Хост-система безопасности

Эту статью необходимо обновить . Пожалуйста, помогите обновить эту статью, чтобы отразить недавние события или новую доступную информацию. ( июнь 2019 г. )

Система безопасности на основе хоста ( HBSS США пакету программных приложений (COTS) Министерства обороны (DOD) ) — это официальное название, данное коммерческому готовому , используемому в Министерстве обороны США для мониторинга, обнаружения и защиты компьютерных сетей Министерства обороны США. и системы. Руководящая группа по обеспечению информации в масштабе предприятия и защите компьютерных сетей (ESSG) спонсировала приобретение системы HBSS для использования в корпоративной сети Министерства обороны США. HBSS развертывается как в несекретной сети с маршрутизацией по протоколу Интернета (NIPRNet), так и в сети с маршрутизацией по секретному протоколу Интернета (SIPRNet), при этом приоритет отдается установке в сети NIPRNet. HBSS основан на McAfee, Inc (ePO) компании ePolicy Orchestrator и других точечных приложениях безопасности продуктов McAfee, таких как Host Intrusion Prevention System (HIPS).

Видя необходимость предоставить комплексный набор инструментов безопасности для всего отдела для системных администраторов Министерства обороны США, ESSG летом 2005 года приступило к сбору требований для формирования хост-системы безопасности. В марте 2006 года BAE Systems и McAfee заключен контракт на поставку автоматизированной хостовой системы безопасности для отдела. После присуждения контракта были определены 22 пилотных объекта для первых развертываний HBSS. ^[1] В ходе пилотного развертывания системные администраторы Министерства обороны США по всему миру были выявлены и обучены использованию программного обеспечения HBSS при подготовке к развертыванию программного обеспечения в Министерстве обороны США.

9 октября 2007 г. Объединенная оперативная группа по глобальным сетевым операциям (JTF-GNO) опубликовала приказ о коммуникациях (CTO) 07-12 ( Развертывание системы безопасности на базе хоста (HBSS) ), предписывающий развертывание HBSS во всем боевом командовании. Сервисные и агентские сети (CC/S/A) в рамках Министерства обороны США со сроком завершения к 3-му кварталу 2008 года. ^[2] Публикация этого CTO привлекла к HBSS внимание всех руководителей основных отделов и CC/S/A, предоставив ESSG необходимые полномочия для обеспечения его развертывания. Агентства, не желающие соблюдать требования CTO, теперь рисковали быть отключенными от Глобальной информационной сети Министерства обороны США (GIG) из-за несоблюдения требований.

Уроки, извлеченные из пилотного развертывания, предоставили ценную информацию о программе HBSS, что в конечном итоге привело к тому, что Агентство оборонных информационных систем (DISA) предоставило как предварительно загруженное оборудование HBSS, так и образ программного обеспечения HBSS, который можно было загрузить на совместимые аппаратные платформы. Это оказалось неоценимым для облегчения задачи развертывания недавно обученных системных администраторов HBSS и обеспечило единообразную базовую базу программного обеспечения для всего отдела. DISA также предоставила пошаговую документацию по созданию базового показателя HBSS из только что установленной операционной системы. Уроки, извлеченные из развертывания NIPRNet, упростили процесс развертывания HBSS в SIPRNet.

• Лето 2005 г.: ESSG собрала информацию о создании автоматизированной системы HBSS.
• Март 2006 г.: BAE Systems и McAfee заключили контракт на создание и развертывание HBSS.
• 27 марта 2007 г.: ESSG одобрила HBSS для полномасштабного развертывания на предприятии Министерства обороны.
• 9 октября 2007 г.: JTF-GNO выпускает CTO 07–12.
• Ноябрь 2009 г.: ВВС наградили компанию Northrop Grumman развертыванием HBSS в сети SIPRNet. ^[3]

За время своего существования HBSS претерпел несколько крупных базовых обновлений, а также незначительных обновлений. Первый крупный выпуск HBSS был известен как Baseline 1.0 и содержал механизм оркестратора McAfee ePolicy, HIPS, профилировщик соответствия программного обеспечения (SCP), обнаружение несанкционированных систем (RSD), базовый менеджер активов (ABM) и программное обеспечение активов. По мере появления новых выпусков эти программные продукты развивались, добавлялись новые продукты, а в некоторых случаях были полностью заменены другими продуктами.

