Оглавление
Высоко сижу, далеко гляжу.
Не садись на пенек,
Не ешь пирожок.
(“Машенька и медведь», русская народная сказка)
Автор: Максим Ефремов, заместитель генерального директора по информационной безопасности компании “ИТ-Экспертиза”
Основная функция систем мониторинга заложена уже в самом их названии. Мониторинг – наблюдение, слежение. ФСТЭК России применительно к проблеме обеспечения безопасности информации адаптирует это понятие следующим образом: мониторинг информационной безопасности в информационных системах – процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений, угроз безопасности информации и уязвимостей в информационных системах. Наблюдать будем именно за ИС, в которых реализуются системы безопасности информации. Информационные системы невозможны без человека, следовательно, наблюдать будем в том числе и за действиями людей в этих ИС. А кому понравится, когда следят? То есть встает вопрос законности применения систем мониторинга: не нарушает ли такое наблюдение прав человека?
Правовой аспект
Прежде всего, нужно понимать, что системы мониторинга – это не DLP-системы (Data Leak Prevention). Или, как говорят в Одессе, это две большие разницы. DLP-системы контролируют наличие защищаемой информации либо на основе анализа формальных признаков (например грифа документа, специально введенных меток, сравнением хэш-функции), либо прямым анализом контента сообщения. То есть, простыми словами, такие системы просматривают сообщения, а это уже может затронуть частную жизнь сотрудников. Поэтому DLP требуют особо тщательной регламентации их применения, но сейчас речь не о них.
В отличие от DLP, системы мониторинга осуществляют регулярное наблюдение за какими-либо процессами, но при этом не затрагивают сам контент. Соответственно, влезть в чужую частную жизнь они не могут. Хотя компоненты любой информационной системы могут располагаться как внутри локальной сети, так и дистанционно, например, удаленные АРМ. В первом случае все ясно – моя сеть предназначена только для решения служебных задач, и я сам могу устанавливать правила ее использования и мониторинга. А вот с удаленкой сложнее: здесь могут возникнуть вопросы «А почему вы следите за моим личным компьютером? Почему вас интересует, какие программы на нем установлены?». На эти вопросы тоже есть ответ.
Трудовой кодекс Российской Федерации обязывает работодателя обеспечивать дистанционного работника необходимыми для выполнения им трудовой функции оборудованием, программно-техническими средствами, средствами защиты информации и иными средствами [1]. Правда, дистанционный работник вправе с согласия или ведома работодателя и в его интересах использовать для выполнения трудовой функции принадлежащее работнику или арендованное им оборудование. Здесь ключевая фраза – «с согласия или ведома работодателя», так как ТК РФ обязывает работодателя выплачивать работнику компенсацию за использование принадлежащего ему или арендованное им оборудование [2].
Рабочий компьютер, впрочем, как и личный, используемый для исполнения трудовых функций, является активом, принадлежащим работодателю, и он вправе требовать выполнения определенных правил его использования. Ну и не будем забывать о праве и обязанности работодателя вести учет времени, фактически отработанного каждым работником, в том числе и на удаленке [3]. В этом случае нужен механизм, позволяющий зафиксировать, как долго человек работал (именно работал, а не играл на компьютере) в течение установленного рабочего времени. А это как раз прямая функция систем мониторинга.
Следовательно, если сотрудник работает удаленно на своем компьютере, это не освобождает его от соблюдения трудовой дисциплины и установленных локальными актами работодателя правил использования информационных ресурсов. При этом работодатель имеет право определить, какое программное обеспечение и оборудование должен использовать работник на своем компьютере, а работник имеет право за это получить компенсацию.
Между тем, используя программу мониторинга, всегда остается риск получения доступа к личным данным своих работников, о которых знать не следует. Чтобы этого избежать, необходимо объяснить каждому сотруднику, как работает программа мониторинга, какие данные собирает и что нежелательно делать на рабочем компьютере. При этом очень важно проявлять тактичность и деликатность, так как слишком навязчивый контроль демотивирует работника, истощает его силы постоянным стрессом и ощущением слежки, что в результате негативно влияет на производительность труда. Поэтому демонстрировать свою информированность работнику можно только в исключительных случаях.
