Термин «ситуационная осведомленность» появился у военных еще во время Первой мировой войны, но сейчас благодаря развитию технологий он зазвучал по-новому. Это понятие означает возможность получения достаточно полного и точного набора необходимой для принятия решения информации о ситуации в реальном масштабе времени, включая характер и особенности местности, погодные и климатические условия, данные о противнике и своих войсках и пр. Бывший начальник штаба ВВС США генерал Джон Джампер (John P. Jumper) сформулировал понятие «ситуационная осведомленность» следующим образом: «Получить точные данные о ситуационной осведомленности - значит увидеть место преступления до его совершения». На текущий момент эффективность формирования ситуационной осведомленности на различных уровнях управления приравнивается американскими военными специалистами к изобретению огнестрельного оружия.

Этот особый комплексный подход к системам управления актуален не только для военных. Ведь потребность в полномасштабном владении ситуацией существует в самых различных областях, где присутствует большой объем информационного потока и достаточно высока степень риска, т.е. там, где неудачное решение может иметь тяжелые последствия.

Согласно модели Эндсли (Endsley) состояние ситуационной осведомленности является результатом процесса анализа и оценки ситуации и включает:
• знание того, что происходит вокруг (Уровень 1);
• осознание значения собственных действий и действий других участников ситуации (Уровень 2);
• представление сценария развития ситуации (Уровень 3).

Сегодня перед руководителем отдела безопасности любой организации стоят следующие ключевые задачи:
1. Определение целей и приоритетных направлений работы по обеспечению безопасности организации.
2. Разработка и внедрение стратегии безопасности, отвечающей бизнес-задачам организации.
3. Обеспечение соблюдения политик безопасности.

Необходимым условием эффективного решения этих задач является глубокое владение текущей обстановкой, а именно ситуационная осведомленность. Инструментом специалиста, обеспечивающим эффективное управление безопасностью организации, становятся системы ситуационного осведомления о состоянии сети, являющиеся по сути разновидностью систем поддержки принятия решений. Базовый алгоритм такой системы включает три этапа.


1. Подготовка данных. Процесс быстрого и эффективного сбора необходимых данных.
2. Анализ данных. Процесс слияния информации от разнородных источников, определения важного и неважного для обеспечения непрерывности бизнеса.
3. Визуализация. Представление собранных и проанализированных данных в необходимой форме.

А результатом работы такого специализированного программного обеспечения является комплексное представление разнородной информации в единой системе с целью обеспечения эффективного управления.

Руководителям служб безопасности нет необходимости знать технические детали, такие как число обнаруженных вирусов, но важно понимание, лежат ли угрозы в отношении бизнеса в рамках допустимых границ. Между тем в любой организации комплекс средств обеспечения информационной безопасности очень широк. Это и системы обнаружения вторжения, и файерволы, и антивирусы, и фильтры контента, и прокси-сервера. Ситуация еще больше осложняется наличием решений от разных сервис-провайдеров, а также собственных разработок программного обеспечения. Поэтому сложной и важной задачей системы ситуационного осведомления о состоянии сети является слияние разнородных данных с целью повышения качества оценок состояния и прогнозов.



Отличительная особенность процесса слияния - получение нового качества данных при сокращении их объема. Модель слияния данных была предложена в середине 80-х годов специально созданной для этих целей рабочей группой министерства обороны США Joint Directors of Laboratories (JDL) Data Fusion Working Group. Модель слияния данных JDL включает пять уровней обработки информации.

Результаты слияния данных представляются в виде специальных диаграмм, отчетов, уведомлений об опасных ситуациях. Рисунок стоит тысячи слов, поэтому важным элементом системы ситуационного осведомления о состоянии сети является удобство и доступность информации из различных источников. Невозможно изучить огромное количество записей из журнала событий, система должна оптимальным образом визуализировать данные, обращая внимание специалиста на критические ситуации. Ведь цель этих систем – поддержка принятия решений.

Главные требования, которые предъявляются к системам ситуационного осведомления о состоянии сети, это:
• масштабируемость и возможность интеграции с существующей инфраструктурой безопасности;
• возможность централизованного сбора, корреляции, анализа и отображения разнородной информации от всех компонентов инфраструктуры;
• возможность взаимодействия специалистов различных служб;
• предоставление всесторонних комплексных отчетов в режиме реального времени, уведомления об угрозах, высокий уровень визуализации;
• возможность получения данных из внешних источников.

На текущий момент на рынке программного обеспечения представлен целый ряд специализированных решений.

