Аппаратно-программный комплекс обнаружения компьютерных атак "Аргус" версии 1.5.

Наименование: Аппаратно-программный комплекс обнаружения компьютерных атак «Аргус» версии 1.5.

Обозначение: ДВИК.40006-15

Сертификация:

ФСБ России: сертифицирован (регистрационный номер СФ/129-1655 от " 25 " декабря 2011 г., срок действия – до 25 декабря 2014 г.) на соответствие требованиям ФСБ России к системам обнаружения компьютерных атак класса В Сертификат >>

ФСТЭК России: сертифицирован (сертификат соответствия № 2487 от 23 ноября 2011 г., срок действия – до 23 ноября 2014 г.) на соответствие требованиям Руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) – по 4 уровню контроля и на соответствие требованиям Технических условий ДВИК.40006-15 ТУ. Сертификат >>

Аппаратно-программный комплекс обнаружения компьютерных атак "Аргус" версии 1.5. (АПК "Аргус", Комплекс) может использоваться в АИС, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, органов государственной власти Российской Федерации, органов государственного управления и других государственных учреждений Российской Федерации, а также может использоваться для создания автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в информационных системах персональных данных до 1 класса включительно

АПК "Аргус" версии 1.5 разработан с учётом опыта эксплуатации с 2007 г. по настоящее время АПК "Аргус", версии 1.0.

Функциональность, удобство обслуживания АПК "Аргус", версии 1.5 существенно доработана и в настоящее время он обладает широкими возможностями, предназначенными для обнаружения сетевых компьютерных атак на компоненты в АИС, построенных с использованием стека протоколов TCP/IP. Комплекс позволяет выявлять подозрительные воздействия, которые могут нанести вред наиболее критичным компонентам АИС — операционным системам и приложениям, реализующим сетевые сервисы информационной системы.

Для решения данной задачи Комплекс проводит анализ протоколов в реальном масштабе времени на скорости канала до 1 Гбит/сек. Следует отметить, что при использовании нескольких АПК "Аргус" версии 1.5 в организации появляется возможность анализа трафика, превышающего 1Гбит/сек. В этом случае в одном сегменте сети устанавливается несколько Комплексов, данные от которых аккумулируются на сервере Система РАМС ИБ.

Для поиска компьютерных атак АПК "Аргус" версии 1.5 выполняет сигнатурный анализ сетевого трафика, анализ протоколов, анализ аномалий, анализ по накопленной статистике для протоколов 3-7 уровней эталонной модели взаимодействия открытых систем (ЭМВОС).

Для управления доступны два физических канала: COM-порт и Ethernet- интерфейс. По каналу Ethernet возможен доступ по протоколу Telnet и HTTP (Web-интерфейс). Web-интерфейс значительно упрощает работу оператора. Набор команд по обоим каналам управления совпадает. В случае канала управления Ethernet соответствующий порт рекомендуется включать в сеть управления, которая физически или логически (на уровне ТКО) разделена с сетью мониторинга. Комплекс представляет собой замкнутую защищенную аппаратно-программную среду на базе модифицированного ядра OpenBSD 4.7.

АПК "Аргус" версии 1.5 имеет встроенные пользовательские интерфейсы для анализа событий ИБ, подготовки отчетов операторами и администраторами Комплекса.

Комплекс дает возможность получения широкого набора статистических данных. в виде диаграмм и таблиц, которые доступны для анализа через Web-интерфейс.

Копия экрана консоли управления с одним из примеров представлена ниже:

В Комплекс включены наборы отчетов по Netflow-статистике для анализа следующих данных:

  • хосты, использующие большой процент пропускной способности сети;
  • хосты с большим числом контактов с другими хостам сети;
  • хосты, использующие запрещенные протоколы или некорректно использующие разрешенные протоколы;
  • общее процентное соотношение используемых протоколов, в том числе и соотношение трафика протоколов TCP и UDP;
  • общие показатели трафика: количество пакетов, объем;
  • общее распределение трафика по портам TCP и UDP;
  • список активных хостов в сети с индивидуальными общими характеристиками трафика хостов (размер, пакеты, используемые протоколы, TCP/UDP-сессии и TCP/UDP-порты);
  • загруженность сети по интервалам времени: 10 минут, 1 час, 1 день, 1 месяц;
  • общее процентное соотношение трафика между хостами локальной подсети и между локальными и внешними хостами;
  • матрица хостов локальной сети с объемом трафика, которым они обмениваются.

На основе перечисленных данных можно расследовать Denial of Service (DoS)/Distributed Denial of Service (DDoS) атаки и установить хосты, входящие в бот-сети, сканирование хостов и др. аномалии сетевых взаимодействий в информационной системе.

