SIEM (Security information and event management)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 23:12, 18 сентября 2018.

Security information and event management (сокращенно SIEM) - это программное средство, осуществляющее анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Структура SIEM

Приминение SIEM

SIEM нужна для сбора и анализа информации. Информация поступает с различных источников — таких, как :

  • Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.
  • DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа.
  • IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
  • Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
  • Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
  • Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем.
  • Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика.
  • Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
  • Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых.
  • Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Достаточно тяжело вручную просматривать логи с большого количества источников. К тому же, бывают ситуации, когда внешне безобидные события, полученные с различных источников, в совокупности несут в себе угрозу. Предположим, когда происходит отправка письма с чувствительными для компании данными человеком, имеющим на это право, но на адрес, находящийся вне его обычного круга адресов, на которые он отправляет. DLP система этого может не отловить, но SIEM, используя накопленную статистику, на основании этого уже сгенерирует инцидент. Даже если инцидент произошел — SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Собственно говоря, это одно из ее главных предназначений. В момент создания инцидента также будут оповещены все заинтересованные лица. Из дополнительных особенностей — SIEM после внедрения может косвенно вам помочь выбить деньги на дозакупку какого-то еще средства ИБ: например, вы в качестве обоснования прикладываете отчет, из которого видно, что большая часть полученных инцидентов закрывается запрашиваемым вами средством. Ниже иллюстрации, в каких случаях SIEM может быть полезна.

До внедрения SIEM:

До внедрения SIEM

После внедрения SIEM:

После внедрения SIEM

Классический функционал SIEM

  • Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.
  • Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management.
  • Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз итп.
  • Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.
  • Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.
  • Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения.
  • Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.

Угрозы

  • Более 200 различных семейств вредоносного ПО, используемого для целенаправленных атак (APT).
  • Более 1100 постоянно работающих центров управления вредоносным ПО.
  • Около 20000 постоянно работающих доменов, используемых для распространения вредоносного ПО.
  • Фрагментация и диверсификация атак APT-групп.

Цели создания системы

  • Сокращение времени реагирования и повышение вероятности выявления инцидентов ИБ.
  • Возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям.
  • Снижение потерь в результате реализации рисков ИБ.
  • Внедрение процессов управления инцидентами.

Задачи, которые решает система

  • Оперативное обнаружение, реагирование и контроль обработки инцидентов ИБ.
  • Возможность оперативного контроля состояния ИБ для высшего руководства компании.
  • Создание единого центра мониторинга ИБ компании.
  • Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления инцидентами ИБ.
  • Мониторинг соответствия отраслевым стандартам: PCI DSS, IT Governance, NERC CIP и другим.


Решения

Квадрат Гартнера 2017

SIEM-системы существуют уже почти 10 лет, однако их активное продвижение началось лишь в последние годы. Причин множество: от возросшего количества актуальных угроз до желания быть в тренде. Тем не менее, можно с уверенностью утверждать, что идея SIEM оказалась весьма востребованной. Ведь первоначальная конкурентная борьба множества независимых игроков, с течением времени, и спустя череду поглощений, не только не утихла, но и перешла на новый уровень знаний и бюджетов.

Компанией Gartner был опубликован Magic Quadrant for Security Information and Event Management (SIEM), в рамках которого решения 4х производителей портфеля компании Softprom by ERC были признаны как рекомендуемые.Решения McAfee в этом году вновь доказали свое лидерство и заняли позицию в квадрате Leader.Gartner оценил комплексное решение для обнаружения и исследования Rapid7 InsightIDR, которое объединяет аналитику поведения пользователя, обнаружение конечных точек и визуальный поиск журналов, и присвоил решению самую высокую позицию в квадрате визионеров. Лидерами рынка как и в прошлых годах остаются IBM и Splunk.

Российский рынок традиционно отличается от мирового. В первую очередь резким доминированием HP ArcSight и относительно невысокой долей остальных лидеров из квадранта Gartner.Из лидеров мирового рынка в России хорошо представлены следующие:

  • IBM QRadar SIEM
  • HP ArcSight
  • McAfee NitroSecurity
  • Symanteс SSIM
  • Splunk
  • «НПО «Эшелон» КОМРАД
  • OSSIM

IBM QRadar SIEM

IBM Security QRadar SIEM регистрирует события с тысяч конечных устройств и приложений, распределенных в сети. Эта система выполняет мгновенную нормализацию и выявляет связь между действиями над необработанными данными, чтобы отличить реальные угрозы от ложных срабатываний.

