2013/05/17 00:33:10

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) - Управление информацией и событиями в системе безопасности - общее название программных продуктов, ранее используемых по отдельности друг от друга, категории SIM (Security Information Management - управление информацией в системе безопасности) и SEM (Security Event Management - управление событиями в системе безопасности).

Содержание


Программные продукты категории SIEM способны анализировать состояние информационной безопасности в ИТ-системах, в реальном времени, генерировать оповещения, реагировать на работу сетевого оборудования и приложений.

Общая задача продуктов этой категории: помощь компаниям в вопросе оперативного реагирования на совершаемые атаки, инциденты в системах безопасности и упорядочение сведений, обрабатываемых в рамках этой задачи.

Рынок SIEM

2009-2015 годы (прогноз Frost & Sullivan)

Стоит отметить, что из года в год SIEM-системы делают значимые шаги вперед, становясь необходимым ИТ-инструментом современных предприятий. Связано это прежде всего с двумя векторами, по которым идет развитие ИТ-технологий в целом: централизацией и виртуализацией. SIEM-системы централизуют хранение информации о событиях, происходящих в ИТ-инфраструктуре, и управление ею, также многие производители предлагают версии, доступные для развертывания в виртуальной среде.

По отчету аналитического агентства Frost & Sullivan за 2011 год, мировой рынок SIEM-решений с 2009 по 2015 год возрастет практически вдвое.

Рисунок 3. Мировой рынок SIEM

Положение дел на мировом рынке вполне проецируется на российский рынок.

Рисунок 4. Российский рынок SIEM

2012

Основные игроки на рынке:

По результатам проведенного исследования с привлечением специалистов, работающих в вендорах и дистрибьюторах решений SIEM, доли рынка распределились следующим образом.

Рисунок 1. Доли игроков на российском рынке

HP Arcsight одной из первых пришла на наш рынок и, несмотря на возрастающую конкуренцию, продолжает удерживать лидирующие позиции в своем сегменте.

Идущие следом вендоры предлагают широкую линейку продуктов, известную российскому рынку, имеют представительства, вкладываются в развитие своих продуктов, что в совокупности приводит к росту продаж и увеличению доли рынка.

К «другим» относятся такие вендоры, как Splunk и Tibco Loglogic, имеющие качественные продукты и специализирующиеся исключительно на SIEM. Данные вендоры делают первые шаги на российском рынке, но ценовая политика, функционал и линейка, рассчитанная на организации любого размера, позволяют данным производителям рассчитывать на успешное продвижение.


Рисунок 2. Основные игроки рынка SIEM

Долгое время SIEM-системы могли позволить себе только крупные компании с хорошим годовым ИТ-бюджетом. Однако в последние годы появились системы all-in-one. В данных продуктах механизмы сбора, хранения, поиска, нормализации и корреляции информации реализованы в рамках одной коробки. Такие продукты, как HP ArcSight express, Tibco Loglogic MX, McAfee Nitro ESM, QRadar 2100 All-In-One Appliance, обеспечивают функционал SIEM, исходя из потребностей небольших и средних по величине компаний.

Также в этом году произошло много громких слияний. Это обусловлено тем, что изначально системы делились на SEM и SIM и, следовательно, тяготели к соответствующему функционалу, частично реализуя другой. В 2011–2012 годах крупные игроки SIEM-рынка старались максимально наполнить свои SIEM-системы функционалом SIM и SEM.

McAfee поглотила Nitro и усилила свою SIEM-систему функционалом SEM. Лидер рынка ИТ-технологий HP приобрел Arcsight, инвестируя новые средства в продукты этого вендора, с целью поддержания лидерства на рынке. В продукты IBM гармонично влился Q1 Radar, придя на смену устаревшей линейке Tivoli. Tibco приобрел Loglogic, внеся в функционал SIEM новые аналитические возможности, визуализируя все происходящее в сети и позволяя расследовать инциденты информационной безопасности в режиме реального времени.

2007

В 2007 году исследовательская компания IDC предсказала мировой рост рынка SIEM с $380 млн. до $873 млн. в 2010 году. RSA Security в то же время оценила ежегодное расширение рынка между 25% и 35%.

В 2007 году аналитики видели в перспективе развития SIEM-решений, что эта технология идеально подходит для реализации требований по соответствию (compliance), подготовки отчетов. Она помогает получить представление о внутренних и внешних угрозах ИТ-структурам. Продукты этой категории повышают эффективность взаимодействия людей и систем, содействуют сокращению расходов на администрирование. SIEM гибко управляется и может стать монетизируемым сервисом.