По состоянию на январь 2011 г. HBSS находится на базовой версии 4.5, обслуживающей версии 2.0 (MR2). MR2 содержит следующее программное обеспечение:

Программное приложение	Версия
Microsoft Windows	2003 SP2 (5.2.3790)
Платформа Microsoft .NET	1.1.4322.2433
Платформа Microsoft .NET	2.2.30729
Платформа Microsoft .NET	3.2.30729
Платформа Microsoft .NET	3.5.30729.1
Microsoft Интернет Эксплорер	7.0.5720.13
Студия управления Microsoft SQL	SQL2005 SP3 — 9.00.4035.00

Программное приложение	Версия
Расширение интеграции Symantec SEP/SAV	1.3, плагин 1.666
McAfee VirusScan Enterprise	8.7.0.570 (оценка)
Расширение McAfee VirusScan Enterprise 8.7	8.7.0.195
Расширение отчета McAfee VirusScan	1.1.0.154

Программное приложение	Версия
Разъем ArcSight	5.0.4.5717
Расширитель накопительного пакета	1.2.8

Сердцем HBSS является механизм управления оркестратором McAfee ePolicy (ePO). Инструменты McAfee отвечают за:

• Обеспечение согласованного внешнего интерфейса для конкретных продуктов
• Консолидация данных о точечных продуктах для анализа
• Представление отчетов по точечным продуктам
• Управление точечными обновлениями продуктов и коммуникациями
• Обеспечение соответствия исправлений приложений

McAfee считает точечным продуктом отдельные программные приложения, управляемые сервером ePO. Точечные продукты HBSS включают следующее:

• Система предотвращения вторжений на хост (HIPS)
• Аудитор политики (PA)
• Базовый модуль активов (ABM)
• Обнаружение несанкционированных систем (RSD)
• Модуль управления устройством (DCM)
• Служба публикации активов (APS)

Система предотвращения вторжений на хосте (HIPS) состоит из межсетевого экрана на базе хоста и блокировки на уровне приложений, объединенных в одном продукте. Компонент HIPS является одним из наиболее важных компонентов HBSS, поскольку он обеспечивает возможность блокировать известные сигнатуры вторжений и ограничивать несанкционированные службы и приложения, работающие на хост-компьютерах.

Аудитор политики (PA) был введен в базовый показатель HBSS 2.0. Аудитор политики отвечает за обеспечение соблюдения таких требований, как: Стандарт безопасности данных индустрии платежных карт (PCI DSS), Закон Сарбейнса-Оксли 2002 года (SOX), Закон Грэма-Лича-Блайли 1999 года (GLBA), переносимость и подотчетность медицинского страхования. Закон 1996 года (HIPAA), Федеральный закон об управлении информационной безопасностью 2002 года (FISMA), а также рамки передового опыта ISO 27001:2005 и Цели контроля для информации и связанных с ней технологий ( COBIT ). PA сопоставляет элементы управления ИТ с заранее определенным содержанием политики, McAfee Policy Auditor помогает составлять последовательные и точные отчеты в соответствии с ключевыми отраслевыми требованиями и внутренними политиками в вашей инфраструктуре или в конкретных целевых системах. Policy Auditor — это агентское решение для ИТ-аудита, которое использует протокол автоматизации содержимого безопасности (SCAP) для автоматизации процессов, необходимых для внутреннего и внешнего ИТ-аудита. ^[4]

Модуль базового состояния активов, выпущенный в Baseline 1.0 как готовый государственный продукт (GOTS), используется для определения базовых конфигураций и изменений системы с целью реагирования на изменения состояния информационных операций (INFOCON) (INFOCON), необходимые во время повышенные угрозы безопасности системы. На начальных этапах развертывания HBSS модуль активов был неактивным и ему не хватало многих функций, предусмотренных продуктом. Тем не менее, приложение полностью превратилось в надежную и многофункциональную версию, способную соответствовать целям разработки исходного программного обеспечения. ABM изначально был известен как Assets 1.0. В базовой версии HBSS 2.0 он был обновлен до «Активы 2.0». Позже в HBSS Baseline 3.0 он получил название «Активы 3000».

Компонент обнаружения несанкционированных систем (RSD) HBSS используется для обнаружения в реальном времени новых хостов, подключающихся к сети. RSD отслеживает сегменты сети и сообщает серверу ePO обо всех хостах, обнаруженных в сети. Затем сервер ePO определяет, подключена ли система к серверу ePO, установлен ли агент McAfee, определена ли она как исключение или считается несанкционированной. Затем сервер ePO может предпринять соответствующие действия в отношении мошеннического хоста, как указано в политике RSD. Базовый показатель HBSS 1.0 представил RSD 1.0. RSD был обновлен до версии 2.0 в базовом варианте HBSS 2.0.

Компонент DCM HBSS был введен в HBSS Baseline 2.0 специально для решения проблемы использования USB-устройств в сетях Министерства обороны США. JTF-GNO CTO 09-xxx, реализация устройства съемного флэш-носителя внутри сетей Министерства обороны (DOD) и между ними, была выпущена в марте 2009 года и позволяла использовать съемные USB-носители при условии, что они соответствуют всем условиям, указанным в CTO. Одно из этих условий требует использования HBSS с установленным и настроенным модулем DCM для управления USB-устройствами, подключенными к системе. ^[5] DCM был переименован в систему предотвращения потери данных (DLP) в HBSS Baseline 3.0 MR3.

Служба публикации активов (APS) HBSS была введена в HBSS Baseline 4.0, чтобы позволить анклавам сообщать информацию об активах стороннему органу Министерства обороны в формате, совместимом со стандартами. Он добавляет контекстную информацию к активам HBSS и позволяет улучшить функции отчетности в системах, использующих данные HBSS.

Согласно CTO 07-12 JTF-GNO, все агентства Министерства обороны обязаны развернуть HBSS в своих сетях. DISA предоставила программное обеспечение HBSS для загрузки на своем PKI защищенном сервере исправлений, . Пользователи, пытающиеся загрузить программное обеспечение, должны иметь карту общего доступа (CAC) и находиться в сети .mil. DISA бесплатно предоставляет организациям Министерства обороны программное обеспечение и обновления.

Кроме того, администраторы HBSS требуют удовлетворительного завершения обучения HBSS и обычно назначаются командиром подразделения или отделения в письменной форме.

Чтобы получить и администрировать систему HBSS, системные администраторы должны успешно пройти онлайн- или очное обучение HBSS, а также быть идентифицированы как администратор HBSS. Онлайн-обучение занимает 30 часов, а очное обучение занимает четыре дня, не считая поездок. Расширенный класс HBSS также доступен администраторам HBSS, желающим получить более глубокие знания о системе. Онлайн-обучение HBSS и обучение в классе проводится DISA.

Исполнительный офис управления рисками (RE) DISA, ранее бывший отделом полевой безопасности (FSO), предоставляет бесплатную техническую поддержку всем администраторам HBSS через свою справочную службу. DISA имеет три уровня поддержки: от уровня I до уровня III. Поддержка уровня I и уровня II предоставляется DISA FSO, а поддержка уровня III — McAfee. Поддержка DISA FSO доступна одним из следующих способов: ^[6]

Электронная почта: disa.tinker.eis.mbx.cdk21-hbss-service-desk [at] mail.mil

ДСН : 850-0032

Бесплатный звонок: 844-347-2457.

В нынешних темпах HBSS несколько раз обновлялся с исходной версии Baseline 1.0 до текущей версии Baseline 3.0, MR3. В рамках Baseline 3.0 выпуски обслуживания выпускались каждые два-четыре месяца, что обеспечивало лучшую стабильность и безопасность с каждым выпуском. HBSS внимательно следит за обновлениями версий McAfee ePO и, как ожидается, продолжит эту тенденцию, поскольку ePO постоянно развивается.

• Безопасность конечных точек распространяется по всей армии
• Northrop Grumman выиграла контракт с ВВС США на SIPRNET
• Среда поддержки информационного обеспечения
• Макафи, Инк.
• БАЕ Системы