Soc

Из предшествующего или из последующего? Размышления об априорном и апостериорном мониторинге безопасности информации

Из предшествующего или из последующего? Размышления об априорном и апостериорном мониторинге безопасности информации Из предшествующего или из последующего? Размышления об априорном и апостериорном мониторинге безопасности информации Из предшествующего или из последующего? Размышления об априорном и апостериорном мониторинге безопасности информации
07.09.2022

Мониторинг и контроль

В процессе развития любой системы происходят отклонения от желаемой и прогнозируемой траектории. Это может быть следствием ошибок в ранее принятых решениях, но зачастую отклонения вызываются объективными и плохо прогнозируемыми причинами, многие из которых достоверно оценить бывает невозможно. Исходя из классического определения, мониторинг – это система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов экономики. Это, по сути, комплекс быстрой диагностики, который дает своевременное оповещение о проблемах и точную информацию, где и что случилось конкретно. Материал подготовлен компанией "ИТ-Экспертиза".

ФСТЭК России адаптирует это общее понятие: мониторинг информационной безопасности (ИБ) в информационных (автоматизированных) системах представляет собой процесс постоянного наблюдения и анализа результатов регистрации событий безопасности с целью выявления нарушений, угроз безопасности информации и уязвимостей в информационных (автоматизированных) системах. По мнению ФСТЭК России такой мониторинг включает:

- контроль за событиями безопасности и действиями пользователей в информационной (автоматизированной) системе;

- контроль (анализ) защищенности информации, содержащейся в информационной системе;

- анализ и оценка функционирования системы защиты информации информационной системы;

- периодический анализ изменения угроз безопасности информации.

Из этих определений видно, что с одной стороны мониторинг – это процесс наблюдения, а с другой – процесс контроля.

Понятие «мониторинг» гораздо шире по объёму, чем понятие «контроль». Контролировать – это проверять результат, чтобы он соответствовал требованиям. Мониторинг – в основном, это сбор информации. Можно мониторить не контролируя, а вот контролировать, не мониторя, нельзя.

Сейчас на рынке вендоры и интеграторы предлагают различные системы для разного мониторинга, и разобраться в них не так просто. Классификация нужна нам, чтобы не запутаться и выбрать именно то, что надо. Для этого же пригодятся ещё два понятия – априорный и апостериорный мониторинг.

Априорный и апостериорный мониторинг безопасности информации: общие черты и различия, преимущества и недостатки

В философии есть понятие априорного и апостериорного знания. Смысл латинского выражения «априори» означает знание, изначально имеющееся в сознании, в буквальном переводе – «из предшествующего». «Апостериори» в буквальном смысле означает «из последующего», то есть, это знание, полученное благодаря опыту. Философы считают, что то, что получено благодаря опыту – случайно и временно. Ведь опыт постоянно меняется и зачастую бывает так, что прежний опыт полностью опровергается новым. То есть апостериорное знание, если оно не опирается на априорное знание, не имеет сколь-либо длительного значения.

Теперь о мониторинге. Если управляющее воздействие на систему формируется на основе уже свершившегося события (на основе опыта), то такой мониторинг, по всей вероятности, будет являться апостериорным мониторингом. Если же управляющее воздействие на систему формируется на основе расхождения между существующими и заранее определенными параметрами контроля (изначально имеющимися), то это будет априорный мониторинг. Исходя из такой классификации и задач мониторинга информационной безопасности по версии ФСТЭК России, примером апостериорного мониторинга будут системы, осуществляющие:

- сбор и анализ данных об и инцидентах безопасности

- сбор и анализ подозрительных событий безопасности

- сбор и анализ вирусной активности

- выявление несанкционированных действий субъектов

- выявление уязвимостей в системе безопасности

- эвристический анализ по выявлению аномалий в сетевом трафике

- обнаружение атак на основе анализа служебной информации

Такой мониторинг требует обязательного присутствия человека (аналитика), который берет на себя функции анализа (пусть и с использованием средств автоматизации процесса анализа) произошедших событий и принимает решение о критичности события и необходимости его устранения.

Отсюда видно, что для апостериорного мониторинга требуются высококвалифицированные специалисты, способные проанализировать событие и принять решение. А это, как правило, дорого и долго. Кроме того, требуется держать достаточно большой штат работников, чтобы обеспечить действительно круглосуточный мониторинг. Зато такой вид мониторинга позволяет реагировать на нестандартные ситуации, выявлять то, чего раньше не было, искать «бутылочные горлышки» используя специальные алгоритмы поиска проблем.

Примером априорного мониторинга будут системы, реализующие контроль заранее установленных параметров:

- геолокации компьютера и структуры информационной сети

- состава программного и аппаратного обеспечения

- параметров настройки операционной системы

- актуальности программного обеспечения

- настроек средств защиты информации

- типов и состава подключенных USB устройств

- запущенных в операционной системе процессы

- действий пользователей в информационной системе.

В этом случае обычно имеется реальная возможность полностью автоматизировать процесс управления устранением возникших обстоятельств, так как все параметры и допуски заранее известны. В процессе априорного мониторинга собирается информация об управляемом объекте, сопоставляется с заранее определенными параметрами и в случае выявления отклонений, принимается решение о корректирующих воздействиях. Система мониторинга работает как бы в триггерном режиме: есть отклонения от установленных параметров – принимается решение о применении корректирующего воздействия, нет отклонений – все нормально.

Для такого априорного мониторинга большого числа специалистов не требуется, да и квалификация здесь может быть попроще: один раз выбрал нужные параметры и мониторь. И только периодически со специалистом корректируй состав этих параметров. Однако, системы априорного мониторинга не могут оперативно реагировать на новые способы атак и вновь выявленные уязвимости.

