Разработка предложений по внедрению системы управления событиями информационной безопасности в систему безопасности организации

Цель:
Разработка программного обеспечения для интеграции различных средств и систем защиты информации в систему управления событиям информационной безопасности и внедрения её в учебный процесс кафедры.
Объект исследования:
Функциональная структура системы управления событиями информационной безопасности Комрад 4.0.
Предмет:
Методы интеграции различных систем и средств защиты информации в систему управления событиям информационной безопасности организации.

Предоставить краткую характеристику SIEM-систем как класса систем управления событиями информационной безопасности.
Провести сравнительный анализ возможностей SIEM-систем отечественного производства. Выбрать наиболее оптимальный вариант SIEM-системы.
Определить порядок внедрения в систему безопасности организации выбранной системы управления событиями информационной безопасности.
Разработать модель функциональной структуры SIEM-системы.
Сформировать методики для реализации программных компонентов, обеспечивающих подключение средств и систем защиты к SIEM-системе.
Произвести разработку программных компонентов.
Представить описание процесса развертывания SIEM-системы в организации для использования ее в учебном процессе кафедры.
Провести эксперимент по проверке работоспособности SIEM-системы с подключенными к ней разнотипными системами и средствами защиты.
Провести оценку эффективности результатов исследования.

Задачи исследования:

Структура исследования

1. АНАЛИЗ ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЕЙ SIEM-СИСТЕМ И ОБОСНОВАНИЕ НЕОБХОДИМОСТИ ИХ ВНЕДРЕНИЯ В СИСТЕМУ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
1.1 Анализ структуры и функционирования системы защиты информации в организации и обоснование необходимости применения SIEM-систем.
1.2 Сравнительный анализ отечественных SIEM-систем и обоснование выбора системы управления событиями информационной безопасности Комрад 4.0.
1.3 Формирование учебного варианта структуры системы защиты информации в организации.
1.4 Анализ возможностей системы по проведению интеграции разнотипных средств и систем защиты информации.
1.5 Выбор языка программирования для создания программного обеспечения для интеграции различных средств и систем защиты.

2. МЕТОДИКА СОЗДАНИЯ ИНТЕГРИРОВАННОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОРГАНИЗАЦИИ НА ОСНОВЕ СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
2.1 Разработка модели функционирования интегрированной системы безопасности информации на основе системы управления событиями информационной безопасности Комрад 4.0.
2.2 Методика разработки программного обеспечения для интеграции разнотипных средств и систем защиты информации в систему управления событиями информационной безопасности.
2.3 Методика оценки эффективности функционирования и применения в учебном процессе интегрированной системы безопасности информации в организации.

3. ПРЕДЛОЖЕНИЯ ПО РАЗВЁРТЫВАНИЮ В ОРГАНИЗАЦИИ ИНТЕГРИРОВАННОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОСНОВЕ СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМРАД 4.0.
3.1 Разработка программного обеспечения для интеграции разнотипных средств и систем защиты информации.
3.2 Развертывание интегрированной системы безопасности информации на основе системы управления событиями информационной безопасности Комрад 4.0.
3.3 Проведение эксперимента по проверки работоспособности интегрированной системы безопасности информации на основе системы управления событиями информационной безопасности Комрад 4.0.
3.4 Оценка эффективности функционирования и внедрения в учебный процесс интегрированной системы безопасности информации на основе системы управления событиями информационной безопасности Комрад 4.0.

1.1 Понятие и функциональные возможности SIEM-систем

Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий информационной безопасности и реагирования на них.
SIEM-система собирает, анализирует и представляет информацию из сетевых устройств и устройств безопасности. Также в эту систему могут входить приложения для управления идентификацией и доступом, инструменты управления уязвимостями, базы данных и приложений.
Для наглядности мы выделим несколько функций, которые обычно реализуются SIEM-системами:
Возможность отправки предупреждений на основе предопределенных настроек.
Отчеты и логирование для упрощения аудита.
Возможность просмотра данных на разных уровнях детализации.

1.1 Сценарии использования SIEM-систем

Сценарии использования SIEM:
Отслеживание аутентификации и обнаружение компрометации аккаунтов пользователей и администраторов. Отслеживание случаев заражения.
Обнаружение вредоносных программ с использованием исходящих журналов брандмауэра и журналов веб-прокси, а также внутренних журналов подключения и сетевых потоков.
Мониторинг подозрительного исходящего трафика и передаваемых по сети данных с использованием журналов брандмауэра, журналов веб-прокси и NetFlow.
Обнаружение кражи данных и других подозрительных внешних соединений. Отслеживание системных изменений и других административных действий во внутренних системах и их соответствия разрешенной политике.
Отслеживание атак на веб-приложения и их последствий с использованием журналов веб-сервера, WAF (Web Application Firewall, экран для защиты веб-приложений) и логов приложений.

