АНАЛИЗ ПРОБЛЕМАТИКИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ И СОБЫТИЯМИ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Igor Korolev

doctor of Engineering, Professor, Professor of the computer-aided management system Faculty the Krasnodar Higher Military School,

Russia, Krasnodar

Vladimir Popov

postgraduate of the Krasnodar Higher Military School,

Russia, Krasnodar

Vladimir Larionov

cadet of the Krasnodar Higher Military School,

Russia, Krasnodar

АННОТАЦИЯ

В статье рассмотрена проблематика обеспечения информационной безопасности современных IT-систем и использование SIEM-систем в качестве эффективного средства ее обеспечения. Рассмотрены функции SIEM-систем в целом, их достоинства и недостатки. Проведен анализ структурной модели и алгоритма работы MaxPatrol SIEM, как одного из наиболее значительных решений в области. Рассмотрены достоинства и недостатки MaxPatrol SIEM, определено направление дальнейших исследований.

ABSTRACT

The article considers the problems of ensuring information security of modern IT-systems and the use of SIEM-systems as an effective means to ensure it. The functions of the SIEM-systems as a whole, their advantages and disadvantages are considered. The analysis of the structural model and algorithm of MaxPatrol SIEM, as one of the most significant decisions in the field. The advantages and disadvantages of MaxPatrol SIEM are considered, and direction for further research are defined. 

Ключевые слова: информационная безопасность; анализ SIEM-систем; алгоритмы работы SIEM-систем; достоинства и недостатки MaxPatrol SIEM.

Keywords: security information; analysis of SIEM-systems; algorithms of work of SIEM systems; advantages and disadvantages of MaxPatrol SIEM.

Информационная безопасность в современных реалиях подвержена постоянной модернизации в силу появления новых сложных многовекторных атак, кибертерроризма и инсайдеров [1].

Возрастает число и сложность автоматизированных систем (АС), число сегментов сетей и узлов АС, типов и платформ сети, количество виртуальных узлов и топологий. Принятый на государственном уровне курс на информатизацию общества, глобализацию информационных технологий и автоматизацию широкого спектра задач, от документооборота до принятия решений, напрямую способствует тенденции увеличения количества киберрисков, связанных с поиском, хранением, обработкой и передачей информации. Потребности современной информационной безопасности не удовлетворяются апостериорным подходом и требуют превентивных мер, применения современных методов анализа событий и использования развернутых статистических методов для поддержания информационных систем в защищенном состоянии.

Немаловажным фактором выбора конкретных решений по обеспечению информационной безопасности является также экономическая составляющая, складывающаяся как из прямых расходов на проектирование, интеграцию и сопровождение систем безопасности, так и из косвенных – ущерба от пропущенных атак, найма дополнительных специалистов информационного департамента, повышения их квалификации. Эффективным решением поставленных задач могут стать современные системы управления информацией и событиями в безопасности (СУИСБ) SIEM-системы (от англ. Security Information and Event Management), выполняющие функции автоматизированного и тщательного анализа событий, предвидения атак, предугадывания их развития или, по меньшей мере, локализации проблемы с меньшими потерями. Исходя из этого, растёт популярность использования SIEM-систем [2].

Данные системы производят мониторинг информационных систем, анализируют события безопасности, происходящие на рабочих станциях, сетевых устройствах, средствах защиты информации и других элементах ИТ-инфраструктуры в режимах “near-real time” и “real-time”. Собранные и проанализированные ими данные помогают обнаружить инциденты ИБ или аномалии, оставшиеся незаметными для специализированных средств защиты [2].

Структурно SIEM-система подразделяется на две подсистемы: SIM (управление информацией безопасности), отвечающая за сбор, хранение и анализ данных (из различных источников и журналов), подготовку отчётов по соответствию требований нормативных документов и SEM (управление событиями безопасности), отвечающая за мониторинг событий безопасности в реальном времени, а также за выявление и реагирование на инциденты безопасности. [3]

Обобщённая схема SIEM-системы представлена на рисунке 1.

Рисунок 1. Обобщённая схема SIEM-системы

Данные, которые выводит SIEM-система в области информационной безопасности, ориентированы на поддержку процессов управления, как безопасностью информации, так и всей IT-инфраструктурой организации в целом.

