Система Обнаружения Атак ADS

ADS является продуктом классы SEM (Security Event Managеment — управление событиями безопасности), используемая для захвата, корреляции, а так же для презентации событий, которые выступают во время кибер-атак, проводимых как снаружи, так и внутри организации.

Определение системы SEM

Основной задачей системы класса SEM является создание центральной точки, которая обеспечит возможность для сбора и обработки информации полученной из журнала записей, созданных другими системами, т.е. : межсетевые экраны, серверы бах данных, контроллеры домены или серверы приложений.

Особое внимание эта система придаёт информации, которая непосредственно указывает на события, которые вероятно были попыткой нарушения защиты клиента. Благодаря использованию решения SEM, важно с точки зрения безопасности информационных систем, данные коррелируются и представляются операторами этих информационных систем. Центральная консоль позволяет представить данные в одном месте, что позволяет быстро реагировать и минимизировать потери, в случае нарушения внедрённых систем безопасности, как на границе кооперативной сети, так и на станциях клиентов или файловых серверах и приложениях.

Какая разница между SEM и SIEM ?

Название SIEM (Security information and event management) представляет собой сочетание двух аббревиатур, то есть SIM и SEM. Решения класса SIM занимаются сбором, архивом и генерацией оповещений на основе журналов, предоставляемых другими системами, где корреляционная система ограничена до минимума. Кроме того, в решениях класса SIM акцент кладётся в основном на долгосрочное удержание журнала записей. Эти решения по своим характеристикам похожи на системы класса Log Management. В то время , как системы SEM ориентированы для анализа журналов в поисках инцидентов. Сигналы представленные оператору имеют присвоенный уровень риска, в результате корреляции собранных и стандартизированных журналов записей.

Чем ADS отличается от аналогичных решений на рынке?

Предложенный нами ADS, будучи системой класса SEM, является авторским и запатентованным нами решением, разработанным фирмой STM Solutions. Эта система является ответом на рыночный спрос на такой инструмент, который будет ориентирован на анализ событий с точки зрения безопасности. При этом поддерживаются как можно низкие возможные затраты и максимально высокий уровень конфигурации инструментов для производительной среды клиента. Благодаря опыту накопленному во время тестирования на проникновение, правила корреляции системы ADS подобраны к современным методам, используемых во время кибер-атак. Правила дополнены так же знаниями, полученными путем анализа оставленного следа потенциального взломщика. Отход от традиционного подхода — сбора всех журналов записей со всех доступных устройств — может значительно снизить затраты на внедрение и свести к минимуму проблемы, возникающие в коммуникации с другими системами. Система ADS основана на открытом программном обеспечении, а клиент каждый раз получает код отдельных коннекторов.

Неоспоримо, дополнительным преимуществом выбора этого решения является факт, что наш отдел , ответственный за разработку и развитие, находится в Польше — поэтому мы можем гарантировать клиенту прямой контакт и индивидуальный подход для удовлетворения реальных потребностей.

ads_screen1

Архитектура системы

Рядом представлена схема строения системы ADS, показывающая направление потока информации между различными компонентами и источниками журналов записей.

Архитектура системы ADS разделена на три области, каждая из которых реализована на отдельном сервере таким образом, чтобы достичь максимальной производительности каждого компонента.

Ниже мы приводим описание каждой из областей, вместе с объяснением принципов потока информации между различными элементами инфраструктуры.

Ловушки (Honeypot) — обнаружение вторжений под контролем

Система ADS имеет модули связанные со средой обнаружения вторжений под контролей — так называемые ловушки ( honeypot ).
Предложение включает в себя три типа ловушек:

  • ДМЗ
  • WiFi
  • SCADA

Сеть приманок отделена от производственной сети клиента для того, чтобы предотвратить проникновение в нее. Архитектура ловушек приготовлена таким образом, что бы взломщик мог получить доступ к сети (honeypot Wifi или ДМЗ) и иметь впечатление, что он попал в сеть промышленной автоматизации (модуль SCADA).

Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков. Злоумышленники после взлома за частую проводят поиск в приобретённом устройстве, что бы найти ценные информации, документы и тд. .

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.

В ходе реализации ловушек у клиента, мы вместе с ним подготавливаем документы, которые направят взломщика на физический контакт с инфраструктурой предприятия. Примером может быть файл, содержащий информацию о расположенной при шлагбауме сервисного ящика, с которого можно осуществить доступ к производственной сети клиента — если обнаружен взлом хоста, содержащего такую информацию, надо ожидать взломщика в представленном месте.

Кроме того, Honeypot приспособлены к физическим условиям инфраструктуры заказчика, например, сила сигнала WiFi обрезается до уровня, который требует подойти ближе зданий, оборудованных системой видеонаблюдения. Это действие поможет зарегистрировать взломщика на камеру.

ADS-коллектор

ADS-коллектор это главные машины в системной архитектуре ADS. Они имеют услуги сбора / приёма данных от клиентских систем и услуги обработки полученной информации. Процессом приёма данных управляет выделенный компонент, логически отделенный от остальной части системы — ADS Data Processing.

На этих серверах существуют также агенты, которые читают данные из менее стандартных клиентских систем. Агента используется чтобы скачать журналы из баз данныхADS DB Коллектор, которые передаёт собранную информацию компонентуADS Data Processing.

Другим важным агентом является ADS Checkpoint Collector (контрольно-пропускной пункт коллектора ADS) — это программное обеспечение используется для извлечения журналов безопасности из устройств фирмы Checkpoint. Свежесобранные данные затем отправляются в услугу ADS Data Processing.
При получении данных из систем-источников ADS Data Processing отправляет их на механизм хранения — сервер ADS-Storage.

Обработка данных, а также механизм корреляции, осуществлена с помощью модуля ADS Rule Manager. Этот модуль решает также вызов сигнала тревоги на основании принятых данных и отправляет их, используя ADS-API, на сервер представляющий данные — ADS-Web.

ADS-Web

Одна из функций ADS-Web является возможность предоставления приложений ADS-GUI, в качестве инструмента для представления сигналов тревоги в последствии атаки и событий, обнаруженных с помощью системы ADS.

Аварийные сигналы, обнаруженные с помощью услуги ADS Rule Manager, принимаются через канал связи ADS-API, который находится на этой же машине. ADS-GUI отвечает однако за представление сигналов тревоги для конечного пользователя. Дополнительно этот модуль позволяет осуществить поиск принятых сигналов тревоги и сдать отчёт. Поиск аварийных сигналов может быть реализован по нескольким критериям, например: по исходному адресу клиентов, логина и тд..

ADS-GUI имеет возможность интеграции с Active Directory, что позволяет эффективно построить роли доступа основанных на дереве доменов. Для того, чтобы максимально увеличить эффективность GUI-ADS было предусмотрено решение, которое высылает уведомления о сигналах тревоги в виде электронной почты и SMS. Уведомления являются персонализированными в соответствии с типом сигнала тревоги и / или приоритетов событий.
ADS-GUI, благодаря расширенному модулю дашборда, без отсрочки информирует вас о событиях в инфраструктуре клиента - также в форме карты, которая позволяет одним взглядом увидеть даже рассеянные места.