SIEM
SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.
Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба[1].
Обзор
С растущим объемом информации, которая обрабатывается и передается между различными информационными системами (ИС), организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в ИС необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет. Одним из решений данной проблемы является использование SIEM-систем[2]. Основополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Сегмент SIM, в основном, отвечает за анализ исторических данных, стараясь улучшить долгосрочную эффективность системы и оптимизировать хранение исторических данных. Сегмент SEM, напротив, делает акцент на выгрузке из имеющихся данных определенного объема информации, с помощью которого могут быть немедленно выявлены инциденты безопасности. По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов.
Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме[3].
Упреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы[4].
SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Понятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, службами каталогов и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты[5].
Решаемые задачи
- сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
- обнаружение в режиме реального времени атак и нарушений критериев и политик безопасности;
- оперативная оценка защищенности информационных, телекоммуникационных и других критически важных ресурсов;
- анализ и управление рисками безопасности;
- проведение расследований инцидентов;
- принятие эффективных решений по защите информации;
- формирование отчетных документов.
Источники данных
- Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.
- DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа.
- IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
- Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
- Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
- Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем.
- Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика.
- Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
- Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых.
- Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.
Архитектура
Обычно, SIEM-система разворачивается над защищаемой информационной системой и имеет архитектуру «источники данных» — «хранилище данных» — «сервер приложений». SIEM-решения представляют из себя интегрированные устройства (all-in-one) либо двух-трехкомпонентные комплексы. Распределенная архитектура чаще всего предполагает большую производительность и лучшие возможности по масштабированию, а также позволяет развернуть SIEM-решение в IT-инфраструктурах с несколькими площадками.
Агенты выполняют первоначальную обработку и фильтрацию, а также сбор событий безопасности.
Передача информации от источников данных может осуществляться несколькими способами:
- источник сам инициирует передачу событий (например, отправляет по syslog-протоколу);
- события с источника забираются пассивно.
Рассмотрим использование этих способов на практике. С первым вариантом все достаточно просто: на источнике указывается IP-адрес устройства, осуществляющего сбор событий (коллектора), и события отправляются адресату. Второй вариант включает агентный или безагентный сбор информации, причем в некоторых SIEM-системах для части источников доступны оба способа. Агентный способ предполагает использование специальной программы-агента, безагентный - настройки источника событий, такие как создание дополнительных учетных записей, разрешение удаленного доступа и/или использования дополнительных протоколов.
Собранная и отфильтрованная информация о событиях безопасности поступает в хранилище данных, где она хранится во внутреннем формате представления с целью последующего использования и анализа сервером приложений.
Сервер приложений реализует основные функции защиты информации. Он анализирует информацию, хранимую в репозитории, и преобразует ее для выработки предупреждений или управленческих решений по защите информации.
Исходя из этого, в SIEM-системе выделяются следующие уровни ее построения[6]:
- сбор данных: осуществляется от источников различных типов, например, файловых серверов, межсетевых экранов, антивирусных программ
- управление данными: данные, хранящиеся в репозитории, выдаются по запросам моделей анализа данных
- анализ данных: результатом являются отчеты в предопределенной и произвольной форме, оперативная корреляция данных о событиях, а также выдаваемые предупреждения
Функционирование SIEM
Для решения поставленных задач SIEM-системы первого поколения применяют нормализацию, фильтрацию, классификацию, агрегацию, корреляцию и приоритезацию событий, а также генерацию отчетов и предупреждений[1]. В SIEM-системах нового поколения к их числу следует добавить также анализ событий, инцидентов и их последствий, а также принятие решений и визуализацию.
Нормализация приводит форматы записей журналов, собранных из различных источников, к единому внутреннему формату, который затем будет использоваться для их хранения и последующей обработки. Фильтрация событий безопасности заключается в удалении избыточных событий из поступающих в систему потоков. Классификация позволяет для атрибутов событий безопасности определить их принадлежность определенным классам. Агрегация объединяет события, схожие по определенным признакам. Корреляция выявляет взаимосвязи между разнородными событиями. Приоритезация определяет значимость и критичность событий безопасности на основании правил, определенных в системе. Анализ событий, инцидентов и их последствий включает процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов. Генерация отчетов и предупреждений означает формирование, передачу, отображение или печать результатов функционирования. Визуализация предполагает представление в графическом виде данных, характеризующих результаты анализа событий безопасности и состояние защищаемой системы и ее элементов.
Функциональность
- Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.
- Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management.
- Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз итп.
- Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.
- Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.
- Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения.
- Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.
Обзор современных систем
Согласно исследованию Garther, в число лидеров в 2018 году вошли следующие системы: Splunk, IBM и LogRhythm[7]. Приведем их краткую характеристику:
Компания IBM предлагает комплексное решение в области SIEM-систем, которое называется Tivoli Security Information and Event Manager (TSIEM). TSIEM позволяет, с одной стороны, проводить аудит событий безопасности на соответствие внутренним политикам и различным международным стандартам, а с другой стороны — осуществлять обработку инцидентов, связанных с информационной безопасностью, и обнаруживать атаки и другие угрозы для элементов инфраструктуры. В области представления и хранения событий TSIEM использует запатентованную методику W7 (Who, did What, When, Where, Wherefrom, Where to and on What), в соответствии с которой все события трансформируются в единый формат, понятный администраторам безопасности, аудиторам и управленцам. Также TSIEM обладает развитыми возможностями по формированию отчетов и мониторингу активности пользователей.
