ВЕСТНИК РОССИЙСКОЙ АКАДЕМИИ НАУК, 2014, том 84, № 11, с. 993-1001
ИЗ РАБОЧЕЙ ТЕТРАДИ ИССЛЕДОВАТЕЛЯ
Б01: 10.7868/80869587314110073
Научно-технический прогресс порождает две взаимосвязанные тенденции: с одной стороны, новые техника и технологии открывают перед человеком небывалые перспективы во всех областях практической деятельности, с другой — провоцируют многочисленные негативные последствия, которые зачастую невозможно предсказать заранее. Это справедливо и в отношении информационно-коммуникационных технологий, бурное развитие которых в последние десятилетия вызвало к жизни опасные феномены кибертерроризма и кибервойны. Как и в случае с другими угрозами, обусловленными использованием достижений научно-технического прогресса, реакцией общества становится совершенствование технологий. Конкретный пример такого совершенствования, осуществляемого в рамках общеевропейского исследовательского проекта с участием российских учёных, представлен в публикуемой статье.
СОЗДАНИЕ НОВЫХ СИСТЕМ МОНИТОРИНГА И УПРАВЛЕНИЯ
КИБЕРБЕЗОПАСНОСТЬЮ
И.В. Котенко, И.Б. Саенко
В период с 2010 по 2013 г. в рамках 7-й Рамочной программы (Seventh Framework Programme) Европейского союза по развитию научных исследований и технологий велась активная работа по созданию архитектуры, моделей, методов и алгоритмов функционирования систем мониторинга и управления кибербезопасностью для информационных инфраструктур. Эти исследования были объединены в проекте MASSIF (Mаnagement of security information and events in service infrastructures) [1], в котором принимали участие группы учёных и разработчиков из Испании, Италии,
Авторы работают в лаборатории проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН. КОТЕНКО Игорь Витальевич — доктор технических наук, заведующий лабораторией. САЕНКО Игорь Борисович — доктор технических наук, ведущий научный сотрудник. ivkote@comsec.spb.ru; ibsaen@comsec.spb.ru
Франции, Германии, Португалии, ЮАР и России. Наша страна была представлена научным коллективом лаборатории проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН (СПИИРАН).
В основу исследований была положена технология управления событиями и информацией безопасности — новое интенсивно развивающееся направление в области кибербезопасности, которое обладает достаточно большим потенциалом как в отношении обнаружения угроз, так и с точки зрения выработки контрмер, обеспечивающих требуемый уровень безопасности информационных инфраструктур [2, 3]. Системы мониторинга и управления кибербезопасностью, ориентированные на эту технологию, предполагают оперативный сбор, хранение и последующую аналитическую обработку данных о событиях, связанных с безопасностью. Первоначально данные формируются и фиксируются в системных журналах различных аппаратных и программных элементов компьютерной инфраструктуры. Элементами являются серверы, рабочие станции, маршрутизаторы, межсетевые экраны, системы управления базами данных, системы обнаружения атак, антивирусные средства и т.д. Системы защиты информации такого типа можно назвать первым поколением систем мониторинга и управления безопасностью. Они получили широкую коммерческую реализацию, однако область их применения, как правило, не выходит за рамки информационных процессов, протекающих в компьютерной сети. Сегодня же всё более актуальной становится задача выявления кибератак и прочих злонамерен-
3
993
ных действий не только на уровне анализа событий, зафиксированных в журналах сетевых элементов, но и на уровне бизнес-процессов, а также информации, получаемой посредством физических датчиков и сенсоров. Кроме того, известные коммерческие системы мониторинга и управления безопасностью испытывают значительные затруднения при функционировании в компьютерных сетях большой размерности.
Перечисленные и ряд других недостатков существующих коммерческих систем мониторинга и управления безопасностью обусловили необходимость проекта MASSIF, нацеленного на построение систем, свободных от обозначенных недостатков и определяемых как системы мониторинга и управления кибербезопасностью нового поколения. В настоящей статье обобщены основные результаты проекта MASSIF по построению таких систем, а также рассмотрены возможные сценарии применения этих разработок.
ТЕХНОЛОГИЧЕСКИЕ ТРЕБОВАНИЯ И ОСНОВНЫЕ РЕШЕНИЯ
Технологическая необходимость создания систем мониторинга и управления кибербезопасно-стью нового поколения обусловлена современными тенденциями развития информационно-коммуникационных технологий (ИКТ), в первую очередь связанных с поддержкой распределённых инфраструктур, ориентированных на широкое использование сети Интернет. Для современных ИКТ флагманскими стали две парадигмы — "Интернет будущего" и "Интернет вещей". Первая объединяет исследования, направленные на разработку новых архитектур для систем, активно использующих глобальную сеть, вторая представляет собой концепцию построения вычислительной сети, объединяющей физические объекты ("вещи"), обладающие возможностями взаимодействия друг с другом или с внешней средой, преимущественно посредством сети Интернет. Обе эти парадигмы являются событийно-ориентированными, поэтому их реализация в информационных системах и инфраструктурах приведёт к необходимости решения новых проблем кибербез-опасности, связанных как со значительным возрастанием системных информационных потоков, циркулирующих через Интернет, так и с резким ростом разнообразия сенсоров и устройств, распространяющих через Интернет информацию о безопасности.
Ещё одна тенденция — существенное усиление роли интеллектуальных методов и сервисов обеспечения кибербезопасности. Они являются единственно возможным инструментом, позволяющим обрабатывать большое количество информации, что необходимо для принятия обоснованных решений по киберзащите, а также
обеспечивают моделирование, прогнозирование защищённости и выработку контрмер и рекомендаций. Всё это должно существенно повысить эффективность обеспечения кибербезопасности.
Из сказанного можно сделать два важных вывода относительно будущего систем мониторинга и управления кибербезопасностью. Во-первых, в ближайшей перспективе эти системы будут увеличивать свою значимость, поскольку они наиболее близки к упомянутым выше парадигмам и направлены на решение новых проблем обеспечения информационной безопасности. Во-вторых, задачи мониторинга и управления кибербезопас-ностью будут становиться всё более сложными, так как они должны затрагивать распределённые бизнес-процессы в условиях недоступности и/или возможного несанкционированного изменения данных. Поэтому системы мониторинга и управления кибербезопасностью нового поколения призваны наиболее полно использовать интеллектуальные методы, а также могут быть развёрнуты как "облачные службы", когда особенно актуальным становится обеспечение гарантий доверия и конфиденциальности информации о безопасности.
Таким образом, технологическая необходимость создания систем мониторинга и управления кибербезопасностью нового поколения обусловливает их ориентацию:
• на разработку надёжных и устойчивых средств обеспечения осведомлённости пользователей о безопасности [1—4];
• на совершенствование механизмов распределённого управления безопасностью для адаптивного конфигурирования политик безопасности;
• на достижение более высокой масштабируемости, обеспечивающей требуемый рост производительности при увеличении количества обрабатываемых данных;
• на использование инновационных моделей прогнозирования безопасности, позволяющих осуществлять проактивную обработку инцидентов и событий безопасности;
• на децентрализацию сбора и обработки событий безопасности между центральными и удалёнными элементами.
Разработанный в рамках проекта MASSIF комплекс решений по созданию систем мониторинга и управления кибербезопасностью обеспечивает реализацию следующих новых функциональных возможностей:
• межуровневой корреляции событий безопасности, поступающих из различных неоднородных источников;
• адаптивной, высоко масштабируемой обработки событий, обеспечивающей управление
Ядро системы мониторинга и управления кибербезопасностью
Уровень
Уровень приложений
Рис. 1. Типовая архитектура системы мониторинга и управления кибербезопасностью нового поколения
большими объёмами данных о безопасности в реальном времени или с минимальным отставанием от него;
• прогностического анализа безопасности с целью проактивного обнаружения и предотвращения атак путём принятия соответствующих контрмер;
• высокой доступности и отказоустойчивости сбора данных о событиях безопасности в условиях территориально-распределённого характера построения защищаемой инфраструктуры и активного вредоносного и/или непреднамеренного воздействия на каналы связи.
Обобщённая типовая архитектура системы мониторинга и управления кибербезопасностью нового поколения, предложенная участниками проекта MASSIF, представлена на рисунке 1. В ней можно выделить следующие уровни: уровень сети, уровень данных, уровень событий и уровень приложений.
К уровню сети относятся агенты сбора данных, под которыми понимаются все источники, предоставляющие информацию о событиях ки-бербезопасности, такие как сетевые устройства, серверы, рабочие станции, базы данных, межсетевые экраны, антивирусы, различные датчики и сенсоры.
Компонентами уровня данных являются транслятор, предназначенный для первичной обработки и преобразования в соответствии с внутренним форматом сведений о событиях безопасности, и агенты рассылки команд, обеспечивающие доведение решений по безопасности до удалённых инфраструктурных элементов.
Основным компонентом уровня событий является шина данных, отвечающая за распространение информации о событиях безопасности и их
гарантированную доставку остальным системным компонентам.
К компонентам уровня приложений относятся:
• компонент анализа событий, осуществляющий адаптивную поддержку всех задач по обработке событий и функционирующий в режиме реального времени;
• хранилище данных о безопасности, содержаще
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.