Основные функции, которые выполняет SIEM-система:

• сбор и объединение данных о событиях ИБ;
• централизованное хранение журналов безопасности;
• интеллектуальный анализ данных (корреляция событий);
• оповещение лиц, принимающих решения, об инцидентах;
• оценка соответствия АС требованиям стандартов и регламентов. [4]

SIEM-система предназначена для анализа информации, поступающей от различных источников событий ИБ и систем обнаружения и предупреждения вторжений, систем предотвращения утечки информации, антивирусов, сканеров безопасности и т.д. Она занимается выявлением отклонения от норм по каким-либо критериям, собирает доказательную базу по инцидентам, производит мониторинг событий от устройств/серверов/ критически важных систем, создавая соответствующие оповещения. В основе её работы лежат математические алгоритмы и методы статистики. Соответственно, защитных функций SIEM-система в себе не несет. [5]

IT-инфраструктура – это гетерогенная среда, состоящая из коммутационного и серверного оборудования, средств защиты информации, компьютеров пользователей, сервисов и приложений – всё это источники данных для SIEM-системы. Все эти данные должны быть приведены к единому формату, чтобы система могла их правильно трактовать.

Для выявления инцидентов нужно анализировать не только события, но и данные сетевой активности, информацию с конечных точек о процессах, изменениях реестра и операциях файловой системы.

Современная IT-инфраструктура обязана быть динамичной, в ней постоянно обновляется программное обеспечение, загружаются новые приложения, заменяется устаревшее или вышедшее из строя оборудование. Чтобы SIEM-система работала в условиях постоянных изменений  нужно поддерживать её в актуальном состоянии: подключать новые источники, следить за работоспособностью правил корреляции. Кроме того, набор правил корреляции «из коробки» покрывает минимальное количество угроз, а основную часть правил нужно написать с нуля. Для эффективной работы SIEM-системы потребуется большое количество работников, которые будут поддерживать правильное функционирование системы, что влечет за собой дополнительные расходы.

Существует SIEM-система без тотальной экспертозависимости – это MaxPatrol SIEM от компании Positive Technologies, реализовавшей новые подходы для эффективного выявления инцидентов, основанные на глубоком понимании инфраструктуры и адаптации системы к её изменениям, на анализе не только событий, но и всей доступной информации. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными от новых событий, результатов сканирований, сетевого трафика и агентов на конечных узлах сети, создавая полную IT-модель организации. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями, активами и динамическими группами активов. В результате работоспособность правил корреляции сохраняется даже после изменений инфраструктуры [6].

MaxPatrol SIEM предусматривает возможность передачи экспертизы заказчику, для этого используется база знаний Positive Technologies Knowledge Base (PTKB) – постоянно пополняемый набор данных, основанный на 15-ти летнем аудите защищенности информационных систем. Связка SIEM-системы с PTKB позволяет получать данные о новых сценариях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции и применять их в инфраструктуре заказчика без ручной перенастройки [7].

Более того, в ходе реализации проектов Positive Technologies подключает актуальные источники данных без дополнительных затрат. Таким образом, для эффективной эксплуатации MaxPatrol SIEM компании не обязательно нанимать команду аналитиков – управление из единого интерфейса позволяет решать типовые задачи силами даже одного эксперта [8].

MaxPatrol SIEM от Positive Technologies – это новая эра в мире SIEM. На сегодняшний день решение доступно в виде программно-аппаратного комплекса MaxPatrol SIEM LE.

Акцент российского внимания к SIEM-системам обусловлен актуальными задачами обеспечения безопасности АС:

1. Вступлением в силу с 1 января 2018 года Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ  и связанных с ним нормативно-правовых актов (приказы ФСБ, ФСТЭК России и постановления Правительства Российской Федерации), согласно которым в России создаётся  Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), подразумевающая создание корпоративных и ведомственных центров, где могут использоваться, в том числе SIEM-системы [9];

2. Построением корпоративных и ведомственных центров оперативного мониторинга информационной безопасности  Security Operation Center (SOC), в том числе с целью взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в рамках системы ГосСОПКА. (Чаще всего платформой для  автоматизации процессов SOC являются рассматриваемые в обзоре SIEM-решения) [10];

3. Появлением потребности в автоматизации большого числа процессов.

Для детализации обзора SIEM-системы и акцентирования внимания на подсистемах, требующих дальнейшего исследования и доработки, перейдем от обобщенной схемы к структурной.

Структурная модель SIEM-системы представлена на рисунке 2.

Рисунок 2. Структурная модель SIEM-системы

Обратим внимание на то, что система работает только с актуальными данными (при этом требования к актуальности могут быть заданы), это определяет уровень фильтрации входных данных, но некорректное конфигурирование параметров актуальности может послужить причиной пропусков угроз, если в силу некоторых причин они не были поданы на вход системы в течение окна актуальности.

Функционирование данной модели описано алгоритмом, представленным на рисунке 3.