Splunk — это еще одно решение для ведения коммерческих журналов событий, которое позиционируется как решение «Поиск в ИТ» и встраивается в такие продукты, как Cisco System IronPort. Благодаря веб-интерфейсу Splunk интуитивно понятен в настройке и управлении. Splunk использует достаточно удобный для пользователя подход к проектированию интерфейсов, упрощая первоначальный опыт для менее опытного администратора. Как и у многих аналогичных продуктов для ведения журналов, возможность создания отчетов является частью базового продукта и, в случае Splunk, она относительно проста в использовании. Распространенные типы форматов представления данных доступны из раскрывающихся меню на экране. Одна из приятных сторон веб-интерфейса Splunk заключается в том, что любой отчет может быть предоставлен в виде URL-адреса, что позволяет другим людям в организации просматривать конкретные отчеты, которые системный администратор создает для них.
LogRhythm, Inc. — американская компания, занимающаяся вопросами безопасности, которая объединяет систему управления информацией и событиями безопасности (SIEM), управление журналами, мониторинг сети и конечных точек, а также аналитику и безопасность. LogRhythm утверждает, что помогает клиентам быстро обнаруживать и реагировать на киберугрозы, прежде чем будет нанесен существенный ущерб. Он также нацелен на обеспечение автоматизации и соответствия нормативным требованиям. Продукты LogRhythm призваны помочь организациям защитить свои сети и оптимизировать работу. Кроме того, они помогают автоматизировать сбор, организацию, анализ, архивирование и восстановление данных журналов, что позволяет компаниям соблюдать правила хранения данных журналов. Компоненты продукта включают в себя сбор данных, мониторинг системы и сети, аналитические модули, управление журналами и событиями.
В последнее время на рынке появляются отечественные решения, среди которых:
KOMRAD Enterprise SIEM — способна осуществлять единый контроль событий информационной безопасности, выявлять возникающие инциденты информационной безопасности, оперативно реагировать на появляющиеся угрозы, отвечать требованиям предъявляемым к защите личной информации, способен обеспечивать сохранность государственных информационных систем. Преимуществами использования данной системы можно считать: поддержку большого количества платформ, своевременное информирование и реагирование на различные виды угроз, возможность гибкой настройки, удалённое управление конфигурациями, сбор информации с нестандартных источников событий.
Security Capsule — первая Российская система контроля за информационной безопасностью. Является самой доступной среди применяемых в России SIEM - систем. Обладает следующими качествами: выявление сетевых атак как в локальных, так и в глобальных периметрах, обнаружение вирусных заражений, способность регистрировать события в используемой операционной системе, учёт действий лиц, взаимодействующих с системой управления базой данных.
MaxPatrol SIEM — система, имеющая объективную оценку уровня защищённости как отдельно взятых подразделений, узлов и приложений, так и всей системы в целом. В сравнении с выше рассмотренным программным продуктом выделяется более высокой стоимостью. Данная система характеризуется использованием эвристических механизмов анализа и сформированной базой знаний, способной осуществлять проверку большинства распространённых операционных систем и специализированной аппаратуры. В отличие от классических SIEM-систем, она не нуждается в установке программных компонентов на узлах, что существенно облегчает процесс использования и снижает конечную стоимость владения. Обладает легко настраиваемой системой и разграничением прав доступа, что даёт возможность формировать мониторинг ИБ на каждом из уровней иерархии. Для отдельно взятого пользователя MaxPatrol, присутствует возможность создать свой список задач, которые он способен выполнить внутри системы.
RUSIEM — система разработанная одноименной компанией RuSIEM. По замыслу разработчиков, продукт должен заменить зарубежные аналоги на российском рынке и вести с ними конкурентоспособную борьбу за счёт невысокой стоимости внедрения и поддержки, а также мощной функциональности. Видимыми отличиями от конкурирующих компаний являются: интерпретирование событий в понятный вид, тегирование и весовые показатели, что даёт более удобный и быстрый способ анализировать поступающую информацию. Также стоит отметить безлимитное количество источников информации, что вкупе с компактным хранилищем даёт возможность строить оптимизированные запросы на любой глубине хранилища.
Примечания
- Security information and event management (SIEM) implementation. — New York: McGraw-Hill, 2011. — 1 online resource (xxxiv, 430 pages) с. — ISBN 9780071701082, 0071701087.
- H. Karlzen, „An Analysis of Security Information and Event Management Systems: The Use of SIEMs for Log Collection, Management, and Analysis.,“ p. 45, January 2009.
- Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. Вып.1 (20). СПб.: Наука, 2012. С.27-56.
- Котенко И.В.Интеллектуальные механизмы управления кибербезопасностью// Управление рисками и безопасностью. Труды Института системного анализа Российской академии наук (ИСА РАН). Т.41, Москва, URSS, 2009. С.74–103.
- Williams, Amrit (2005-05-02). "Improve IT Security With Vulnerability Management". Retrieved 2016-04-09.
Security information and event management (SIEM)
- Stevens M. Security Information and Event Management (SIEM). Presentation // TheNEbraska CERT Conference, August 9–11, 2005. http://www.certconf.org/presentations/2005/files/WC4.pdf
- K. Kavanagh, T. Bussa, G. Sadowski. Magic Quadrant for Security Information and Event Management. Gartner, 3 December 2018
Литература
- Abdul B. Subhani. Stay Safe!. — AbbottPress, 2016. — 182 с. — ISBN 1458220273.
- Security information and event management (SIEM) implementation. — New York: McGraw-Hill, 2019. — 1 online resource (xxxiv, 430 pages) с. — ISBN 9780071701082, 0071701087.
- Алексей Парфентьев, «СёрчИнформ», о SIEM и вреде лишних фич. — Журнал "Хакер", 26.11.2021.