1.2 Сравнительный анализ отечественных SIEM-систем

1.2 Сравнительный анализ отечественных SIEM-систем

1.2 Сравнительный анализ отечественных SIEM-систем
Обоснование необходимости внедрения в учебный процесс
В настоящее время SIEM-системы получили широкое распространение. В данный момент есть необходимость в подготовленных специалистах, которые способны работать с этими системами. Помимо научной цели, решается задача внедрения класса данных систем в учебный процесс, а именно разработка учебно-методических материалов по:
Установке ПО;
Настройке модулей системы;
Формированию графа подключений;
Работы с отчётами.

1.2 Сравнительный анализ отечественных SIEM-систем
КОМРАД 4.0  – гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр отечественных средств защиты информации.
Применение КОМРАД позволяет:
осуществлять централизованный мониторинг событий ИБ,
выявлять и оперативно реагировать на инциденты ИБ,
выполнять требования, предъявляемые регуляторами к защите персональных данных, а также к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.
отправлять данные о событиях и инцидентах ИБ во внешние системы (например, ГосСОПКА).

Комрад 4.0 – Система управления событиями ИБ

1.3 Исходные данные системы защиты информации организации (учебный вариант)

1.4 Оборудование организации и возможность его совмещения с системой управления событиями ИБ Комрад 4.0

1.4 Оборудование организации и возможность его совмещения с системой управления событиями ИБ Комрад 4.0

1.5 Сравнительный анализ и выбор средств разработки программного обеспечения

2.1 Функциональная схема
интегрированной системы безопасности

2.1 Структурная схема
интегрированной системы безопасности

2.2 Алгоритм работы ПО

2.2 Алгоритм работы ПО

2.3 Оценка показателей эффективности
внедрения интегрированной системы

3.1 Подключенные средства и комплексы

3.2 Развёртывание интегрированной системы.
3.2.1 Установка базовой системы Комрад 4.0

Загрузка дополнительных компонентов

3.2 Развёртывание интегрированной системы.
3.2.1 Установка базовой системы Комрад 4.0

Выбор сетевого интерфейса

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Получение настроек по DHCP

3.2 Развёртывание интегрированной системы.
3.2.1 Установка базовой системы Комрад 4.0

Настройка учётной записи администратора

3.2 Развёртывание интегрированной системы.
3.2.1 Установка базовой системы Комрад 4.0

Выбор жёсткого диска, на который будет установлена система

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Справка по разметке

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Установка базовой системы

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Выбор программного обеспечения

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Установка главного узла системы

3.2 Развёртывание интегрированной системы
3.2.1 Установка базовой системы Комрад 4.0

Установка узла с модулем корреляции

3.2 Развёртывание интегрированной системы
3.2.2 Подключение модулей системы

Меню модулей системы Комрад 4.0

3.2 Развёртывание интегрированной системы
3.2.3 Виджет «События за последний час»

События за последний час

3.2 Развёртывание интегрированной системы
3.2.4 Подключение внешних устройств

Меню подключения внешних устройств

Меню управления
подключенными устройствами

Настройка маппинга
подключенных устройств

3.2 Развёртывание интегрированной системы
3.2.5 Разработка ПО для интеграции средств и систем

Текущие процессы от источников событий

Процесс разработки ПО

3.2 Развёртывание интегрированной системы
3.2.6 Особенности подключения устройств

Тип плагинов сбора событий

Список плагинов подключения
внешних устройств

3.2 Развёртывание интегрированной системы
3.2.7 Граф подключений источников событий

Граф подключений событий

3.2 Развёртывание интегрированной системы
3.2.8 Работа модулей с внешними подключениями

Подключение устройств к интегрированной системе

Сообщение о начале подключения к системе

Сообщение об остановке загрузчика

3.3 Проведение эксперимента по
проверки работоспособности интегрированной системы
3.3.1 Настройка оповещений об инцидентах

Настройка оповещения об инциденте

Рабочая область запроса содержит следующие элементы:
название запроса;
кнопка выбора типа графика;
кнопка вызова окна редактирования запроса;
кнопка удаления запроса;
период обновления данных (для автоматического запроса);
SQL-запрос (для автоматического запроса);
вкладка с данными;
вкладка с графиком;
результат выполнения запроса (выборка данных).

3.3 Проведение эксперимента по
проверки работоспособности интегрированной системы
3.3.2 Карточка инцидента

Карточка инцидента

3.3 Проведение эксперимента по
проверки работоспособности интегрированной системы
3.3.3 Хранилище инцидентов

Хранилище инцидента

3.3 Проведение эксперимента по
проверки работоспособности интегрированной системы
3.3.4 Меню информации об инциденте

Меню информация об инциденте

3.4 Оценка эффективности внедрения в учебный процесс интегрированной системы безопасности информации на основе системы управления событиями информационной безопасности Комрад 4.0