Конечно, четко разделить средства защиты на мониторинговые и не мониторинговые, на априорные и апостериорные, очевидно, нельзя. Вот, например, антивирусные средства. Ведь они осуществляют мониторинг трафика, сравнивают аномальные активности с базой данных и принимают решение что делать: пропускать или нет. Получается, что такие средства можно отнести к априорным средствам мониторинга. Или DLP-системы. Такие системы тоже осуществляют мониторинг трафика, но уже будут относиться к апостериорным системам, так как решение принимается на основе контентного анализа информации в сообщении. Объединение решений по классам одновременно и удобно, и условно.

Но можно выделить и специальные системы, основной функцией которых является именно мониторинг безопасности информации. Любая система мониторинга безопасности информации может быть отнесена к одной из следующих категорий:

1. Апостериорные системы мониторинга

- SIEM (Security Information and Event Management) – системы, которые отслеживают и анализируют события в режиме реального времени.

- UBA (User Behavioral Analytics) – системы, которые собирают данные о действиях сетевых пользователей для последующего анализа.

- UEBA (User and Entity Behavioral Analytics) – системы, позволяющие обнаруживать аномалии в действиях пользователей.

- Решения, контролирующие эффективность сотрудников и отслеживающие внутри сети все их действия.

- DLP (Data Leak Prevention) – системы анализа потоков данных, пересекающих периметр защищаемой информационной системы.

- IDS (Intrusion Detection System) – системы обнаружения вторжений.

- NBAD (Network Behavior Anomaly Detection) – системы анализа аномалий.

2. Априорные системы

- EDR (Endpoint Detection and Response) – системы защиты конечных точек пользователей (мониторинг параметров).

- EMS (Element Management System) – системы управления и контроля отдельного сетевого элемента группы однотипных элементов.

- MDM (Mobile Device Management – системы контроля, управления и защиты мобильных устройств.

Виды мониторинга применительно к потребностям бизнеса

Согласно недавнему исследованию Фонда «Центр стратегических разработок» российский рынок информационной безопасности ожидает период бурного роста. Рынок информационной безопасности стимулируют новые бизнес-модели (удаленный доступ) и приложения, ориентированные на рост числа подключенных устройств (интернет вещей). Коронавирус изменил способ ведения бизнеса и операций. Теперь и малые, и крупные предприятия вынуждены уделять внимание обнаружению и немедленному реагированию на возникающие угрозы. В этих условиях мониторинг приобретает особую роль. Ожидается, что в течение ближайших пяти лет из-за увеличения потребности мониторинга внешних и внутренних угроз для бизнеса, такие решения будут доминировать. И здесь возникает вопрос: Какой вид мониторинга интересен рынку и почему?

Конечно, выбор класса средств мониторинга зависит от многих факторов: и от стоящих задач, и от технологий ведения бизнеса, и от размера самого бизнеса и еще много от чего. Что интересно потребителю – наверное, известно только самому потребителю. Но всё же с большой вероятностью можем предположить, что, например, малому и среднему бизнесу будут больше интересны априорные системы мониторинга в силу своей простоты обслуживания и возможности превентивного пресечения возможных нарушений, влияющих на безопасность информации. Часть задач, которые решаются исключительно апостериорным мониторингом, в этом случае могут быть отданы на аутсорсинг специализированным компаниям.

Крупному же бизнесу, который может себе позволить содержание полноценного ИБ-подразделения, скорее всего будут интересны апостериорные системы. Но найдут свое применение и априорные системы мониторинга. То есть велика вероятность использования комбинированного мониторинга.

А еще одним потребителем систем апостериорного мониторинга скорее всего будут специализированные компании, такие как SOC-центры, оказывающие услуги мониторинга.

Средства защиты постоянно совершенствуются. Прогресс идет, в том числе, по пути универсализации этих средств. И если раньше можно было с легкостью идентифицировать то или иное средство защиты используя, например, классификацию Гартнера, то сейчас это не всегда возможно. С точки зрения ИТ-специалиста это очень хорошо: нет «зоопарка» средств, проще администрировать, поставил одно средство и решил половину проблем. А с точки зрения ИБ-специалиста – наоборот. Злоумышленник, преодолев один рубеж, поняв логику и алгоритм защиты, может применить свои познания для преодоления второго и третьего рубежа. Зачастую, особенно для малого и среднего бизнеса, практичнее и целесообразнее использовать средство, заточенное под конкретные задачи, чем использовать универсальный инструмент, часть возможностей которого, скорее всего, задействована не будет.

Выводы

Конечно, оба вида мониторинга могут быть, более того, должны быть использованы вместе (на практике зачастую так и происходит). Многие средства защиты уже сами по себе содержат функции мониторинга. А корректирующее воздействие, выработанное на основе данных априорного мониторинга, само по себе является событием безопасности информации и может быть использовано для более детального и глубокого анализа в системе апостериорного мониторинга. То есть, данные системы априорного анализа будут выступать источником информации для системы апостериорного мониторинга.

Нужно также учитывать, что априорная система мониторинга быстро реагирует на изменения установленных параметров, что очень важно для превентивного пресечения возможных нарушений, однако, это не исключает появления нештатных ситуаций, на которые хорошо среагирует именно система апостериорного мониторинга. Всегда желателен симбиоз этих двух видов мониторинга. При этом, для малого и среднего бизнеса логичнее сделать выбор в пользу инструментов априорного мониторинга как менее затратных с точки зрения квалификации и количества специалистов.


Читайте также


Комментарии 0