В остальное время достаточно автоматических уведомлений о нарушениях, которые не создают ощущения «стеклянного колпака» и не вызывают у человека лишнего раздражения. Практика показывает, что чем менее заметно наблюдение работодателя за работником, тем лучше для всех участников этого процесса. Работник должен знать, что контроль есть, но не ощущать его на практике.
О системах мониторинга
Сейчас на рынке вендоры и интеграторы предлагают различные системы для мониторинга. Разобраться в этом сонме не просто; требуется определенная квалификация, чтобы не запутаться и выбрать то, что надо.
Немного философии
Есть понятие априорного и апостериорного знания. Смысл латинского выражения «априори» означает знание, полученное не из опыта, а изначально имеющееся в сознании. В буквальном переводе – «из предшествующего». В противоположность этому понятие «апостериори» означает «из последующего»; то есть это знание, полученное благодаря опыту. Философы считают: то, что получено благодаря опыту, – это случайно и временно, так как опыт постоянно меняется, и нередко бывает так, что прежний опыт полностью опровергается новым. То есть апостериорное знание, если оно не опирается на априорное, не имеет какого-либо существенного значения.
Перейдем к мониторингу
Если управляющее воздействие на систему формируется на основе уже свершившегося события (на основе опыта), то такой мониторинг, по всей вероятности, будет являться апостериорным мониторингом. Если же управляющее воздействие на систему формируется на основе расхождения между существующими и заранее определенными параметрами контроля (изначально имеющимися), то это будет априорный мониторинг. Поэтому можно выделить два типа систем мониторинга.
Системы мониторинга событий безопасности, то есть системы апостериорного мониторинга.
Системы мониторинга установленных функций, влияющих на безопасность информации, то есть системы априорного мониторинга.
Системы первого типа обеспечивают анализ событий безопасности в реальном времени, исходящих от сетевых устройств и приложений. Они обеспечивают:
сбор и анализ данных об и инцидентах безопасности;
сбор и анализ подозрительных событий безопасности;
сбор и анализ вирусной активности;
выявление несанкционированных действий субъектов;
выявление уязвимостей в системе безопасности;
эвристический анализ по выявлению аномалий в сетевом трафике;
обнаружение атак на основе анализа служебной информации.
Здесь требуется возможность корреляции различных событий и принятия на основе такого анализа решения о возможном ущербе для ресурса и бизнеса в целом. Например, система определила, что тот или иной порт открыт, в это время произошел сбой и отключился межсетевой экран, что создает предпосылку к проникновению злоумышленника в сеть для совершения противоправных действий, которые нанесут ущерб бизнесу (атаки).
Как видно, системы мониторинга такого типа требуют обязательного присутствия человека, который берет на себя функции анализа и корреляции событий, пусть и с использованием средств автоматизации процесса анализа, и принимает решение о критичности события и необходимости его устранения. Зачастую это требует разработки целого комплекса так называемых «правил корреляции», на основании которых система и принимает решение. Для разработки таких правил необходимо задействовать специалистов, владеющих не только знаниями о структуре и особенностях собственно информационной системы, но и имеющих определенный аналитический склад ума, позволяющий предвидеть возможные последствия от той или иной комбинации событий. Ну и конечно, набор таких правил индивидуален для каждой информационной системы. Поэтому системы первого типа требуют адаптации под каждую информационную систему и бизнес-задачи компании.
Вот тут-то и открывается безграничное поле для деятельности нейросетей, которые могут обучаться как с помощью заданных человеком алгоритмов, так и на основе прошлого опыта, то есть самостоятельно, используя ранее полученные данные. Правда, и здесь без человека не обойтись: алгоритмы обучения тоже надо комуто писать. Зато такой вид мониторинга позволяет реагировать на нестандартные ситуации, выявлять то, чего раньше не было, искать «бутылочные горлышки», используя специальные алгоритмы поиска проблем.
