ИТ-безопасность - важнейшая характеристика качества бизнеса

Бизнес-обзор решений IBM Tivoli по безопасности

Информационная безопасность – это, прежде всего, защищенность бизнес информации и поддерживающей бизнес инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям бизнес информации и поддерживающей бизнес инфраструктуры.
Какие решения могут помочь в стремлении защитится от угроз ИТ безопасности, обойти влияние неблагоприятных факторов, не допустить или минимизировать причиненный ущерб?

Рассмотрим обзор линейки програмных продуктов, отлично зарекомендовавших себя на рынке решений ИТ-безопасности, а именно решения линейки IBM Tivoli для обеспечения безопасности.
Комплексное использование данной линейки продуктов позволяет:

• обеспечивать надежную сохранность интеллектуальной собственности, защиту конфиденциальной информации целостность и доступность информации;
• оперативно контролировать соблюдение политики информационной безопасности;
• обеспечить юридическую значимость расследования инцидентов безопасности;
• соответствовать нормативным требованиям;
• обеспечить непрерывность бизнес-процессов компании.

Решения IBM Tivoli в области обеспечения безопасности направлены на решение двух ключевых задач электронного бизнеса: автоматизированного управления учетными записями и управления событиями в сфере безопасности.
Решение IBM Tivoli для управления учетными записями быстро окупает вложенные в него средства, позволяя быстро включать в работу пользователей, системы и приложения и эффективно управлять учетными записями, правами доступа и требованиями конфиденциальности на протяжении жизненного цикла учетной записи. Решение IBM Tivoli для управления событиями в сфере безопасности позволяет отслеживать события в сфере ИТ-безопасности электронного бизнеса, сопоставлять их и оперативно принимать ответные меры.
В конечном итоге, решеИнформационная ния IBM для управления безопасностью помогают реализовать концепцию бизнеса по требованию, при которой бизнес-процессы объединяют все подразделения, ключевых партнеров, поставщиков и заказчиков,могут гибко и оперативно реагировать на любое требование заказчика, рыночную возможность или внешнюю угрозу.
Решения IBM позволяют автоматизировать и интегрировать ИТ-процессы и взаимодействие между ними, сделать процессы более эффективными и в минимальной степени зависящими от действий сотрудников и практически свободными от ошибок.
В настоящее время управление безопасностью - это не один интегрированный про-
цесс, а набор тесно связанных видов деятельности, охватывающих множество процессов.
Ассортимент решений IBM позволяет обеспечить управление безопасностью в рамках многочисленных процессов:

• управление идентификационными данными и доступом;
• управление уязвимостями системы безопасности;
• управление соответствием ИТ-инфраструктуры предъявляемым к ней требованиям.

В состав решений IBM Tivoli для управления безопасностью входят следующие продукты:

• IBM Tivoli Federated Identity Manager ;
• IBM Tivoli Access Manager for Enterprise Single Sign-On;
• IBM Tivoli Identity Manager;
• IBM Tivoli Security Compliance Manager;
• IBM Tivoli Access Manager for e-business;
• IBM Tivoli Access Manager for
• Business Integration;
• IBM Tivoli Access Manager for Operating Systems;
• IBM Tivoli Directory Integrator;
• IBM Tivoli Directory Server;IBM Tivoli Compliance Insight Manager;IBM Tivoli Security Operations Manager.

IBM Tivoli Identity Manager обеспечивает централизацию и автоматизацию процедур создания, изменения и удалении учетных записей и управления идентификационными данными пользователей. Это программное предназначено для обеспечения администрирования идентификационных данных и управления изменениями в соответствии

с политиками безопасности, а именно для:

• проверки пользователя - проверка применимости каждой учетной записи пользователя
• для каждого ресурса;
• предоставления ресурсов пользователям - точная конфигурация доступа пользователя для каждого ресурса и соответствующая реакция на изменения;
• повышения продуктивности пользователей - эффективное предоставление пользователям доступа к необходимым ресурсам.

Основные особенности IBM Tivoli Identity Manager следующие:

• помогает сократить расходы на содержание службы поддержки и облегчает каждодневную нагрузку на ИТ-персонал за счет Web-технологий самообслуживания и интерфейсов для сброса/синхронизации пароля;
• снижает сложность работы, уровень квалификации и потребность обучения персонала, который управляет несколькими собственными интерфейсами, благодаря инструментам централизованного администрирования через Web;
• позволяет пользователям быстрее перейти к активной и продуктивной работе за счет
• автоматизированного управления пользователями;
• снижает вероятность ошибок оператора и несоответствий, типичных для ручной обработки информации, вследствие автоматизации рабочего процесса;
• быстро интегрирует новые коммерческие инициативы и поддерживает расширение
• компании при помощи набора инструментов для управления приложениями.