Данные перед непосредственным анализом проходят цикл предобработки, унификации и фильтрации, это обусловлено регламентированностью аналитических алгоритмов, что накладывает ограничения на формат входных данных и требует индивидуального подхода к каждому новому источнику мониторинга.

В алгоритме используется сигнатурный анализ, его преимущества - высокая производительность, малое количество ошибок, но существенным недостатком является непригодность защиты от новых угроз, не зафиксированных в базе. Для поддержания системы в состоянии актуальной защищенности требуется участие специалиста, обновляющего сигнатурные базы, что снижает степень автоматизации.

Наконец, выделим шаг введения дополнительных мер безопасности в случае безуспешного устранения угроз. На этом этапе также потребуется участие специалиста для реконфигурирования системы, но это вынужденная мера для поддержания системы в эффективном состоянии. Впрочем, на текущем уровне развития технологий машинного обучения и искусственного интеллекта частичная автоматизация этой области также возможна.

Рисунок 3. Алгоритм работы SIEM-системы

Информация для детального анализа аккумулируется из различных источников, при этом перед анализом оператором производится автоматический анализ, уменьшающий нагрузку, а он, в свою очередь, может, как передать типовую проблему в группу реагирования для устранения инцидента, так и инициировать детальный анализ с дальнейшим отнесением события в разряд инцидентов или «ложной тревоги». Немаловажным является шаг добавления инцидента в базу для дальнейшего использования в процессе мониторинга.

Порядок реагирования на инциденты ИБ описан алгоритмом, представленным на рисунке 4.

Рисунок 4. Порядок реагирования на инциденты ИБ

Выбор SIEM-системы полностью зависит от оценки производительности продукта, реализованного разработчиком.

Рассмотрим главные достоинства сертифицированной системы MaxPatrol SIEM 4.0:

• наличие сертификата ФСТЭК России по требованиям безопасности (регистрационный номер №3734 от 12.04.2017 (НДВ4, ТУ));
• система зарегистрирована в реестре отечественного программного обеспечения за номером № 1143;
• выполнены внедрения в финансовом секторе, государственном, в энергетике, промышленности, торговле и связи;
• реализована настройка модели определения критичности уязвимости с помощью CVSS;
• предусмотрена маршрутизация инцидента при наличии условий (сработавшего правила, критичности инцидента, свойств активов, критичности активов);
• реализована система корреляции рисков (в наличии более 150 предустановленных правил корреляции событий и 40 предустановленных отчётов);
• проведена интеграция с системами Service Desk посредством E-mail и API;
• наличие большого количества способов резервирования данных, их сохранения и восстановления;
• более 200 поддерживаемых источников событий;
• выполнена визуализация процессов на основе построения графов топологии сети, отображения связанных активов с событиями и инцидентами;
• формирование отчётов выполнено по расписанию и в удобных для пользователя форматах данных PDF, XLSX, MHT, DOCX, CSV по активам, событиям и инцидентам [2].

Перечисленные достоинства являются основными, однако на фоне большого спектра преимуществ MaxPatrol SIEM 4.0, существует ряд недостатков:

1. Поступающая информация о СИБ и ИИБ разнородна и не систематизирована;
2. Сложный технический анализ, связанный с большим потоком данных;
3. Существует «окно уязвимости» скорости реакции на инциденты;
4. Недостаточная масштабируемость системы;
5. В рамках процесса обработки инцидентов принятие решений возлагается на человека, как по реальным инцидентам, так и по ложным срабатываниям;
6. Функционирование SIEM-системы направлено на констатацию фактов о состоянии АС, а не на реализацию защитных функций;
7. Отсутствуют преднастроенные панели визуализации и отчёты по соответствию стандартам;
8. Отсутствует возможность определения степени достоверности выявленных ИИБ (решение о степени достоверности ИИБ принимает пользователь);
9. Интерфейс SIEM-системы не предусматривает внесение в него пользовательских изменений (настроек) – отсутствуют готовые пакеты панелей визуализации, доступных для скачивания;
10. Отсутствует полнотекстовый поиск по «сырым событиям»;
11. Правила корреляции, заложенные в SIEM-систему, направлены на выявление конкретных СИБ и ИИБ и не учитывают возможных их комбинаций;
12. Возможность увеличения мощности компонентов системы реализована за счёт улучшения аппаратной платформы;
13. Не предусмотрена возможность резервирования конфигурации системы;
14. Не предусмотрена возможность автоматического восстановления системы;
15. Отсутствует встроенный конструктор отчётов, фильтрация происходит через генерацию отчета;
16. Отсутствует корреляция событий по историческим данным;
17. В системе отсутствует встроенная или подключаемая поведенческая аналитика (UBA&UEBA);
18. Использование технологий искусственного интеллекта рассматривается только в перспективных планах развития системы;
19. Не применяются алгоритмы машинного обучения;
20.  Высокая стоимость продукта, его поддержки и обновления правил корреляции [2];
21. Продукт является ограниченным в плане предоставления информации об алгоритмах его работы в открытых источниках, что затрудняет возможность анализа с целью дальнейшей доработки – это также является недостатком системы.

