Мониторинг безопасности как профилактика и инструмент в ИТ-безопасности

Мониторинг информации безопасности или мониторинг событий безопасности является частью управления информацией безопасности. Да, я признаю, что это причудливые названия и что даже у экспертов есть свои различия в концепции и масштабах. В компании Pandora FMS гибкость является частью нашего названия, поэтому здесь и далее мы сокращенно называем ее Мониторинг безопасности. Как видите, он короткий и удобный!

Если вы впервые посещаете блог Pandora FMS, мы хотели бы отметить, что в нашем программном плане на период 2020-2021 годов мы включили мониторинг безопасности в качестве еще одного элемента программного обеспечения для ИТ-надзора.

Неотъемлемой частью системы мониторинга является использование оповещений, когда в сетевой системе происходят события, авторизованные или неавторизованные. Эти предупреждения легко определяются с помощью Pandora FMS для обнаружения изменений или поведения, даже подозрительных, которые будут собраны в виде данных и после анализа преобразованы в информацию.

Также в этот набор оповещений включены те, которые представляют наибольший интерес: свободное дисковое пространство, загруженность и т.д. Это предсказуемые и поддающиеся количественной оценке параметры, но как мы можем применить их к вопросу безопасности? С помощью высокоспециализированного программного обеспечения, такого как Lynis, мы также можем получить количественный анализ, по результатам которого можно определить качественное состояние безопасности в нашей системе.

Использование метрик

Любая система может деградировать, если ее не совершенствовать должным образом с течением времени. Чтобы понять, было ли достигнуто улучшение, его необходимо измерить, оценить и сравнить. Но для того, чтобы измерить что-либо, это должно быть определено. Если он определен, его можно измерить и контролировать. Это касается и сферы безопасности.

Непосредственно Pandora FMS осуществляет деятельность в следующих ключевых аспектах, чтобы перечислить некоторые из них и точно определить место нашей работы:

  • Следите за соглашениями об уровне обслуживания(SLA): очень важно регулярно проверять срок их действия; таким образом, мы не останемся без поддержки в случае сбоя или без доступа к критическим для бизнеса приложениям из-за отсутствия лицензии.
  • Мониторинг инвентаризации наших устройств.
  • Pandora FMS поддерживает аутентификацию с третьими лицами через LDAP или Active Directory (за исключением пользователей с правами администратора, которые всегда аутентифицируются локально), поэтому управление пользователями и паролями может осуществляться массово. Вы даже можете контролировать сервер с помощью OpenLDAP Plugin.
  • Управление инцидентами любого типа, включая инциденты безопасности, может осуществляться с помощью Integria IMS, программного обеспечения из пакета Pandora FMS.
  • Предусмотрено управление резервным копированием, даже для нескольких приложений, чтобы каким-то образом защититься от атак типа ransomware.
  • Проверка функционирования антивирусных программ возможна с помощью программных агентов в автоматизированном режиме, а также в интерактивном режиме с помощью eHorus, другого продукта пакета Pandora FMS.

Ранее мы упоминали Lynis для проверки обновлений и патчей безопасности на системах GNU/Linux, но также с помощью Windows Management Instrumentation (WMI)® мы будем иметь ясную и точную картину состояния покрытия возможных уязвимостей программного обеспечения, установленного на Microsoft Windows®.

Допустим, например, нам нужно контролировать выполнение резервного копирования на еженедельной основе: важно знать, какой процент успеха мы имеем. Для этого мы выбираем метрику по соотношению времени и количества правильно выполненных резервных копий (т.е. псевдокод будет выглядеть так: количество правильно выполненных резервных копий, деленное на количество выполненных резервных копий в течение недели). Такой показатель дает точную картину мониторинга нашей безопасности.

Чем не является мониторинг безопасности

Часто определение понятия через его “противоположность” имеет большое дидактическое значение. Именно поэтому я пользуюсь возможностью отвлечься от того, что такое система управления информационной безопасностью (ISMS). Это чрезвычайно стандартизированная область, основным правилом которой является стандарт ISO/IEC 27001, на международном уровне, а затем в каждой стране в соответствии с ее собственным законодательством.

мониторинг безопасности 1

Легенда: “Цикл Деминга” или PDCA: “План-До-Проверки-Акт”, используемый в ISO/IEC 27001
Изображение: https://commons.wikimedia.org/wiki/File:PDCA_Cycle.svg

В мониторинге безопасности главным является предотвращение, благодаря объединению событий и собранных метрик. Например, для примера можно привести такой важный и жизненно важный для многих компаний случай, как электронные платежи: существует стандарт безопасности данных индустрии платежных карт (PCI DSS), который устанавливает такие меры, как обязательная отправка надлежащим образом зашифрованной информации о клиентах и использование брандмауэров для предотвращения доступа злоумышленников к хранимым данным клиентов. Хорошо внедренная система управления информационной безопасностью (ISMS) включает в себя аудиты безопасности, проводимые либо на регулярной, либо на необъявленной основе (или на обеих), и должна гарантировать, что эти два ресурса (и другие) имеются в наличии и используются должным образом.

мониторинг безопасности 2

Легенда: Типичная конфигурация брандмауэра, важного элемента мониторинга безопасности.
Изображение: https://commons.wikimedia.org/wiki/File:Firewall.png

С другой стороны, в рамках мониторинга безопасности мы можем предоставить отчеты о том, являются ли сертификаты безопасности для шифрования информации актуальными и работоспособными, чтобы их можно было своевременно обновить для постоянного шифрования коммуникаций. Мы также сможем отслеживать брандмауэры компании, где, как и когда они работают, и при необходимости перенастраивать их с помощью оповещений. Это всего лишь два примера, которые обеспечивают инструменты отчетности на прочном фундаменте, но они не являются и не заменяют ИСУП!

Таким образом, на данный момент СУИБ охватывает множество аспектов, и в каждом из них может присутствовать или отсутствовать мониторинг безопасности (☑):

  • Патчи и обновления ☑, их автоматизированное управление.
  • Статус антивируса ☑, а также статус сети с точки зрения фильтрации спама.
  • Обучение персонала по вопросам мошенничества и предотвращения мошенничества ☒.
  • Использование сетевых и вычислительных ресурсов ☑.
  • Мобильные устройства в нашей сети и их безопасность ☒. (Хотя, по крайней мере, мы сможем сообщать о времени соединения, потребленных мегабайтах и т.д.). Итак, основы).
  • Службы и доступ к ним через разрешения пользователей ☑.
  • Утечка данных ☒. Деликатная задача, в основном основанная на наблюдении за персоналом (хотя мы сможем отслеживать журналы приложений в компании и создавать отчеты, которые ищут в них определенные поля и значения).
  • Важно полностью соблюдать законодательство в каждой стране ☒.
  • В зависимости от размера компании оцените возможность внедрения унифицированного управления угрозами, которое, несмотря на свой недостаток в виде единой точки отказа, относительно проще в управлении и может получить преимущества от мониторинга безопасности ☑.

Инструменты ИСУП

Я не собираюсь перечислять их все, и объясняю это, ориентируясь на мониторинг безопасности:

  • Аудит сети: изучение моделей маршрутизаторов, какие из них подключаются к компании, каталогизация информации. Их анализ сопоставляет модели с установленными версиями прошивок, открытыми портами и т.д.
  • Защита периметра: устанавливает или определяет различные уровни или этапы, с точки зрения вне предприятия, чтобы “добраться” до компонентов сетевого аудита.
  • Тестирование на проникновение: так называемая ” красная команда“, персонал, полностью внешний по отношению к компании и скоординированный для атаки и попытки проникновения без знания информации о предварительном аудите.
  • Веб-аудит: как внутренний на веб-сервере внутри компании, так и его зашифрованная синхронизация с веб-сервером, размещенным у третьих лиц в Интернете; он также включает юридические аспекты, такие как, например, Общее положение о защите данных (GDPR).
  • Судебно-медицинская экспертиза: проведение тщательного анализа посмертных инцидентов. В случае, если необходимы доказательства и свидетельства, некоторые из них могут быть предоставлены Мониторингом безопасности.

Прежде чем мы попрощаемся, вспомните, что Pandora FMS – это гибкое программное обеспечение для мониторинга, способное контролировать устройства, инфраструктуры, приложения, сервисы и бизнес-процессы.

Вы хотите узнать больше о том, что может предложить вам Pandora FMS? Узнайте об этом, нажав здесь.

Если вам необходимо контролировать более 100 устройств, вы также можете воспользоваться БЕСПЛАТНОЙ 30-дневной демонстрацией Pandora FMS Enterprise. Получите его здесь.

Наконец, помните, что если у вас небольшое количество устройств для мониторинга, вы можете использовать OpenSource версию Pandora FMS. Более подробную информацию можно найти здесь.

Не стесняйтесь присылать нам свои запросы. Замечательная команда Pandora FMS будет рада помочь вам!

Shares