IBM QRadar SIEM

Преимущества IBM Security QRadar SIEM:

  • Обнаружение неправильного использования приложений, внутреннего мошенничества и современных небольших угроз, которые можно не заметить среди миллионов событий.
  • Выполнение мгновенной нормализации событий и сопоставление их с другими данными, полученными в результате обнаружения угроз, создания отчетов о соответствии требованиям и проведения аудита.
  • Сокращение числа событий и потоков с миллиардов до небольшого количества реальных нарушений и определение приоритетов для них в соответствии с угрозой для бизнеса.
  • Использование опционального ПО IBM Security X-Force Threat Intelligence для определения действий, связанных с подозрительными IP-адресами, например, при подозрении во вредоносной активности.
  • Дополнение в виде устройств IBM Security QRadar QFlow и IBM Security QRadar VFlow Collector для получения глубокого понимания и лучшего отображения приложений (например, приложений, управляющих ресурсами предприятия), баз данных, продуктов для совместной работы и социальных сетей с помощью анализа сетевых потоков на уровне 7.
  • Выполнение объединенного поиска в больших распределенных средах.
  • Автоматическое обнаружение большинства источников предоставляющих журналы и мониторинг сетевых потоков для поиска и классификации компьютеров и серверов, отслеживание приложений, протоколов, служб и портов, которые они используют для существенной экономии времени.


HP ArcSight

Основой продуктовой линейки HP ArcSight является комплексное решение HP ArcSight Security Intelligence.

HP ArcSight

Решения HP ArcSight Security Intelligence включают в себя следующие продукты:

  • HP ArcSight Logger — обеспечивает сбор и фильтрацию событий;
  • HP ArcSight Threat Response — обеспечивает моментальную реакцию на инциденты путем анализа информации от HP ArcSight ESM, локализацию проблемы и применение ответных мер реагирования;
  • HP ArcSight Configuration Management — позволяет провести конфигурацию сетевого оборудования и настроек безопасности.
  • HP ArcSight Fraud Detection —решение для выявления и предотвращения мошенничества в области интернет-банкинга и банковских (пластиковых) карт.
  • В состав поставки также может входить уникальный агент FlexConnector, позволяющий осуществлять интеграцию с любым типом приложения.

Возможности:

  • Лог-менеджмент
  • Инцидент-менеджмент
  • Корреляция
  • Оповещение об инцидентах
  • Возможность установки на сервер виртуализации
  • Предустановленный контент
  • Возможность установки модуля выявления поведенческих моделей и закономерностей Threat Detector
  • Дополнительные пакеты по контролю выполнения требований международных стандартов
  • Модуль контроля действий пользователей IdentityView
  • Выявление мошеннических операций (Fraud Detection)

McAfee NitroSecurity

McAfee NitroSecurity

В основе SIEM-системы от McAfee лежит решение Enterprise Security Manager, которое осуществляет сбор, корреляцию, оценку и распределение приоритетов событий безопасности. Являясь частью архитектуры Security Connected, решение McAfee Enterprise Security Manager тесно интегрировано с программным обеспечением McAfee ePolicy Orchestrator (McAfee ePO), решением McAfee Risk Advisor, и технологией Global Threat Intelligence, обеспечивая контекст, необходимый для автономного и гибкого управления угрозами безопасности.

Состав и возможности решения:

  • McAfee Enterprise Security Manager.
  • Технология McAfee Global Threat Intelligence for Enterprise Security Manager (ESM), предназначенная для работы с «большими данными в сфере безопасности», позволяет использовать результаты работы McAfee Labs непосредственно для мониторинга безопасности.
  • McAfee Enterprise Log Manager автоматизирует управление всеми типами журналов и их анализ, включая журналы событий Windows, журналы баз данных, журналы приложений и системные журналы (Syslogs).
  • McAfee Advanced Correlation Engine выполняет мониторинг данных в режиме реального времени, позволяя одновременно использовать системы корреляции событий как основанные на правилах, так и не использующие правил с целью обнаружения рисков и угроз до их возникновения.
  • McAfee Application Data Monitor выполняет дешифрование полного сеанса приложения до Уровня 7, обеспечивая комплексный анализ всей информации — от используемых протоколов и целостности сеанса до непосредственного содержимого приложения, такого как текст электронного письма или вложений к нему. McAfee
  • Database Event Monitor for SIEM обеспечивает детальную регистрацию в журнале безопасности транзакций в базах данных.
  • McAfee Event Receiver собирает данные событий и журналов сторонних поставщиков.

Symanteс SSIM

Symanteс SSIM

Система автоматизации выявления и реагирования на инциденты информационной безопасности контроля перемещения конфиденциальной информации, построенная на базе решения Symantec SIM состоит из следующих компонентов:

  • Сервер Symantec SIM
  • Объекты наблюдения
  • Коллекторы
  • Агенты
  • Symantec Global Intelligence Network.