Часто системы мониторинга такого типа называют SIEM (Security information and event management). Типичный представитель такой системы – это MaxPatrol, имеющий кроме того механизмы тестирования на проникновение, системных проверок и контроля соответствия стандартам.
Системы второго типа тоже работают в реальном времени, но немного по-другому. Они фиксируют отклонения от установленных параметров, влияющих на безопасность информации:
геолокация компьютера и структура информационной сети;
состав программного и аппаратного обеспечения;
параметры настройки операционной системы;
актуальность программного обеспечения;
настройки средств защиты информации;
типы и состав подключенных USB-устройств;
процессы, запущенные в операционной системе;
действия пользователей в информационной системе.
Такие системы похожи на триггер, у них, по сути, два состояния: «да» и «нет». То есть любое отклонение от заранее заданных параметров воспринимается такой системой как нарушение безопасности информации.
Например: ведется мониторинг обновления антивирусной базы. Если программное обеспечение не прошло обновление в установленное время, то это предпосылка к проникновению злоумышленника в сеть и совершению противоправных действий, которые нанесут ущерб бизнесу (атаки). В этом случае, как правило, имеется реальная возможность полностью автоматизировать процесс управления устранением возникших обстоятельств, так как все параметры, а также припуски и допуски, заранее известны. Поэтому особенность таких систем в том, что в случае нарушения установленных параметров они могут выводить из оборота (отключать) элемент информационной системы, в котором произошло отклонение. Кроме этого, полный мониторинг приложений, используемых процессов и коммуникации позволяет обнаруживать и предотвращать скрытые процессы, которые не вписываются в простые сигнатуры или шаблон, и, например, легко обходят классический антивирус.
Ну и, конечно, системы мониторинга такого типа позволяют автоматизировать оповещение о предпосылках наступления инцидентов безопасности. Сами по себе системы второго типа проще, чем первого, не требуют высококвалифицированного персонала и достаточно привлекательны для среднего и малого бизнеса за счет своей практичности, простоты, гибкости и относительной дешевизны. Они могут служить сенсорами (источником информации о событиях безопасности) для систем мониторинга первого типа. Иногда такие системы называют EDR (Endpoint Detection and Response); это приемлемо, но не совсем верно, возможно потому, что в классификации Gartner пока еще нет устоявшегося термина для таких систем. Типичным представителем систем мониторинга такого типа можно назвать комплекс информационной безопасности САКУРА, который инсталлируется на рабочих местах, контролирует состояние их защищенности по заранее заданным правилам и параметрам безопасности информации. При отклонении от этих правил и параметров САКУРА выполняет корректирующие действия, блокируя запуск отдельных программ и процессов и ограничивая доступ к корпоративным терминальным серверам. Для выполнения этого САКУРА использует мощный инструмент взаимодействия с операционной системой как для Windows (PowerShell), так и для UNIX-подобных систем (Bash). Программный комплекс САКУРА обеспечивает инвентаризацию программного и аппаратного обеспечения рабочих мест, фиксацию даты и времени изменения программного и аппаратного обеспечения, времени начала и окончания работы пользователей в используемом программном обеспечении, получение и обработку информации о состоянии их защищенности и сетевых соединениях. Комплекс интегрируется со средствами удаленного доступа: Microsoft RDP, КриптоПро NGate, ИнфоТеКС ViPNet, OpenVPN.
И не только безопасность информации
Системы мониторинга второго типа, контролируя определенные параметры информационной системы в динамике и статике, накапливают огромный объем данных, который может быть интересен не только службам информационной безопасности.
Например, принципы мониторинга, заложенные в программном комплексе САКУРА для контроля состояния обеспечения безопасности информации, вполне можно применить и в смежной области – контроле и учете рабочего времени работника. Это может быть очень полезным для HR-менеджеров при разрешении трудовых споров, связанных с прогулами, опозданиями, нарушением трудового распорядка.
