Symantec Polska
lista stron
produkty
zakup produktów
pomoc techniczna
Security Response
Pliki do pobrania
partnerzy
informacje o firmie
komentarze


© 1995-2008 Symantec Corporation. Wszelkie prawa zastrzezone.
Informacje Prawne
Ochrona Danych
informacje o firmie
Feature Article

Igła w stogu siana, czyli jak zidentyfikować incydent wśród wielu zdarzeń związanych z bezpieczeństwem

10.12.2002
IDENTYFIKATOR ARTYKUŁU: 1844

Zarządzanie bezpieczeństwem jeszcze nigdy nie było zadaniem tak odpowiedzialnym jak obecnie. Większość przedsiębiorstw wdrożyła już różnorodne zabezpieczenia w nadziei zapewnienia większego bezpieczeństwa systemu informatycznego, ale zarządzanie ogromnymi ilościami danych, które każde z nich generuje, stanowi kolejne wyzwanie. Ataki zdarzają się coraz częściej, są coraz bardziej złożone i często pozostają niezauważone, a straty ponoszone przez przedsiębiorstwa w wyniku incydentów naruszenia bezpieczeństwa stale rosną. Czy Państwa firma musi wciąż walczyć o utrzymanie bezpiecznego środowiska pomimo znacznych inwestycji w aplikacje wykrywające i prewencyjne? Jeśli tak, nie są Państwo w tym osamotnieni.

Za dużo różnych rodzajów zabezpieczeń, za dużo danych

Incydent i zdarzenie to odrębne pojęcia, które dość często stosuje się zamiennie, co jest poważnym błędem. Każdego miesiąca w firmach nawet średniej wielkości zachodzi prawie 10 mln zdarzeń. Dla wielu przedsiębiorstw codzienne przedzieranie się przez tak ogromną liczbę zdarzeń stanowi wielkie wyzwanie. Wyszukiwanie incydentów wśród masy zdarzeń stanowiących naruszenie bezpieczeństwa systemów przedsiębiorstwa przypomina poszukiwanie igły w stogu siana.

Zdarzenia

Zabezpieczenia zastosowane w przedsiębiorstwie przeszukują jego systemy i kontrolują ruch w sieci, generując raporty o działaniach potencjalnie podejrzanych. Każdy taki raport to zdarzenie - w większości przedsiębiorstw co dzień zachodzi wiele tysięcy zdarzeń związanych z kontrolą bezpieczeństwa.

Mianem zdarzenia określa się każde dające się zaobserwować wydarzenie w systemie i/lub sieci.

A oto dwa przykłady typowych zdarzeń:

  • źle sformatowany lub za długi pakiet sieciowy,
  • nieudana próba logowania się do komputera.

Dwa wymienione powyżej zdarzenia mogą wystąpić każdego dnia, i to wielokrotnie. Cały problem polega na tym, by przeanalizować je na tyle, by móc określić, czy stanowią one zagrożenie. Źle sformatowane pakiety są na ogół nieszkodliwe, w niektórych przypadkach mogą jednak być groźne ¾ potencjalnie wskazuje to na atak poprzez przepełnienie bufora. Błędne próby logowania się mogą oznaczać zamiar włamania się do systemu lub być tylko wynikiem zwykłej pomyłki przy wprowadzaniu danych. Aby stwierdzić, czy ma się do czynienia z prawdziwym zagrożeniem, a jeśli tak, to jakie działania należy podjąć, potrzebny jest dodatkowy kontekst. Jeśli go brak, działania firmy koncentrującej się jedynie na zarządzaniu zdarzeniami są nieskoordynowane. Firma traci tylko czas na obsługę zdarzeń stanowiących pozorne zagrożenie, działając w sposób interwencyjny i chaotyczny.

Incydenty

Zdarzenia występują często i gdy analizuje się je pojedynczo, może się wydawać, że są one całkowicie niezależne i że nie ma między nimi żadnych powiązań. Incydenty wprowadzają do zbioru zdarzeń kontekst, który umożliwia administratorom zrozumienie sytuacji i podjęcie w razie potrzeby odpowiednich działań.

Mianem incydentu określa się zbiór złożony z jednego lub więcej zdarzeń lub uwarunkowań związanych z naruszeniem bezpieczeństwa, wymagający podjęcia działania i rozwiązania powstałego problemu w celu utrzymania akceptowalnego poziomu ryzyka.

Biorąc pod uwagę dwie przytoczone powyżej definicje, incydenty należą na ogół do jednego z dwóch następujących typów sytuacji:

  • poważne zagrożenia, niebezpieczne dla firmy i wymagające interwencji,
  • sytuacje zdarzające się praktycznie codziennie i zagrażające firmie tylko wtedy, jeśli nie podejmie się żadnych działań.

Poniżej wymieniono kilka przykładów incydentów, z których każdy składa się z jednego lub więcej zdarzeń:

  • zainfekowanie systemu na dużą skalę przez wirusa lub robaka,
  • przerwanie usługi,
  • wykorzystanie systemu przez pracownika w niewłaściwych celach,
  • próby włamania się do komputera (udane lub nieudane) w celu uzyskania nieautoryzowanego dostępu do systemu lub jego danych,
  • atak typu „odmowa usługi” (Denial of Service),
  • anonimowe niewłaściwe użycie protokołu FTP,
  • wprowadzenie zmian w sprzęcie lub oprogramowaniu bez wiedzy, zgody czy odpowiednich wskazówek ze strony właściciela,
  • występowanie w systemie aplikacji podatnych na atak.

Efektywne zarządzanie incydentami

Czasami, aby zidentyfikować incydent, trzeba przeanalizować większą liczbę powiązanych ze sobą zdarzeń (np. ataków, słabych punktów systemu, sytuacji naruszenia zabezpieczeń). Podejście ukierunkowane na wychwytywanie incydentów pozwoli pracownikom technicznym określić ich:

  • ZAKRES - liczbę systemów, których dotyczy incydent;
  • SKUTKI - poziom zakłóceń w działaniu poszczególnych systemów, w kategoriach naruszenia ich poufności, spójności i dostępności;
  • ZNACZENIE DLA FIRMY - znaczenie incydentu rozpatrywane w kategoriach ważności dla firmy systemów zaatakowanych w porównaniu do innych systemów;
  • PRIORYTET- wymaganą szybkość reakcji w porównaniu do innych incydentów.

Problem nie leży w tym, czy firma doświadczy incydentu związanego z naruszeniem bezpieczeństwa, ale w tym, kiedy to nastąpi. Podejście ukierunkowane na wychwytywanie incydentów uprości wiele złożonych i obciążających firmę zadań związanych z zarządzaniem bezpieczeństwem.

Oprogramowanie Symantec Incident Manager

W przedsiębiorstwach utrzymujących duże sieci codziennie występuje duża liczba zdarzeń związanych z bezpieczeństwem. Najlepszym sposobem na zarządzanie wszystkimi pojawiającymi się danymi jest dostęp w czasie rzeczywistym do zagregowanego i skorelowanego widoku danych dotyczących bezpieczeństwa we wszystkich warstwach sieci, generowanych przez wszystkie zabezpieczenia. Do tego celu służy oprogramowanie Symantec Incident Manager, które konsoliduje zdarzenia związane z bezpieczeństwem, generowane przez różne zabezpieczenia cząstkowe, pochodzące od różnych producentów. Identyfikuje ono incydenty, nadaje im priorytety i śledzi ich przebieg, aż do ich zlikwidowania, zapewniając firmom realne obniżenie poziomu ryzyka.