Symantec Global Intelligence Network – глобальная сеть, использующая ловушки для обнаружения злонамеренной активности. Большое внимание уделяется анализу нетрадиционной активности по различным портам/протоколам. Исследуются приложения, использующие эти порты/протоколы, проверяется, не появлялись ли новые уязвимости в этих приложениях, анализируется вероятность использования приложений в злонамеренных целях. Также создается статистика наиболее атакующих и атакуемых систем. Вся эта информация перерабатывается в правила и используется в Symantec SIM при анализе и корреляции событий.

Особенности системы:

  • Централизованный сбор, хранение, анализ журналов безопасности
  • Обнаружение инцидентов в режиме реального времени
  • Определение приоритетов инцидентов
  • Автоматизация контроля над процессом исправления инцидентов
  • Создание отчетов о соблюдении нормативных требований и аудите

Splunk

Splunk

Splunk Enterprise - это ведущая на рынке платформа для операционной аналитики. Способна осуществлять мониторинг и анализ всех действий, от посещений веб-сайтов и транзакций до сетевых операций и зарегистрированных вызовов.

Особенности системы:

  • Сбор данных из удалённых источников с помощью модуля Splunk Forwarder
  • Корреляция сложных событий, охватывающих множество разнородных источников данных в среде.
  • Масштабирование для сбора и индексации сотен терабайтов данных в день
  • Возможность комбинирования данных из традиционных реляционных БД и Hadoop для последующего анализа.
  • Ролевая модель доступа к данным.
  • Возможность создавать собственные приложения. Можно создавать панели (dashboard'ы), из которых формировать свое собственное Splunk-приложение. У Splunk есть магазин приложений (хотя большинство из них бесплатны), где есть море уже готовых конфигураций для анализа популярных систем, например, UNIX syslog, логи Apache, Microsoft Exchange и т.д.

КОМРАД от «НПО «Эшелон»

КОМРАД от «НПО «Эшелон»

SIEM-система, разработка российской компании ЗАО «НПО «Эшелон». Предназначена для оперативного оповещения и реагирования на внутренние и внешние угрозы безопасности автоматизированных систем, а также контроля выполнения требований по безопасности информации.

Особенности системы:

  • Система сертифицирована МО РФ (сертификат №2315)
  • Централизованный сбор и анализ данных журналов событий систем защиты информации, автоматизированных рабочих мест, серверов и сетевого оборудования
  • Удаленный контроль параметров конфигурации и работы отслеживаемых объектов
  • Оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы
  • Контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности
  • Возможность масштабирования решения и создания системы мониторинга информационной безопасности произвольного масштаба
  • Поддержка технологии взаимодействия с источниками событий: Syslog, Syslog-ng, SNMPv2, SNMPv3, Opsec, HTTP, SQL, ODBC, WMI, FTP, SFTP, сокеты Unix/Linux, plain log, SSH, Rsync, Samba(NetBIOS), NFS, SDEE, RDEP, OPSEC, CPMI
  • Интеграция со следующими отечественными защищенными платформами и системами защиты информации: ОС МСВС, ОС Astra Linux, Сканер-ВС, МЭ и СОВ Рубикон, Xspider.

Выводы

Выводы SIEM — это система не только для ИБ. Ошибки и сбои в операционных системах, сетевом оборудовании, ПО — информацию обо всем об этом сотрудники IТ-отдела могут почерпнуть в SIEM. IТ-отделу также хочется узнавать о возникающих инцидентах не по звонку пользователей, а заранее (тем более, что — как и инциденты ИБ — IТ-инциденты можно предотвратить).

SIEM — весьма непростое решение для процесса управления журналами, к тому же достаточно дорогостоящее для внедрения в малом и среднем бизнесе. Для его эксплуатации вам необходимо иметь как минимум одного квалифицированного сотрудника, который будет обеспечивать контроль непрерывности сбора событий, управлять правилами корреляции, корректировать и обновлять их с появлением новых угроз и в соответствии с изменениями в инфраструктуре. Установка SIEM в качестве «черного ящика» с активацией всех предустановленных правил корреляции без надлежащего контроля и управления приведет к растрате бюджета.

Однако при успешном внедрении вы получите:

  • Корреляцию и оценку влияния IТ- и ИБ-событий и процессов на бизнес
  • SOC с анализом ситуации в инфраструктуре в режиме реального времени
  • Автоматизацию процессов обнаружения угроз и аномалий
  • Автоматизацию процессов регистрации и контроля инцидентов
  • Аудит политик и стандартов соответствия, контроль и отчетность
  • Задокументированное корректное реагирование на возникающие угрозы ИБ и ИТ в режиме реального времени с приоритизацией в зависимости от влияния угроз на бизнес-процессы
  • Возможность расследования инцидентов и аномалий, в том числе произошедших давно
  • Доказательную базу для судебных разбирательств
  • Отчетность и показатели (KPI, ROI, управление событиями, управление уязвимостями)

Законодательство

В РФ использование SIEM регулируется следующим документом:

"Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации."

Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.