5 ноября, 2015, BIS Journal №4(19)/2015

Возможности современного SIEM в рамках потребностей SOC


Ларин Михаил

ведущий инженер (департамент информационной безопасности АМТ-ГРУП)

Центры управления ИБ (Security Operation Center или SOC), как правило, используют SIEM как ключевой компонент своей инфраструктуры

SOC  — это не только и не столько SIEM, набор технических средств по мониторингу ИБ и выявлению инцидентов может быть довольно обширен. Также не стоит забывать о такой важной части, как экспертная составляющая. Тем не менее, с учетом развития SIEM решений, место и роли систем данного класса со временем видоизменяются. Цель данной статьи — показать, в каких сочетаниях и как можно эффективно использовать современный SIEM, где его компоненты проявляют самодостаточность, а где нет, какие альтернативные решения возможны.


СОВРЕМЕННЫЙ SIEM

Для начала вспомним, что такое SIEM, как такие системы появились, в каком направлении идет их развитие сейчас. Системы класса Security Information and Event Management (SIEM) образовались в результате объединения продуктов двух классов — Security Event Management (SEM) и Security Information Management (SIM). Системы первого класса (SEM) предназначались для мониторинга событий информационной безопасности в режиме, приближенном к реальному времени, корреляции, управлению инцидентами ИБ. А задачей SIM систем был анализ исторических данных, создание отчетов. Таким образом, классические функции SIEM это:
  • Сбор, консолидация и хранение журналов событий различных источников.
  • Нормализация событий, предоставление инструментария для удобной работы с нормализованными событиями.
  • Корреляция обработанных событий.
  • Оповещение о важных с точки зрения ИБ-событиях и управление инцидентами.
Так как с момента появления продуктов такого класса прошло уже более 10 лет (сам термин SIEM был обозначен в 2005 году аналитиками Gartner), системы развились, успело появиться второе поколение и современный SIEM — это во многом огромный комбайн, обросший дополнительными функциями. Особенно далеко в этой области продвинулись крупные коммерческие системы от, например, таких производителей, как HP, IBM Security, Intel Security (бывший McAfee). Причем имеются в виду именно возможности компонентов, позиционируемых как часть и продолжение системы, а не отдельно интегрируемые решения пусть и того же производителя. Причина именно такого развития вполне понятна, родные компоненты взаимодействуют с системой гораздо лучше, да и дополнительные функции часто оказываются конкурентным преимуществом.

ЗАДАЧИ SOC И ИХ РЕШАЕМОСТЬ С ПОМОЩЬЮ SIEM

Возьмем ряд типовых задач, которые решаются в рамках работы SOC, и посмотрим, как современный SIEM может с ними справиться. Примеры приведены на основании накопленного опыта подбора, внедрения и эксплуатации решений для сервиса SOC, предлагаемого компанией «АМТ-Груп».

Сбор и корреляция событий (как в режиме почти реального времени, так и по историческим данным). Это основная функция, постепенно улучшающаяся со времен SIEM первых поколений. Если для корреляции в реальном времени у лидирующих продуктов на рынке конкурентов практически нет, то для запросов, поиска и отчетности по историческим данным (особенно больших и очень больших объемов) пока что лучше работают специализированные продукты, например, Splunk, несмотря на заверения некоторых производителей о том, что второе поколение SIEM «big data ready». По этой причине при необходимости работы с big data в сфере ИБ без специализированных решений пока не обойтись, тем более что возможности интеграции существуют.

Инвентаризация активов, отслеживание изменений, поиск новых подключенных устройств (в том числе и нелегитимно подключенных). Задача может решаться с помощью различных подходов, например, анализ событий (доменных, с МСЭ, прокси), сбор трафика, активное сетевое сканирование. И если в части анализа событий с различных источников SIEM традиционно впереди, то для сканирования стоит использовать отдельные продукты; возможности SIEM систем в этой области обычно ограничены. В целом, комплексный подход и интеграция функций для данной задачи наиболее оправданы.

Профилирование сетевой активности. Современные SIEM предлагают богатые возможности по анализу сетевой активности, выявлению отклонений. Естественно, для этого необходимо получать события с сетевых устройств (в том числе журналы событий с МСЭ) и статистику о потоках данных (netflow/sflow/ipfix). Возможности рассматриваемых систем вполне могут как составить конкуренцию, так и дополнить аналитику для решений класса Threat Defense, например, Cyber Threat Defense от Cisco. А в сочетании с системами контроля доступа к сети возможности по реагированию на выявленные угрозы возрастают многократно.

Глубокий анализ и инспекция трафика на предмет выявления нежелательной активности. Несмотря на кажущуюся нетипичность задачи, лидирующие SIEM системы имеют компоненты, способные проводить анализ трафика вплоть до 7 уровня модели OSI. Хорошим примером может служить компонент Application Data Monitor SIEM системы от Intel Security.

Управление уязвимостями. SIEM системы могут получать информацию об уязвимостях посредством интеграции со сканерами уязвимостей и использовать данную информацию в правилах корреляции. Однако, в целом, основная часть решений не может получить максимум полезной информации от сканеров и наличие самого сканера обязательно. Движение в этой области есть пока только у Positive Technologies, которые выпустили MaxPatrol SIEM, основываясь на опыте создания сканеров уязвимостей. Продукт обещает быть достаточно любопытным.

Проверка конфигураций на соответствие регламентам и лучшим мировым практикам. Исторически эта задача не входила в число решаемых системами SIEM, необходимо было использовать отдельные компоненты. С появлением системы от Positive Technologies ситуация может измениться, поскольку, на мой взгляд, compliance — это сильная сторона MaxPatrol.

Визуализация информации о состоянии ИБ, в том числе с точки зрения влияния на бизнес. По мере развития SIEM систем развивались встроенные средства отображения с применением информационных панелей. По состоянию на текущий день — это удобный и понятный инструментарий для технического эксперта. Но, к сожалению, этот инструментарий является низкоуровневым и им очень сложно «говорить» на языке бизнеса, наглядно представляя руководству процесс, результаты мониторинга состояния ИБ и уровень защищенности информационной системы в целом. Для отображения бизнес-ориентированной информации просто необходимо Business Intelligence (BI) решение, например, QlikView, Oracle Business Intelligence. SIEM является для BI хорошим источником информации. При этом сами BI системы могут убедительно и наглядно обосновать необходимость и актуальность проектов ИБ.

Предотвращение утечек информации. DLP — отдельный класс устройств, который может интегрироваться с SIEM, являясь при этом самодостаточным с точки зрения предотвращения утечек данных. И в то же время DLP является крайне полезным источником информации для SIEM анализа. Во всяком случае, так было до недавнего времени. Компания SearchInform анонсировала собственное решение, сочетающее SIEM и DLP системы. Что из этого выйдет, увидим в ближайшем будущем.

 

Как мы можем убедиться, развитие SIEM систем идет в сторону расширения функций и поглощения решений, бывшими самостоятельными до этого. Таким образом, сложность выбора в пользу того или иного способа реализации SOC постоянно растет, как и растет уровень компетенций, который необходим сотрудникам служб ИБ для построения SOC. Вдобавок, с учетом сложной экономической ситуации, как капитальные, так и операционные затраты при самостоятельном внедрении неизбежно растут. По этой причине разумным шагом может стать переход на сервис SOC от внешнего провайдера. Это позволит минимизировать накладные расходы на обеспечение деятельности собственных подразделений ИБ и, благодаря опыту и компетенции экспертов провайдера сервиса, повысить результативность процесса обеспечения ИБ.


 

 

Смотрите также

Подпишись на новости!
Подписаться