Такой учет полезен и руководителям подразделений при определении размера участия того или иного работника в реализации поставленных задач (гриды, премии) планировании дальнейшей деятельности.
Ну и, конечно же, это будет полезно топ-менеджерам при оценке суммарной задействованности подразделения в общем производственном процессе (время активности за компьютером и в конкретных приложениях, управление KPI).
Система мониторинга, решая задачи обеспечения безопасности информации, отслеживает в том числе состояние рабочего места, установленное на нем программное обеспечение и готовность к работе. А своевременное обнаружение проблем с техническими средствами позволит ИТ-службе правильно спланировать регламентные работы.
Можно найти еще много полезных фишек. Некоторые из них, полученные из анализа возможностей программного комплекса САКУРА, вы найдете в таблице «Функции мониторинга».
Кому какие системы подходят
Выбор класса средств мониторинга зависит от многих факторов: и от стоящих задач, и от технологий ведения бизнеса, и от размера самого бизнеса, и еще много от чего.
Можно предположить, что среднему и малому бизнесу будут больше интересны системы мониторинга второго типа в силу своей простоты обслуживания и возможности превентивного пресечения возможных нарушений, влияющих на безопасность информации. Часть задач, которые решаются исключительно апостериорным мониторингом в этом случае может быть отдана на аутсорсинг специализированным компаниям.
Крупному бизнесу, который может себе позволить содержание полноценного ИБ-подразделения, скорее всего будут интересны системы мониторинга первого типа. Но найдут свое применение и системы мониторинга второго типа. То есть велика вероятность использования комбинированного подхода.
Еще одним потребителем систем мониторинга первого типа, скорее всего, станут специализированные компании, например SOC-центры, оказывающие услуги мониторинга.
Средства защиты постоянно совершенствуются – это прогресс, который идет, в частности, по пути универсализации этих средств. Если раньше мы с легкостью могли идентифицировать то или иное средство защиты по классификации Gartner, то сейчас это не всегда возможно.
С точки зрения ИТ-специалиста, это очень хорошо: нет зоопарка средств, упрощается администрирование – поставил одно средство и сразу решил половину проблем. А с точки зрения ИБ-специалиста – наоборот: злоумышленник, преодолев один рубеж, поняв логику и алгоритм защиты, может применить свои познания для преодоления второго и третьего рубежей.
Зачастую, особенно для SMB-сегмента, практичнее воспользоваться специализированным инструментом, а не универсальным. Так и в нашем случае целесообразнее использовать средство, “заточенное” под конкретные задачи и позволяющее изолировать себя от остальных средств защиты. При этом изоляция не означает отсутствие взаимодействия. Взаимодействие важно и нужно.
О мониторинге и оценке рисков
В завершение немного об оценке рисков информационной безопасности.
– Может ли система мониторинга оценить риски информационной безопасности?
– Нет!
– Можно ли использовать данные, полученные в ходе мониторинга, для оценки рисков информационной безопасности?
– Да!
– Почему?
– Потому что оценка риска – это процесс идентификации, анализа и оценки приемлемости уровня риска [4]. При этом определяется вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и пр. Системы мониторинга с этим не справятся, хотя они, конечно, смогут помочь в идентификации рисков. А работу с инцидентами информационной безопасности успешно могут делать системы мониторинга первого типа, так как идентификация риска – это процесс обнаружения, распознавания и описания рисков. Кроме того, при идентификации риска необходимо провести идентификацию источников риска, событий и их причин, а также их возможных последствий, а это как раз то, чем занимаются при разработке правил корреляции. Получается, что правила корреляции тесно связаны именно с рисками информационной безопасности и бизнес-задачами компании.
Трудовой кодекс Российской Федерации, ст. 312.6 / Особенности организации труда дистанционных работников
Там же
Трудовой кодекс Российской Федерации, ст. 91 / Понятие рабочего времени. Нормальная продолжительность рабочего времени
ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
ITSec_articles