Научная деятельность

E-mail Печать PDF

Проблема обеспечения информационной безопасности и работоспособности распределенных гетерогенных ИТ-инфраструктур

Чтобы удовлетворить потребности современного общества по доступу, обработке и обмену информацией, как внутри организации, так и с внешними источниками, создаются  все более сложные ИТ-инфраструктуры с многоуровневой распределенной архитектурой, объединяющей множество разнородных элементов на базе различных информационных, мультимедийных и коммуникационных технологий. С усложнением ИТ-инфраструктур и расширением круга пользователей, особенно за счет подключения к глобальным сетям, возрастает их уязвимость к сбоям в работе программно-аппаратного обеспечения, разрушению данных и программ и компрометации конфиденциальной информации вследствие ошибок эксплуатации или деятельности злоумышленников. При этом нарушения информационной безопасности и работоспособности информационных систем становятся все более чувствительными для организаций и рядовых пользователей.

Проблемы обеспечения информационной безопасности и работоспособности ИТ-инфраструктур взаимосвязаны и требуют комплексного подхода, состоящего в согласованном применении организационных мер и технических средств. Рынок безопасности предлагает широкий спектр продуктов для решения отдельных задач, включающий системы антивирусной защиты, обнаружения и предотвращения вторжений, разграничения доступа, контроля целостности, анализа защищенности и криптографической защиты и пр. Заметим, что создание эффективной системы безопасности на базе предлагаемых разнородных решений – нетривиальная задача, учитывая сложность интеграции и несовершенство существующих механизмов обнаружения инцидентов безопасности. Большинство внедряемых продуктов основаны на правилах и не способны противостоять неизвестным атакам, не могут адаптироваться к динамически изменяющейся сетевой среде и производят много ложных срабатываний. При этом количество генерируемых сигналов об инцидентах так велико, что только диагностика явлений занимает от 60 до 90% времени администраторов безопасности.

Можно выделить несколько основных недостатков существующих решений:

  • обнаружение только известных злоупотреблений и типов атак;
  • зависимость от полноты и частоты обновлений базы правил (сигнатур);
  • неумение выявлять новые виды угроз (zero-day);
  • большое количество тревожных сигналов;
  • сложность локализации источника проблемы и реализации ответных мер;
  • применение примитивных математических моделей анализа, неадекватных решаемой задаче;
  • отсутствие единой платформы и сложность интеграции.

Системы анализа поведения сетей (Network Behavior Analysis, NBA)

По мнению экспертов (например, Gartner) системы анализа поведения сетей могут заполнить пробел, оставленный решениями на основе политик и сигнатур и системами управления событиями безопасности (SIEM), и компенсировать упомянутые выше недостатки. Системы анализа поведения являются функциональным продолжением систем выявления аномалий, направленных на обнаружение появляющихся неизвестных угроз (“zero-day”). Выявление аномалий происходит в два этапа: построение модели, которая отражает нормальную сетевую активность, на основе имеющейся или собираемой информации и мониторинг текущей ситуации для отслеживания отклонений от этой модели. Технологии мониторинга и выявления аномалий разделяются по источникам и типам данных, механизмам обнаружения, и времени реагирования.   

Если системы выявления аномалий фокусируются только на обнаружении изменений, связанных с новыми угрозами, то системы анализа поведения представляют собой системы поддержки принятия решений, которые обеспечивают квалифицированного оператора необходимой информацией для расследования и адекватного реагирования на множество подозрительных событий в сети. Помимо возможностей по выявлению аномалий системы анализа поведения предоставляют полезные и информативные данные по другим видам изменений и «нормальной» сетевой активности, таким образом, обеспечивая поддержку процессов управления и контроля работоспособности сети вместе с обеспечением информационной безопасностью и соответствия установленным требованиям.

Однако определенные слабости есть и у систем анализа поведения сетей:

  • неспособность учитывать естественные изменения в сетевой инфраструктуре;
  • высокая вероятность ложных срабатываний, особенно из-за ошибок «false positive»;
  • недостаточный диапазон поддерживаемых источников информации о состоянии сети.

Научно-техническая задача

Таким образом, научно-техническая задача НИОКР состоит в создании эффективных методик и алгоритмов выявления аномалий в гетерогенных распределенных ИТ - инфрастуктурах посредством анализа структурированного сетевого трафика и корреляции нормализованных событий безопасности, получаемых из других источников (сетевое оборудование, системы обнаружения вторжений, антивирусы, МСЭ и др.). В частности, работы направлены на совершенствование разработанной ранее в ООО ЛСТ методики выявления аномальных состояний сетевых устройств на основе многомерного статистического анализа структурированного сетевого трафика. Данная методика содержит набор организационно-методических правил, математических моделей и алгоритмов, описывающих механизм анализа состояния функционирования и выявления аномалий. Методика доказала свою эффективность в процессе опытной эксплуатации в реальных сетях с разной архитектурой, особенно при анализе поведения серверов, но показала некоторые ограничения, связанные с выбором контролируемых параметров, представлением шаблона и расследованием выявленных инцидентов. Предпочтение в данной методике было отдано сетевому трафику как наиболее надежному источнику информации о поведении сети. Целью расширения диапазона обрабатываемых источников данных о состоянии функционирования сети является повышение точности анализа.  

При выполнении НИОКР должны быть учтены следующие требования: 

  • анализ в реальном и отложенном масштабах времени, включающий корреляцию событий и историю;
  • эффективная локализация сетевых объектов, вовлеченных в инцидент;
  • устойчивость к шумам в обучающих данных;
  • сжатие данных без потери полезной информации;
  • агрегация и корреляция данных из множества источников, существенных для расследования инцидента;
  • выявление аномалий в общем виде, а не частных случаев или отдельных типов;
  • создание динамического шаблона нормального поведения для сетевого объекта;
  • адаптивное выявление и классификация аномальных состояний;
  • ранжирование событий по приоритетам и опасности обнаруженных аномалий.

Программный комплекс "ЛОКАТОР БЕЗОПАСНОСТИ"

Чтобы проводить исследования и эксперименты и апробацию новых алгоритмов обнаружения в реальных условиях, необходим специализированный программный инструмент, обеспечивающий сбор информации по состоянию гетерогенной сети, вычисление степени анормальности согласно реализованной методике анализа и визуализацию оперативных данных и результатов анализа.

Для реализации представленных функций в ООО ЛСТ была разработана распределенная программная система «ЛОКАТОР БЕЗОПАСНОСТИ». На базе разработанной системы организованы текущие НИОКР, кроме того, произведено несколько внедрений в сетях с различной инфраструктурой, что дает представление о будущих работах в данной области.

В рамках проекта предполагается оптимизация созданного программного обеспечения и расширение его функциональности за счет дополнительных модулей. Целью совершенствования ПО «ЛОКАТОР БЕЗОПАСНОСТИ» является создание универсальной интеллектуальной надстройки над сетевой средой, которая может активно взаимодействовать с контролируемыми объектами, динамически адаптироваться к изменяющейся инфраструктуре сети, выявлять и автоматически реагировать на опасные воздействия.

Обновлено 22.08.2009 18:56  
  

Поиск по сайту