В итоге рассмотрения данного вопроса можно сказать, что современные потребности высококритичных IT-инфраструктур окончательно перестали ограничиваться отдельными решениями, закрывающими те или иные области обеспечения информационной безопасности, и перешли на качественно новый уровень – использование SIEM-систем, консолидирующих данные  от систем мониторинга и защитных систем, сообщения пользователей и решения специалистов по информационной безопасности в единую структуру защиты.

Динамично растущее внимание к SIEM-системам сформировано, прежде всего, стремлением специалистов обеспечить высокий уровень автоматизации подконтрольной IT-структуры. И если в смежных областях решения по ее доведению до рабочих показателей достаточным образом изучены и активно применяются, то сферу безопасности информационных систем эта тенденция коснулась не более 15 лет назад.

Вышеуказанные недостатки, при детальном рассмотрении, являются скорее возможностями, требующими дополнительного исследования, постановки проблематики и реализации в рамках рабочих моделей. В ходе дальнейшего изучения данных недостатков, планируется провести ряд научных исследований с разработкой моделей и методик современных средств реагирования и предупреждения глобальных информационных угроз.

Таким образом, рассмотренная система управления информацией и событиями безопасности MaxPatrol SIEM – является на сегодняшний день авангардом обеспечения информационной безопасности крупных российских IT-компаний, наилучшим образом преследует цели «Стратегии развития отрасли информационных технологий в российской федерации на 2014 - 2020 годы и на перспективу до 2025 года», а также становятся опытной площадкой для дальнейших изысканий и научных достижений в области информационной безопасности.

Список литературы:

1. dissercat.com: Политика противодействия кибертерроризму в современной России: политологический аспект – Научная библиотека диссертаций и авторефератов disserCat  – [Электронный ресурс]. – Режим доступа: http://www.dissercat.com/content/politika-protivodeistviya-kiberterrorizmu-v-sovremennoi-rossii-politologicheskii-aspekt#ixzz5UXTzM5L9 (Дата обращения 21.10.2018).
2. anti-malware.ru: Сравнение SIEM-систем – [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/compare/SIEM-systems (Дата обращения 21.10.2018).
3. itsec.by: Информационная безопасность. Системы управления информацией и событиями безопасности (Security Information and Event Management) – [Электронный ресурс]. – Режим доступа: http://itsec.by/produktyi-siem-sistemyi-upravleniya-infor-2/, (Дата обращения 21.10.2018).
4. new.groteck.ru: Российские SIEM-системы: миф или реальность – [Электронный ресурс]. – Режим доступа:  http://new.groteck.ru/images/catalog/23556/c770af628c86f9ae6403ad77ee69d105.pdf  (Дата обращения 21.10.2018).
5. habr.com: SIEM: ответы на часто задаваемые вопросы  – [Электронный ресурс]. – Режим доступа:  https://habr.com/post/172389/ (Дата обращения 21.10.2018).
6.  ast-security.ru: преимущества maxpatrol siem, вопросы  – [Электронный ресурс]. – Режим доступа: http://ast-security.ru/maxpatrolsiem.html  (Дата обращения 21.10.2018).
7. ib.radiuscompany.ru: MaxPatrol SIEM – [Электронный ресурс]. – Режим доступа: https://ib.radiuscompany.ru/products/maxpatrol-siem/ (Дата обращения 21.10.2018).
8. www.pacifica.kz: Инновационное решение MaxPatrol SIEM-для управления событиями и информацией ИБ – [Электронный ресурс]. – Режим доступа: https://www.pacifica.kz/catalog/monitoring-sobytiy-bezopasnosti-siem-/maxpatrol-siem/ (Дата обращения 21.10.2018).
9. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (последняя редакция) – [Электронный ресурс]. – Режим доступа:  http://www.consultant.ru/document/cons_doc_LAW_220885/ (Дата обращения 21.10.2018).
10. Официальный интернет-портал правовой информации Государственная система правовой информации: Приказ Федеральной службы безопасности Российской Федерации от 24.07.2018 № 366 "О Национальном координационном центре по компьютерным инцидентам" (Зарегистрирован 06.09.2018 № 52109) – [Электронный ресурс]. – Режим доступа:  http://publication.pravo.gov.ru/Document/View/0001201809100001 (Дата обращения 21.10.2018).