NeutralStar


Иллюстрация с сайта компании Kratos Defense & Security Solutions

Компания: Kratos Defense & Security Solutions
URL: www.kratosnetworks.com

Компания предлагает два решения в области ситуационного осведомления о состоянии сети. NeutralStar ориентирована на более крупные организации, DopplerVue – решение для сетей меньшего объема. В сентябре 2010 года Kratos Defense & Security Solutions объявила о заключении многомиллионного контракта с правительственными структурами.
Основные особенности решения:
• централизованное управление сетью;
• обеспечение отказоустойчивости сети;
• управление пропускной способностью;
• управление географически распределенными сетями;
• автоматическое преодоление отказа и резервирование данных.

SecureVue


Иллюстрация с сайта компании eIQnetworks

Компания: eIQnetworks
URL: www.eiqnetworks.com

Компания предлагает свое решение для государственного сектора, а также для финансовых институтов и областей здравоохранения, розничных продаж, телекоммуникаций.
Основные особенности решения:
• открытая расширяемая платформа позволяет по мере необходимости подключать новые приложения;
• масштабируется для крупных организаций;
• возможность распределения прав доступа для различных специалистов;
• коррелирует данные из различных источников;
• в продукт включены более 250 правил, обеспечивающих выявление угрозы в режиме реального времени.

Pharos


Иллюстрация с сайта компании PragmaticDefence

Компания: PragmaticDefence
URL: www.pragmaticdefence.com

Основные особенности решения:
• возможен облачный вариант решения для организаций, не желающих устанавливать продукт локально;
• доступ к системе из любой точки мира;
• полностью кастомизируемые настройки экранов статуса;
• система способна работать с входными данными практически из любого источника;
• масштабируемая архитектура.




Symantec Risk Automation Suite


Иллюстрация с сайта компании Symantec

Компания: Symantec
URL: www.symantec.com

Решение, ранее известное как SecureFusion, базируется на стандартах Национального института по стандартам и технологиям (NIST).

Основные особенности решения:
• решение может использоваться и рядовыми исполнителями, и менеджерами высшего звена;
• доступ к системе через Интернет;
• ранжирование рисков, информация о которых поступает из широкого круга источников.

Cyber Security Command and Control (C2) Solution


Иллюстрация с сайта компании Hewlett-Packard

Компания: Hewlett-Packard
URL: www.hp.com

Решение преимущественно ориентировано на государственный сектор и крупные организации и предназначено для работы с большими сетями.

Основные особенности решения:
• почти в реальном времени обеспечивает мониторинг ситуации в организации;
• использует наиболее передовые алгоритмы определения угрозы;
• реализует ручное и автоматическое реагирование на инциденты вторжения;
• коррелирует угрозы с целью выставления приоритетов в реагировании на них;
• масштабируется для поддержки организаций любого размера;
• делает записи журнала событий удобными, позволяя специалисту сконцентрироваться на проблеме, а не на механизме ее решения.
• идентифицирует угрозы, которые не обнаруживаются обычными системами.

Очевидно, что обеспечение ситуационной осведомленности должно стать важным направлением интересов специалистов, управляющих безопасностью крупных организаций, это реалии сегодняшнего дня. В ближайшем будущем перед разработчиками встает задача моделирования критических ситуаций «на лету» с целью составления прогнозов на ближайшее будущее. Тогда те же подходы, что используются сейчас для обнаружения угроз, будут использоваться для выявления возможных будущих нападений. В этой области уже ведутся научные исследования, результатом которых стало появление нового понятия «осведомленность о будущих угрозах» (Future Situation and Impact Awareness).

_____________________________

Источники:

1. Л. Кондратьев «Реализация концепции "Сетецентрическая война" в ВВС США», Зарубежное военное обозрение, №5, 2009.
2. David L. Hall, James Llinas «Handbook of multisensor data fusion», CRC Press LLC, 2001.
3. Charles J. Kolodgy «Unified and Automated Situational Awareness», IDC, 2010.
4. Ian Murphy «Cyber Security Situational Awareness», Digital Forensic, №6, 2011.
5. Jared Holsopple, Shanchieh Jay Yang «FuSIA: Future Situation and Impact Awareness», IEEE Xplore, 2008.
6. The National Institute of Standards and Technology (NIST)
7. Erik P. Blasch, Susan Plano «JDL Level 5 fusion model: user refinement issues and applications in group tracking», Aerosense, 2002
8. www.symantec.com
9. www.hp.com
10. www.pragmaticdefence.com
11. www.kratosnetworks.com
12. www.eiqnetworks.com