дополнительное сообщение - к контексту добавляется новое
сообщение, которое может активировать дополнительные модули анализа.
Поведенческий анализ имеет своей целью определить, соответствуют ли
различные действия, зафиксированные системой мониторинга информацион-
ной безопасности, политику безопасности. Большинство реализаций поведен-
ческого анализа использует режим обучения: в течение определенного
времени формируется «представление» о том, что является «нормальным»
поведением среды, в которой работает система мониторинга информацион-
ной безопасности. Таким образом, политика безопасности
может задаваться
либо непосредственно администратором, либо распознаваться в процессе
обучения. Поведенческий анализ позволяет контролировать активность
приложений в реальном времени и блокировать любые подозрительные
действия.
Положительная сторона поведенческого анализа состоит в том, что он
предлагает защиту, не опираясь на сигнатуры известных атак. При этом
потенциальный недостаток -это возможность ложных срабатываний, а также
то, что его использование требует тщательной настройки системы и сопря-
жено со значительным увеличением объема работы системных администра-
торов.
Перечисленные выше методы анализа сообщений информационной
безопасности в системе мониторинга информационной
безопасности явля-
ются классическими, поскольку они реализуют методы анализа сообщении
информационной безопасности, используемых в отдельно взятых средств
защиты информации, но применимых к базу данных системы мониторинга
информационной безопасности. Однако поскольку баз данных системы
мониторинга информационной безопасности содержит сообщения от всех
средств защиты информации
организации, получается, что именно потенциал
системы мониторинга информационной безопасности, как глобальной баз
данных организации, остается незадействованным. Отсутствуют методы
анализа, которые бы давали оценку «состоянию здоровья» организации с
точки зрения информационной безопасности и состоянию защищенности ее
бизнес-процессов,а также рассматривали бы систему мониторинга информа-
ционной безопасности как единый банк данных об атаках для создания
межкорпоративного банка данных и распределенного предотвращения атак.
Поскольку база данных системы мониторинга информационной безопас-
ности фактически содержит сведения о состоянии информационной безопас-
ности всей организации в целом, то имеет смысл проводить дополнительные
действия по корреляции сообщений информационной безопасности, такие
как анализ на предмет соответствия соглашение о предоставлении услуг,
анализ выполнения требований нормативных документов организации и
межкорпоративную корреляцию сообщений информационной безопасности.
Do'stlaringiz bilan baham: