Как
известно, сами по себе операционные логи в компьютерных системах доказательной
силы по случаю выявления атаки не имеют. Доказательством атаки могут служить
только производные от этих логов, а именно:
- заключение эксперта-специалиста по информационной
безопасности
- квалифицированная интерпретация логов.
Поддержка
корректности и неизменности логов на этапе их жизненного цикла от генерации
одной программой до интерпретации человеком или другой программой является
обязательной.
При этом
содержимое разных лог-файлов как с самого узла так и имеющих к инциденту
отношение, но находящихся вне узла (на других узлах)
может:
- совпадать;
- быть
подмножеством другого;
- частично
пересекаться по времени или другому признаку;
- дополнять
друг друга по времени или другому признаку;
- не
совпадать.
Поэтому
доказательная сила логов заключается в
их корректной интерпретации. Следовательно основная работа эксперта во время
интерпретации заключается в выявлении взаимосвязей между различными записями в
лог-файлах, которые отражают те или иные события. Другими словами, специалист
занимается ручной корреляцией событий.
К примеру
если это сервер MS
IIS то отслеживание событий web-сайта
приходиться выполнять напрямую по следующим журналам:
- системный
- безопасность
- приложения
- служба
каталогов
- сервер
IIS
- служба
репликации файлов
- сервер
DNS.
При этом
сами типы корреляций могут быть следующие:
• локальная
корреляция,
осуществляемая непосредственно на защищаемом узле.
В этом процессе участвует
система обнаружения и предотвращения атак уровня узла если таковая имеется,
которая либо отражает атаку, о чем оповещает администратора безопасности,
либо нет
• корреляция
со сведениями об операционной системе. Если
Windows-атака направлена на Unix-узел, то
ее можно просто игнорировать. Если же ОС входит в список уязвимых для данной
атаки, то в действие вступает следующий
вариант корреляции
• корреляция
атак и уязвимостей. Следуя
определению атаки, она не может быть успешна, если атакуемый узел не содержит
соответствующей уязвимости. Таким образом, сопоставляя данные об атаке с
информацией об уязвимостях атакуемого узла, можно с уверенностью будет
сказать, применима ли зафиксированная атака к вашей сети и, если да, то
нанесет ли она вам какой-либо ущерб
• корреляция
по времени наступления события.
Корреляция позволяющая сопоставить разнородные события от разных источников в
один момент времени и представить общую схему атаки
• корреляция
по типу события.
Некоторое событие повлекло или могло повлечь другое событие. Такую корреляцию
довольно сложно реализовать простыми инструментами и поэтому в этом случае
требуется вмешательство специалистов, которые расследуют
инциденты.
Конечно
не обязательно строить корреляцию вручную. Число автоматических систем
корреляции постоянно растет и к ним, например, можно
отнести:
• Forensics
компании.
• Private
l компании Ореn
Systems.
• Security
Manager компании
Intellitactics.
• SPECTRUM
Security
Manager
компании Арrisma
Маnagеment
Technologies.
• SystemWatch компании
ОреnService.
• ArcSight
одноименной компании.
• neuSECURE компании
GuardedNet.
Компания
IBM
предлагает систему RealSecure SiteProtector, которая
обладает механизмами консолидации, агрегирования и корреляции событий,
получаемых не только от всех своих решений в области обнаружения атак и анализа
защищенности, но и от межсетевых экранов Сheck
Роint Firewall-1 и
Cisco
РІХ
Firewall.
Компания
Cisco
предлагает систему CiscoWorks Security Information Managеment Solution, которое
построено на базе широко известной за рубежом системы
управления информационной безопасности netForensics
одноименной компании.
Компания
Symantec
предлагает систему Symantec Incident Manager и
семейство DeepSight,
вошедшее в пакет предложений Зушап1ес после покупки последней компании
SecurityFocus.
Все
вышеперечисленное для эксплуатации требует определенных инвестиций и
подготовленных кадров. А что делать если таких кадров нет или соответствующие
средства не выделяются должным образом? Количество различных задач, а
следовательно, и их логов которые нуждаются в нашем контроле растет с каждым
годом. Оперативность визуального контроля как и его точность зависит от
человеческого фактора как никогда. К сожалению не многие руководители понимают
опасность роста такого риска. Ряд технических вопросов ложится на авось которого
зовут - администратор Боб, забывая
что Боб такой же
человек как и все остальные.
И что делать
сейчас Бобу ?
!
А найти
бесплатный, хорошо бы не требующий инсталяции выход!
Вот хотя
бы LogParser.
Сокращенно LР. Что
может LР здесь
описывать не буду. Достаточно подробно об этом есть в интернете. Главное что
LР
позволяет поддерживать четыре основных механизма обработки анализируемых
событий:
- консолидация (event
consolidation)
- агрегирование (еvent
aggregation)
- корреляция (event
correlation)
- приоритезация (event prioritization).
Вот вам для
уверенности сравнение
названных механизмов у такого гранда как RealSecure SiteProtector (далее SР) и
простого LР в
таблице:
|
Обработка
событий
|
SiteProtector +
Security
Fusion модуль
|
LogРагser
|
Реализация
|
|
1
|
2
|
3
|
4
|
|
Консолидация
|
есть
|
есть
|
SР –
МS SQL
LР - через
ОDBC DSN
(ОLЕ
DВ
Ргоvider) путем
использования VBScript в БД
любого типа
|
|
Агрегирование
|
есть
|
есть
|
LР -
SQL запрос с
последующей записью в
БД
|
|
Корреляция
|
есть
|
есть
|
LР -
SQL запрос к
поддерживаемому формату
источника данных или SQL
запрос к неподдерживаемому формату источника данных через ODBC DSN
(ОLE DВ
Ргоvider)
|
|
Приоретизация
|
есть
|
есть
|
LР -
SQL запрос с
последующей записью в
БД или генерацией корректирующего скрипта
|
|
Блокировка атаки (Prevention
System)
|
есть
|
ограничено
|
SP –
Intrusion Prevention System
LР -
генерация корректирующего скрипта
|
|
Запрос из
стороннего источника данных (third party sоurсе)
|
есть
|
есть
|
SР-
Java plug-in
LР - через
ОDBС
DSN
(ОLЕ
DВ
Рrovider) путем
использования VBScript из
источника любого типа
|
|
Многомерные отчеты (ОLАР)
|
ограничено
|
есть
|
SР-
встроенный модуль FastAnalysis на базе
JRE
LР-
SQL запрос к
предварительно подготовленным данным
|
|
АРI
|
есть
|
есть
|
SР -
ТСL,
Java
LР - СОМ
оbject
|
К тому же
LP позволяет
обращаться ко многим форматам файлов данных напрямую. А за два шага
(два SQL -
запроса), через промежуточный формат NАТ, можно
скоррелировать данные
практически из любых источников данных. Необходимы знания лишь известных языков SQL и
VBScript (WSH+WMI), которые
для современного системного администратора являются базовыми после
английского. В
зависимости от формата вывода можно выполнить мультиплексный вывод, т.е. в зависимости от события формируется название
выходного файла. Напротив в мультиплексном вводе есть поддержка поля
"LogFileName", пока не
для всех форматов
Примеры
реализации названных механизмов LР здесь не
приводятся потому как их можно с успехом найти как на официальном сайте Microsoft.
Единственное, чего всегда не хватало LP - это удобного графического пользовательского интерфейса! Тяжело администратору со временем управлять различными запросами и скриптами, которые
со временем у него
накапливаются.
Первой попыткой реализовать
такую полезную функцию был независимый проект Visual LogParser. И было это 6 лет назад. К сожалению
далее проект не развивался, поэтому версия его так и осталась
1.0 beta. Visual LogParser доступен для скачивания даже сейчас, но
мне так и не удалось его запустить, он упорно не хотел видеть сам LP.
Beta!
И вот год назад сам Microsoft
обратил свои взоры на фанов LP и…
выпустил Log Parser Studio! Log Parser
Studio (сокращенно
LPS) позволяет хранить все запросы в одном централизованном расположении.
Можно редактировать и создавать новые запросы в редакторе запросов и сохранять
их для последующего использования. Можно искать запросы по полнотекстовому
индексу, а также экспортировать и импортировать библиотеки и запросы в разных
форматах, что упрощает совместную работу, а также хранение различных типов
отдельных библиотек для разных протоколов. Подробнее здесь.
Таким
образом коррелятор на базе LP/LPS позволяет
не делая дополнительных инвестиций за короткое время прозрачно настроить
и:
-
выполнять автоматически анализ журналов регистрации разнородных средств защиты,
что позволяет существенно уменьшить время, затрачиваемое на такой
анализ;
- сэкономить
средства и время на анализ, который, в случае отсутствия
механизма корреляции, приходится выполнять вручную, что требует уйму
времени;
- снизить
число ложных срабатываний и оповещений о нарушениях
политики безопасности.
No comments:
Post a Comment
А что вы думаете по этому поводу?