Задачи и функции SIEM

Аналитики Gartner считают, что сегодня компании сталкиваются с двумя важными проблемами при внедрении SIEM-решений: дефицит инвестиций на начальном этапе и в дальнейшем — поиск бюджета для использования новых возможностей системы для решения актуальных задач или покупки лишних функций, что в итоге приводит к переплатам поставщику за неиспользованное решение и техническое обслуживание.

Аналитики Gartner советуют руководителям отделов информационной безопасности и управления рисками придерживаться нескольких важных правил:

  • использовать CLM-инструменты (централизованный лог-менеджмент), чтобы следить за инцидентами безопасности даже в условиях ограниченного бюджета на внедрение SIEM;
  • использовать существующие информационные системы и инструменты для сбора и управления событиями информационной безопасности в компаниях среднего и малого бизнеса;
  • придерживаться поэтапного и многоуровнего подхода, используя CLM-инструменты при планировании внедрения SIEM-систем, чтобы избежать ненужных финансовых вложений в лишние функции и покупку неприоритетных дополнительных лицензий еще на старте работ;
  • использовать CLM-инструменты для лучшего управления инвестициями в SIEM, если в существующем инструменте нельзя масштабировать функции сбора и анализа информации из-за бюджетных ограничений.


Перечень задач для SIEM:

  • сбор информации, объединение, хранение журналов событий, получаемых из различных источников: сетевых устройств, приложений, логов ОС, средств и систем защиты
  • наличие инструментов анализа событий и разбора инцидентов безопасности
  • корреляция и обработка согласно правилам
  • автоматическое оповещение и управление инцидентами

Современные системы и продукты этой категории способны выявлять:

  • сетевые атаки во внутреннем и внешнем периметрах сети
  • вирусную активность или отдельные заражения, не удаленные вирусы, бэкдоры (backdoor) и троянцев
  • попытки несанкционированного доступа
  • фрод и мошенничество
  • ошибки и сбои в работе информационных систем
  • уязвимости
  • ошибки конфигураций в средствах защиты и информационных системах

Источники и правила SIEM

Универсальная логика работы продуктов SIEM требует наличия источников и правил корреляции, поскольку любое событие может быть подано для обработки SIEM.

Выбор источника определяется на основании факторов:

  • критичности (значимости) системы и информации
  • достоверности и информативности источника
  • охвата каналов передачи информации
  • спектра задач ИТ и ИБ (непрерывность, расследование инцидентов, соблюдение политик, предотвращение утечек информации и т.п.)

Эксперты по системам безопасности таким видят набор источников информации для SIEM:

  • системы контроля, аутентификации — для мониторинга контроля доступа к информационным системам и использования привилегий
  • журналы (логи) событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности
  • активное сетевое оборудование (контроль изменений и доступа, параметров сетевого трафика)
  • IDS/IPS - системы обнаружения/предотвращения вторжения. События о сетевых атаках, изменение конфигураций и доступ к устройствам
  • антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах
  • сканеры уязвимостей. Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры
  • GRC-системы для учета рисков, критичности угрозы, определение приоритета инцидента
  • прочие системы защиты и контроля политик ИБ
  • системы инвентаризации и управления программными активами. С целью контроля активов в инфраструктуре и выявления новых
  • netflow и системы учета трафика

Компоненты SIEM

  • агенты, устанавливаемые на инспектируемую информационную систему (актуально для операционных систем (агент представляет собой резидентную программу (сервис, демон), которая локально собирает журналы событий и по возможности передает их на сервер)
  • коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы
  • серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников
  • сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции
  • сервер баз данных и хранилища, отвечающий за хранение журналов событий


SIEM способен коррелировать:

  • известную, описанную правилами корреляции угрозу
  • угрозу на основе общего типового шаблона
  • аномалию в случае отклонения от основного направления в системе защиты
  • отклонение от политики по принципу «все, что не разрешено — запрещено» (это возможно не во всех SIEM)
  • причинно-следственную связь

Способы оптимизации издержек и производительности SIEM-систем

Системы управления событиями информационной безопасности (SIEM) часто выступают в качестве нервного центра корпоративных систем и становятся ключевой частью успешной ИБ-стратегии. Однако огромный объем данных, которые компании собирают, хранят и обрабатывают, быстро выходит из-под контроля. Он настолько велик, что приходится постоянно увеличивать свои бюджеты на SIEM или надеяться на то, что серьезные вирусные атаки обойдут стороной. Также необходимо помнить, что SIEM-системы главным образом хороши для анализа и составления отчетов на основе фундамента любой SIEM-системы — логов[1].

Оптимизацию SIEM-системы (для сокращения издержек или повышения эффективности) удобнее и продуктивнее всего организовать, повысив эффективность процесса управления логами. Следуя нашим советам, вы сможете улучшить работу SIEM-систем и упростить работу вашей службы безопасности.