Необходимо отметить, что Система РАМС ИБ расширяет функционал отчетной системы Комплекса, позволяя производить корреляцию событий как от нескольких АПК "Аргус", так и от других поставщиков сообщений по информационной (ИБ) безопасности, в том числе настраивать реакции на зафиксированные события ИБ (Для передачи информации Системе РАМС ИБ о зарегистрированных событиях от подсистемы сигнатурного анализа трафика Комплекса предусмотрен режим передачи в формате IDMEF по протоколу надежного транспорта, разработанному в ООО "ЦСС").

Для достижения наибольшей гибкости и точности настройки Комплекса используется язык интерпретируемых сценариев. Механизм сценариев предназначен для задания логики и образцов, искомых в трафике данных, а также задания способа реагирования на зарегистрированные события. Язык содержит следующие конструкции:

  • переменные, константы, переопределяемые переменные;
  • типы данных: регулярное выражение, целый, десятичный, строка, время, запись, список, таблица, множество, перечисление;
  • поддержка неявной типизации по контексту;
  • операторы: отрицания, логические, арифметические;
  • циклы, условия, операторы перехода;
  • области видимости: файл, функция;
  • директивы препроцессора: загрузка файлов политик и сигнатур;
  • предопределение функций, функции, функции-события;
  • обработчик события, планировщик события;
  • поддержка регулярных выражений.

Отдельно можно выделить возможности объекта сигнатуры, инкапсулирующего входные данные для сигнатурного анализа:

  • устанавливать зависимости между сигнатурами в рамках соединения (например, условием проверки текущей сигнатуры является срабатывание другой сигнатуры, настроенной на ответ сервера об ошибке);
  • задавать несколько регулярных выражений;
  • задавать регулярные выражения только для заголовка или тела пакета;
  • объект сигнатуры имеет доступ к контексту соединения для прикладных протоколов, поэтому можно параметризировать свойства соединения, в рамках которого ожидается реакция: направление, статус, порт, адрес, протокол.

С помощью сценариев можно получать доступ к данным анализаторов протоколов АПК "Аргус" версии 1.5 и описывать, что следует предпринять в обработчике событий. Обработчики событий могут управлять и обновлять информацию об общем состоянии системы, генерировать новые события, запускать функции, генерировать уведомления с сигналами тревоги и направлять их внешним получателям по e-mail. Механизмы настройки сценариев позволяют сократить ручное редактирование, сократить число вносимых ошибок и сократить время настройки Комплекса.

Сценарии и сигнатуры поставляются ООО "ЦСС", а также могут перенастраиваться и разрабатываться администратором безопасности конкретной организации. В настоящее время в комплектацию может входить до 14 000 сигнатур. Через механизм сценариев можно настраивать поддерживаемые в настоящее время анализаторы протоколов Комплекса:

  • транспортного уровня: ARP, IP, ICMP, TCP, UDP;
  • прикладного уровня: DHCP, SunRPC, DCE_RPC, DNS, Finger, Gnutella, FTP, HTTP, Ident, IRC, Netbios-SSN, NCP, NFS, NTP, POP3, Portmapper, RSH, Rlogin, SMB, SSH, SSL, SMTP, Telnet.

На основе сценариев можно организовать политики безопасности, которые будут предназначены для контроля трафика на предмет наличия:

  • Java-апплетов, ActiveX-сценариев, макровирусов, Internet-червей и др. вредоносных объектов;
  • определенных символьных последовательностей и ключевых слов в заголовках или в теле пакета;
  • использования сетевых приложений (Web, ICQ и т.д.);
  • атак типа Bruteforce (перебор паролей методом "грубой силы") для протоколов HTTP, FTP, SMB, SSH, Telnet и др.;
  • инкапсуляции протоколов с целью создания туннелей;
  • аномалий в работе протоколов и отклонений от RFC на основе статистического и эвристического анализа;
  • распределенных во времени атак, проводимых с использованием различных протоколов;
  • атак, производимых при помощи фрагментированного трафика;
  • трафика троянских программ.

Дополнительную информацию об атаках можно получить из базы данных описания компьютерных атак (БДОКА) ООО "ЦСС". БДОКА совместима с Common Vulnerabilities and Exposures (CVE).

Таким образом, применение АПК "Аргус" высокоэффективно в качестве средства обнаружения и расследования инцидентов, выявления небезопасных служб и участков сети организации, а также в определении производительности сети.

АПК "Аргус" может использоваться в автоматизированных информационных системах органов государственной власти, государственного управления и других организаций Российской Федерации, в том числе – обрабатывающих информацию ограниченного распространения.

© 2002-2011 Центр Специальной Системотехники |