IBM Tivoli Compliance Insight Manager - решение для аудита действий пользователей
и контроля соответствия нормативным требованиям. Большинство компаний при
организации системы управления информационной безопасностью уделяет значительное внимание защите от внешних угроз, используя межсетевые экраны, средства предотвращения вторжения антивирусные средства. Однако, как показывает общемировая статистика, наибольший ущерб информационным ресурсам наносят
внутренние пользователи (около 80 % всех инцидентов безопасности).
При этом наибольшую опасность могут представлять злоумышленники с высокими
полномочиями доступа администраторов сетей, операционных систем, приложений, баз
данных.
Tivoli Compliance Insight Manager позволяет осуществлять мониторинг рабочих операций пользователей на предмет их соответствия корпоративным политикам по соблюдению нормативных требований, и автоматически выводить предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий.
Основные особенности IBM Tivoli Compliance Insight Manager такие:

• обеспечивает всеобъемлющий мониторинг за действиями пользователей, в том числе
• суперпользователей на уровне операционных систем, баз данных, приложений, сетевых устройств, средств безопасности, мэйнф рэймов;
• позволяет проводить оперативное расследование инцидентов безопасности;
• позволяет формировать отчеты на соответствие нормативным требованиям.
• Удобные инструменты по разработке политик контроля доступа позволяют администратору безопасности абстрагироваться от технических аспектов и оперировать на уровне бизнес-правил. Например,
• «Сотрудники отдела кадров должны иметь доступ к базе данных учета кадров в рабочие часы и со своих рабочих станций»;
• «Уведомить о нарушении политики доступа в случае, если администратор базы данных
• получил доступ к финансовой информации».

IBM Tivoli Compliance Insight Manager осуществляет корреляцию событий безопасности от
различных источников:

• Tivoli Access Manager;
• Tivoli Identity Manager;
• Tivoli Security Operations Manager;
• IBM ISS;
• операционных систем (Windows 2000, Windows 2003, Windows XP, HP-UX, AIX, Solaris, Novell Netware, z/OS и пр.);
• СУБД (Oracle, MS SQL, DB2 и пр.);
• приложений (SAP R/3, Domino, MS Exchange, MS IIS и пр.);
• сетевых устройств;
• средств безопасности (антивирусов: Symantec, TrendMicro, межсетевых экранов: Cisco PIX, Check Point).

Затем преобразует значительные объемы информации о событиях безопасности к удобному для восприятию стандартному формату - согласно методологии W7 («Who, did What, When, Where, Where from, Where to and on What» - «Кто сделал Что, Когда, Где,
Откуда, Куда и на Чем») - понятному администратору безопасности, аудитору или руководителю организации, которым не нужна детальная информация о всех аспектах и
источниках полученных данных. Отображение преобразованной информации по методологии W7 на Web-консоли администратора безопасности позволяет оперативно контролировать нарушения политики безопасности, предоставляет возможности дальнейшего расследования инцидентов безопасности.
Одной из важных функций по управлению журналами событий безопасности является
контроль полноты и непрерывности их ведения и хранения, так как в случае судебных
разбирательств по противоправным действиям компания-истец должна будет доказать, что журналы событий безопасности велись непрерывно и в необходимом объеме. Причем, при проведении расследования инцидентов можно получить информацию не только от преобразованного журнала событий, но и восстановить журнал событий непосредственно от их источника.
Сбор событий безопасности от информационных ре-сурсов осуществляется как с помощью устанавливаемых агентов IBM Tivoli Compliance Insight Manager, так и на основе agent-less технологии (без агентов) с использованием протоколов: Syslog, SNMP, API, Ftp.

IBM Tivoli Security Operations Manager функционально дополняет Tivoli Security Insight Manager, образуя мощное комплексное решение IBM по управлению событиями информационной безопасности. Если Tivoli Compliance Insight Manager обеспечивает контроль за внутренними угрозами, исходящими от пользователей, то Tivoli Security Operations Manager предназначен преимущественно для снижения рисков и угроз, исходящих от внешних нарушителей и технологий.
Tivoli Security Operations Manager (TSOM) - это набор программных модулей для построения системы сбора и корреляции сообщений от различных устройств и программ
обеспечения информационной безопасности. TSOM предназначен для служб эксплуатации систем информационной безопасности, он позволяет автоматизировать часто повторяющиеся и трудоемкие операции, применяемые специалистами для своевременного обнаружения угроз.
Примерами таких операций могут быть:

• сопоставление сообщений от сетевых устройств безопасности по всему пути прохождения атаки;
• оценка интенсивности (частоты) этих попыток, анализ журналов систем и сообщений узловых приложений обнаружения вторжений (HIDS);
• соотнесение этих данных с учетными данными по уязвимости конкретных систем и
• сообщениями антивирусного ПО и т.п.

Исходные и обработанные данные предоставляются специалистам в виде инструментальных панелей (диаграммы, таблицы сообщений, географические карты) и исторических отчетов. Отчеты могут создаваться как по запросу, так и по расписанию; поддерживаемые форматы отчетов - HTML, PDF и XML. Все оперативные данные и отчеты доступны через Web-интерфейс. Решение поддерживает более ста устройств
и программ информационной безопасности от различных производителей: межсетевые
экраны, узловые и сетевые системы обнаружения и предотвращения вторжений, сканеры на наличие уязвимых мест, антивирусное программное обеспечение. Источниками сообщений могут быть журналы операционных систем и прикладного ПО, сетевые устройства (SNMP Traps/Syslog), ПО служб каталогов и систем аутентификации и авторизации.
Благодаря тому, что TSOM - модульная система, ее архитектура позволяет получить требуемую производительность для обработки и сохранения потоков сообщений очень большой интенсивности (500 и более сообщений в секунду на один агрегационный модуль). ЕАМ (Event Aggregation Module) выполняет функции сбора сообщений. Он поддерживает следующие способы получения данных: Syslog, SNMP, SMTP, XML, журналы Windows, ASCII File and Directory Tailer, JDBC, а также интерфейсы прикладного программирования OPSEC, Cisco Secure POP, EStreamer.
Для подключения объектов, к которым нет готового интерфейса, используется так называемый Универсальный Агент (Universal Collection Module).
Логика унификации и обработки сообщений в ЕАМ задается текстовыми файлами правил,
написанными на языке Perl. Производительность и масштабируемость системы обеспечиваются за счет увеличения количества ЕАМ. Все собранные и приведенные к единому виду данные предаются на центральную станцию управления CMS (Central Management System). CMS - это ядро решения. В ней происходит корреляция, анализ угроз, хранение данных и создание отчетов. Анализ и приоритезация данных производится при помощи четырех дополняющих друг друга корреляционных техник:

• Корреляция на основе правил (Rule-based Correlation) - позволяет выявить известные
• атаки и нарушения политики безопасности.
• Корреляция с учетом уязвимости цели (Vulnerability Correlation) - сопоставляет известные атаки с извес тными слабыми местами на атакуемой системе (данные по уяз-
• вимости могут экспортироваться из сканеров, напр, из Nessus).
• Статистическая корреляция (Statistical Correlation) - запатентованный алгоритм этой
• корреляции позволяет выявлять неизвестные ранее атаки и ненормальные, потенциально опасные, действия.

Оценка степени угрозы производится на основе приоритета сообщения, его частоты
и весовых коэффициентов (степени критичности) источника атаки и атакуемого хоста. В среднем, одна только статистическая корреляция может выявлять до 70% всех инцидентов. Особенно хорошо данная техника показала себя в борьбе с «червями» и
другими связанными с Интернет угрозами.

• Корреляции с учетом восприимчивости (Susceptibility Correlation) - определяет вероятность нанесения повреждения атакуемому объекту. Примеры решаемых вопросов: существует ли атакуемый сервер, открыты ли на нем «атакуемые» ТСР-порты, уязвима

ли для такой атаки его операционная система, есть ли вообще на этом сервере приложение, которое пытаются взломать. В дополнение к этим корреляциям TSOM, при оценке угроз, может принимать во внимание бизнес-значимость ресурса. После корреляции информация становится доступна генератору отчетов, а также может использоваться сервером приложений для инициации различных автоматизированных действий. Например, сервер может отправить уведомление по электронной почте, SNMP trap, сгенерировать синтетическое сообщение, изменить настройку межсетевого экрана и т.д. Специальные инструментальные панели реального времени также создаются в
результате работы этого сервера приложений. Для обеспечения высокой производительности системы CMS может устанавливаться на отдельном сервере.

В публикации использованы материалы корпорации ІBM