Стратегия 6. Часть 5. Мониторинг и защита узлов. Практика и рекомендации

Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее:

Мониторинг и защита на базе хоста – не панацея

Некоторые SOC для получения необходимого финансирования или полномочий вынуждены расхваливать возможности перед высшим руководством. Когда речь заходит о каком-либо защитном инструменте, управление ожиданиями ИТ-руководителей является сложной задачей. И для хостовой системы предотвращения второжений эта проблема кажется особенно острой. У многих руководителей создается впечатление, что с развертыванием средства под названием «хостовая СОВ» узлы становятся полностью «защищены» и «все хорошо». Конечно, это не так. SOC рекомендуется придерживаться осторожной стратегии обращения к высшему руководству при развертывании любого масштабного инструмента, такого как HIDS/HIPS.

Коммерческие инструменты предназначены для рабочего стола Windows, в первую очередь, и для серверной среды Windows, во вторую

Во многих случаях они не актуальны в контексте UNIX, Linux, MacOS, мэйнфрейма или встроенного устройства. Например, на сервере Linux сочетания блокировки системы, IP-цепочек, сбора логов и Tripwire может быть более чем достаточно.

SOC рекомендуется работать с руководством заказчика и системными администраторами для выработки здравого подхода к полноценному охвату узлов мониторингом, при этом обеспечивая релевантность платформы и угроз. Большинству SOC удается добиться того, чтобы их пакеты мониторинга узлов стали частью базовой конфигурации серверов и настольных компьютеров, разработанной и развернутой соответствующими подразделениями ИТ-проектирования и эксплуатации.

Однако практика показывает, что системы, больше всего нуждающиеся в надежных инструментах мониторинга и предотвращения вторжений, часто являются самыми хрупкими или устаревшими (например, платформы мэйнфреймов) и, следовательно, плохо подходят для установки большинства пакетов мониторинга хостов COTS.

Агрессивный мониторинг хостов расширяет зону ответственности SOC

Определение сигнатур и политики их защиты является задачей SOC, поскольку это функция защиты. С другой стороны, управление системой является задачей ИТ-подразделения, членом которого SOC может быть или не быть. Если SOC создает и продвигает политику сенсоров, которая ухудшает работу клиентских служб, с большой вероятностью его позиция станет уязвимой. Повторяющиеся ошибки подрывают политический вес SOC и/или заставляют руководителей ИТ-отделов пересмотреть дальнейшее использование его возможностей.

При развертывании средств для активного предотвращения инцидентов на хосте, SOC рекомендуется соблюдать формальные регламенты работ, согласованные с руководством ИТ-подразделения, которые дают SOC своевременный контроль над политиками сигнатур и другими изменениями в области мониторинга и подразумевают информирование и вовлечение ИТ-подразделения и службы поддержки. SOC должен осторожно управлять ресурсами, предназначенными для обеспечения бесперебойной работы пакетов мониторинга хоста и интеграцией с базовыми параметрами рабочих станций и серверов заказчика. К сожалению, это может не позволить SOC использовать возможности HIDS/HIPS для систем, не являющихся критически важными.

Согласованные базовые конфигурации рабочих мест и серверов и централизованное управление являются необходимыми условиями для использования инструментов мониторинга на хостах

Развертывание и обновление этих инструментов требует наличия прав на административный доступ к отслеживаемым системам. В случае домена Windows это относительно просто. В других случаях (например, если сеть очень большая или фрагментированная), развертывание и управление будут намного сложнее. Получение привилегий администратора только для передачи клиентского узла на мониторинг целевым системам будет сложной задачей.

Часто требуется протестировать интеграцию пакетов мониторинга хоста на каждой базовой конфигурации сервера или рабочего места. Если системы заказчика не соответствуют согласованным базовым конфигурациям, обеспечить тестирование и надежную работу будет намного сложнее. Без тщательного планирования развертывание в организации HIDS/HIPS, средств предотвращения утечек информации или системы мониторинга активности пользователей может привести к сбоям как в системе, так и в обслуживании, начиная от незапускающихся приложений и заканчивая невозможностью использовать принтер.

Несколько клиентов мониторинга, развернутых на одном хосте, часто конфликтуют

Ни один инструмент не может выполнить всех задач, поэтому SOC могут использовать несколько независимых технологий защиты хоста. В некоторых случаях один инструмент может работать неправильно из-за конфликта с другим при вторжении в ядро ОС. Иногда инструменты идентифицируют друг друга как вирусы и либо деактивируют друг друга, либо приводят к тому, что система вообще перестает функционировать, например, вызывая синий экран смерти в Windows (BSOD). Тщательное тестирование интеграций, а также открытый диалог с поставщиками используемых инструментов перед развертыванием должны помочь выявить и смягчить эти конфликты.

Сами пакеты мониторинга хоста могут служить направлением атаки или представлять слепые зоны в видимости из-за их уровня привилегий

Если в интерфейсе управления инструмента мониторинга хоста присутствует уязвимость, которую можно использовать удаленно, она фактически предоставляет злоумышленникам новые средства для получения доступа или распространения по сети. Поэтому поставщики средств защиты должны подвергаться дополнительной проверке: их продукты должны повышать, а не снижать безопасность хоста.

Вредоносное ПО, эксплуатирующее другие программы с правами администратора, будет на одном уровне защиты с инструментом мониторинга хоста, возможно, нарушая или искажая его работу способом, который не будет распознан аналитиком SOC. Может казаться, что инструмент работает нормально, на деле рассматриваемый HIPS или антивирус может быть полностью скомпрометирован.

Некоторые пакеты мониторинга хоста создают собственную кодовую базу, используемую для прямой проверки компонентов системы, памяти и носителей, не полагаясь на потенциально искаженный интерфейс программирования приложений ОС для тех же целей.

Несмотря на эти проблемы, практически все внутренние распределенные и централизованные SOC используют хостовые инструменты для большей части инфраструктуры заказчика. Хост предоставляет так много уникальных возможностей для мониторинга и активной профилактики, что они перевешивают возможные проблемы, связанные с интеграцией и обслуживанием хостовых инструментов.

Поделиться записью: