ОБЗОР SIEM-СИСТЕМ

В настоящее время для обеспечения безопасности текущих компьютерных сетей, которые обладают большим разнообразием программного и технического обеспечения, затрачивается очень большое количество ресурсов. Одновременно контролировать всю сеть с каждым годом становится всё труднее и труднее. Системы управления, контроля и обеспечения информационной безопасности в большой степени автоматизируют контроль за сетью и позволяют делать отчёты о сети, на основе которых можно анализировать возможные угрозы.

SIEM – объединение двух терминов SEM и SIM.

SEM – системы действуют в режиме, приближенном к реальному времени. Для этого им требуется: автоматический мониторинг событий, их сбор, корреляция, генерация предупреждающих сообщений. SIM – системы, в свою очередь, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения». Когда же возможности SIM и SEM объединяются в рамках одного продукта, говорят о SIEM-системах. Исходя из этого, можно дать «литературный» перевод аббревиатуры SIEM – система сбора и корреляции событий.

Внедрив SIEM-систему можно добиться почти абсолютной автоматизации процесса выявления угроз. При корректном внедрении такой системы подразделение Информационной безопасности переходит на абсолютно новый уровень предоставления сервиса. SIEM позволяет акцентировать внимание только на критических и действительно важных угрозах, работать не с событиями, а с инцидентами, своевременно выявлять аномалии и риски, предотвращать финансовые потери. [2] Они отслеживают подозрительные активности, как внутри контура, так и извне: регистрируют попытки сканирования портов, подбора паролей, и предоставляют информацию в виде отчета. В случае инцидента SIEM-система способна предоставить всю необходимую доказательную базу, которая годится не только для внутренних расследований, но даже и для суда. SIEM помогает проводить аудиты на соответствие различным отраслевым стандартам.

Архитектура siem-систем

Как правило, SIEM-система имеет архитектуру «агенты» — «хранилище данных» — «сервер приложений», которая разворачивается поверх защищаемой информационной инфраструктуры.

Агенты выполняют сбор событий безопасности, их первоначальную обработку и фильтрацию.

Собранная и отфильтрованная информация о событиях безопасности поступает в хранилище данных или репозиторий, где она хранится во внутреннем формате представления с целью последующего использования и анализа сервером приложений.

Сервер приложений реализует основные функции защиты информации. Он анализирует информацию, хранимую в репозитории, и преобразует ее для выработки предупреждений или управленческих решений по защите информации. В SIEM-системе можно выделить пять основных функциональных подсистем: сбора данных; обработки; хранения; анализа; представления. Причем первые две функционируют в режиме онлайн, остальные — в близком к нему. [1]

Подсистема сбора данных. Для получения информации от источников используются два основных метода: Push и Pull. Суть метода Push заключается в том, что источник сам посылает данные записей своих журналов в SIEM-систему. В методе Pull система сама осуществляет процесс получения данных из журналов. Сбор данных осуществляется от источников различных типов.

Подсистема обработки. Обработка информации включает в себя нормализацию, фильтрацию, корреляцию, агрегацию и классификацию.

Подсистема хранения. Отфильтрованные данные в нормализованном виде помещаются для хранения в репозиторий. Репозиторий может быть создан на основе реляционной СУБД (наиболее распространенное решение), XML-ориентированной СУБД и (или) хранилища триплетов. Хранилище триплетов — это специально созданная база данных, оптимизированная для хранения и поиска триплетов, т.е. утверждений вида «субъект–предикат–объект».

Подсистема анализа. Анализ данных включает в себя следующие функции: корреляцию данных, классификацию, агрегацию, приоритезацию и анализ событий, инцидентов и их последствий (в том числе посредством моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов), а также поддержку принятия решений. Анализ данных может основываться на качественных и количественных оценках. Количественная оценка является более точной, но требует заметно больше времени, что не всегда допустимо. Чаще всего бывает достаточно быстрого качественного анализа, задача которого заключается в распределении факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но все сводится к тому, чтобы выявить самые серьезные угрозы.

На более высоком уровне система имеет монитор, названный «riskmeter», оценивающий риск, накопленный в течение определенного промежутка времени для сети или группы машин. Модель корреляции позволяет создавать как образцы, позволяющие определять известные и обнаруживаемые атаки, так и образцы, определяющие неизвестные и не обнаруживаемые ранее угрозы, строить более сложные модели, а также связать детекторы (обеспечивающие индикаторы) и мониторы (обеспечивающие предупреждения) рекурсивно. Для этого применяется два принципа:

Корреляция, основанная на последовательности событий, построенных на известных уязвимостях, связывающая известные образцы и поведение, определяющее нападение, с помощью правил, осуществляемых статическим аппаратом. Например, если происходит событие А, затем Б, необходимо выполнить действие В. Сложность состоит в составлении правил, способных анализировать события абстрактно.

Корреляция, использующая эвристические алгоритмы, накопление по событиям и времени, что делает возможным обнаружение неизвестных вариантов атак и обеспечивает более глобальный обзор ситуации. Для этих целей используется накопление событий (как для всей сети, так и отдельных машин) с целью получения нового индикатора или моментальный снимок безопасного состояния сети. В результате создается так называемый накопленный риск, который может быть использован для оценки критических ситуаций посредством алгоритма CALM. На его входе размещается множество событий, а на выходе – индикатор безопасного состояния сети. [3]

Подсистема представления. Представление включает в себя несколько функций: визуализацию, генерацию отчетов и генерацию предупреждений.

Основные источниками SIEM являются:

- Access Control, Authentication — для мониторинга контроля доступа к информационным системам и использования привилегий.

- Журналы событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

- Сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика).

- IDS\IPS. События о сетевых атаках, изменение конфигураций и доступ к устройствам.

- Антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах.

- Сканеры уязвимостей. Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.

- GRC-системы для учета рисков, критичности угрозы, приоритизации инцидента.

- Прочие системы защиты и контроля политик ИБ: DLP, антифрода, контроля устройств и т. п.

- Системы инвентаризации и asset-management. С целью контроля активов в инфраструктуре и выявления новых.

- Netflow и системы учета трафика.

Источники выбираются на основании следующих факторов:

- критичность системы (ценность, риски) и информации (обрабатываемой и хранимой);

- достоверность и информативность источника событий;

- покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети).

Правила выбора siem-системы

Для того, чтобы правильно выбрать и начать использовать SIEM-систему нужно ответить на ряд вопросов, которые приведены ниже, адресованных собственной компании и поставщику. Эти вопросы помогут определиться, что вы хотите видеть в решении, что оно должно выполнять, а также оценить предложения и услуги.

• Кто будет осуществлять поддержку SIEM-системы?

Типичное развертывание SIEM может потребовать, чтобы команда до восьми штатных сотрудников правильно управляла им. SIEM без специальной команды аналитиков по вопросам безопасности будет бесполезен. Он будет потреблять много ресурсов, но никак не повысит безопасность системы. SIEM не замена для отдела безопасности, это – инструмент, которые поможет решать поставленные задачи. Прежде чем рассмотреть, какую SIEM-систему выбрать, нужно удостовериться, что организация готова правильно управлять её. У Вас есть ресурсы и персонал, чтобы эффективно управлять SIEM? Вы можете нанять и обучить штат, необходимый для поддержки SIEM?  Если нет, может быть лучше рассмотреть предложение управляемых услуг (аутсорсинг).

• Какие задачи ставятся для SIEM?

Это может показаться очевидным, но вы должны знать свои требования при внедрении SIEM-системы. Перед началом процесса внедрения вы должны оценить свои потребности. Какие источники данных вам нужны для регистрации? Вам нужен мониторинг данных в реальном времени? Вам нужно собрать все данные безопасности или какое-то определенное подмножество? Как вы будете использовать собранные данные? Обнаружение угроз или аудит и соответствие требованиям?

• Сколько готовы потратить? 

Использование SIEM-системы требует значительного бюджета. Есть начальные затраты на лицензии, часто располагаемые как базисная цена, плюс стоимость за каждого пользователя или узел, также затраты на базы данных для серверов, затраты на учебный персонал и дополнительное внешнее хранение. Ещё есть стоимость персонала, который будет управлять SIEM эффективно. Полноценная, корпоративная SIEM-система в итоге может стоить для организации сотен тысяч долларов, и в то же время это даст большие возможности в плане безопасности и аналитики системы. Не весь бизнес способен к тому, чтобы тратить такие деньги. Некоторые поставщики SIEM предлагают легкую версию, которая дает основное управление регистрацией событий и создания отчетов, но они без усовершенствованных аналитических возможностей и других функций, которые поддерживают полноценные SIEM-системы. Такие SIEM-системы значительно менее дорогие и могут быть хорошей альтернативой для небольших компаний, надеющихся сэкономить ресурсы.

• Предоставляет ли поставщик помощь с развертыванием?

SIEM – сложная технология, и, соответственно, развертывание SIEM – сложный процесс. В Отчете 2014 года, аналитик Gartner Oliver Rochford оценил, что от 20% до 30% полностью введенных SIEM-систем среди его клиентов через некоторое время перестали работать. После успешного введения в эксплуатацию SIEM-системы, она требует, чтобы специальная команда квалифицированных аналитиков и технического персонала управляла программным обеспечением и гарантировала эффективное использование. Следует узнать у возможных поставщиков, какую поддержку они предоставят во время процесса развертывания, и доступно ли обучение для сотрудников компании.

• Есть ли совместимость у возможного SIEM продукта с системой, работающей в компании?

Удостоверьтесь, что потенциальное решение SIEM поддерживает системы безопасности организации, такие как брандмауэры, системы предотвращения проникновений, VPN, почтовые шлюзы и продукты антивируса. Любые предполагаемые решения SIEM должны также поддерживать файлы журнала от операционной системы (и тип и версия), который использует организация.

• Помогут ли функции SIEM-системы в аналитике данных компании? 

Кроме предупреждений и создания отчетов, SIEM должен обеспечить функции, которые помогут аналитикам компании по вопросам безопасности.

Даже самый современный, лучше всего сконфигурированный SIEM хуже, чем лучший аналитик – очень точный SIEM может все еще неправильно истолковать события, поэтому удостоверьтесь, что сотрудники компании могут исследовать результаты SIEM. Сильный поиск и возможности визуализации данных могут также помочь упростить исследование инцидентов.

Список литературы:

1. И.В. Котенко, И.Б. Саенко, О.В. Полубелова, А.А. Чечулин, «Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах» – 2012 – [электронный ресурс] – Режим доступа. – URL:  http://proceedings.spiiras.nw.ru/ojs/index.php/sp/article/viewFile/1585/1448.pdf (дата обращения 12.02.2018)
2. Шелестова Олеся, «Что такое SIEM?» // Positive Research. – 01.10.2012 – [электронный ресурс] – Режим доступа. – URL: http://archive.is/8mo19 (дата обращения 10.02.2018)
3. Яремчук Сергей, «Контролируем безопасность сети с помощью OSSIM» – 2005 – [электронный ресурс] – Режим доступа. – URL: http://samag.ru/archive/article/482 (дата обращения: 11.02.2018)