Совет № 1. Избегайте проблем с совместимостью: качество анализа ИБ-событий напрямую зависит от качества исходных данных. Поскольку большинство организаций имеют самый разнообразный парк оборудования, среди инструментов для сбора и управления логами лучше выбрать те решения, которые имеют наиболее широкую поддержку разных форматов логов (включая простые текстовые файлы, файлы баз данных типа SQL, Oracle и SNMP-трапы, помимо привычных форматов syslog).

Совет № 2. Передавайте в SIEM только ценную информацию. Инструмент для «подачи» в SIEM информации должен также уметь обрабатывать и передавать структурированные и неструктурированные данные. Кроме этого, в его в распоряжении должны быть универсальные функции вроде фильтрации, парсинга, преобразования логов и их классификации. С таким набором характеристик вы будете направлять в SIEM только самую ценную информацию о событиях информационной безопасности. Таким образом, значительно сократятся расходы на оплату лицензии SIEM, основанной на количестве событий (реальные случаи эксплуатации говорят об экономии порядка 40% за год), и вы сможете предоставлять специалистам компактный и переформатированный поток журнальных данных для более легкого анализа.

Совет № 3. Обеспечьте соответствие хранения ваших логов регулирующим правилам по умолчанию. Преобразовывающие функции, такие как анонимизация и псевдонимизация, очень важны для соблюдения международных стандартов обращения с данными и обеспечения приватности, таких как PCI-DSS, HIPAA и новый GDPR в Евросоюзе.

Совет № 4. Сжимайте ваши логи при передаче по сети с узкой полосой пропускания. В зависимости от пропускной способности Интернета и интранета ваш инструмент для управления логами должен уметь работать даже в условиях очень ограниченной скорости соединения и передачи данных. Мгновенное сжатие логов может значительно уменьшить потребление трафика и ускорить работу центрального лог-сервера. Это увеличит скорость отклика на потенциальные риски безопасности или эксплуатации.

Совет № 5. Убедитесь в том, что теряете только «нулевые» логи. Что произойдет, если вы потеряете одно событие? Скорее всего, ничего, если это не будет единичным признаком происходящей утечки. Функции предотвращения потери сообщений — буферизация, поддержка доставки в виде автоматического переключения на резерв при сбое, контроль скорости передачи сообщений и подтверждение приема на уровне приложения — очень важны. Важно вовремя заметить, что неполученное сообщение сигнализирует о временном сбое инфраструктуры сбора логов или ее неспособности справиться с задачей.

Совет № 6. Богатый функционал должен поддерживаться высоко масштабируемой и надежной производительностью. Специализированные инструменты с устойчивыми к сбоям архитектурами могут обслуживать трафик от нескольких сотен сообщений до сотен тысяч событий в секунду. Здесь задействовано огромное количество движущихся элементов, зависимостей и переменных, но в самом общем случае, если вы не гигант вроде Amazon или Facebook, проблем с объемами обрабатываемых данных, даже при включенном активном индексировании, возникнуть не должно.

Совет № 7. Интегрируйте данные мониторинга действий привилегированных пользователей и поддерживайте их в актуальном состоянии. Хотя большинство действий пользователей оставляют след в логах, некоторые из них (особенно те, которые выполняют привилегированные пользователи через управляющие протоколы SSH или RDP) не находят отражение в журналах или данных аналитики SIEM. Интегрируя SIEM с решением для мониторинга привилегированных действий, вы сможете анализировать действия сотрудников, которые больше всего подвержены риску в режиме реального времени. Тем самым вы предотвратите кибератаки с самыми тяжелыми последствиями и нецелевое использование привилегированных учетных записей.

Совет № 8. Расставьте приоритеты SIEM-оповещений. Ваша компания получает слишком много логов? SIEM-система часто выдаёт ложно-положительные срабатывания? Небольшая команда безопасности перегружена работой и не в состоянии немедленно расследовать все случаи взлома? У любого профессионала в области безопасности есть только семь минут на работу с каждым SIEM-оповещением, чтобы найти источник утечки — будь то APT-атака или фишинговое письмо. Опираясь на уровень привилегий пользователя, активировавшего сигнал, и то, отличается ли его поведение в этой ситуации от обычной ежедневной деятельности, можно определить самые серьезные бреши в безопасности ИТ-инфраструктуры. Именно для этого ваша компания и внедрила SIEM-решение, чтобы значительно уменьшить время, необходимое для обнаружения, отклика и исследования потенциальных угроз и для возвращения предприятию состояния полной защиты.

Пример иерархии на основе SIEM

Отечественная компания предлагает собственную разработку.

Иерархическая система управления событиями ИБ на основе SIEM

Смотрите также: AMTSOC Сервисная модель SIEM

Смотрите также



TAdviser рекомендует

26 марта, Вс.

Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: