Система сбора и корреляции событий (SIEM) как ядро системы информационной безопасности

Аннотация

В представленной статье рассматривается вопрос обеспечение информационной безопасности предприятий с помощью системы SIEM, позволяющая анализировать и регистрировать угрозы безопасности информации в режиме реального времени. Применение системы SIEMпозволяет добиться практически полной автоматизации процесса выявления угроз, тем самым сместив акцент внимания на критических угрозах, позволяет работать не событиями, а с инцидентами, своевременно обнаруживать аномалии и риски, обеспечить непрерывность работы ИТ–сервисов путем грамотной настройки корреляционных механизмов, что, в совокупности, позволяет существенно сократить возможные финансовые потери.

Введение

На сегодняшний день необходимость наличия системы информационной безопасности (ИБ) на крупных предприятиях принимается как данность. Не являются исключением и представители химической отрасли, имеющие территориально разветвленную сеть предприятий, на которых системы ИБ имеют тенденцию к постоянному развитию и адаптации к новым видам угроз. Таким образом, количество средств защиты информации, как и иных источников данных о текущем состоянии защищенно– сти, неуклонно растет, усложняя тем самым не только инфраструктуру системы, но и процесс обработки этих самых данных. В таких условиях отслеживание общей картины событий, происходящих в инфраструктуре, становится все более трудоемкой задачей для администраторов ИБ, несмотря на наличие у большинства корпоративных программных продуктов функции ведения журнала событий. И проблема здесь заключается не в числе таких продуктов, а в неумении разнородных продуктов общаться между собой, обмениваться данными об угрозах и уязвимостях, нарушителях и инцидентах. Даже десяток систем обнаружения вторжений окажется бесполезным, если своевременно не реагировать на возникающие угрозы и не пытаться предотвратить их. Решением данной проблемы являются системы класса Security Information and Event Management (SIEM) [1–2].

Основная часть

Система SIEM не способна самостоятельно предотвращать инциденты, как и не имеет встроенных защитных функций. Предназначение данной системы состоит в анализе данных, поступающих от различных иных систем, таких как Data LeakPrevention (DLP), IntrusionDetectionSystem (IDS), межсетевых экранов, антивирусов, активного сетевого оборудования, системы контроля доступа и аутентификации, сканеров уязвимостей, и т.д., а также регистрации и уведомления об инциденте при выявлении отклонения от норм по заранее заданным критериям. Целью подобных систем является определение первопричины того или иного инцидента по некоторым признакам, подобно диагностике болезни по её симптомам. Так, например, при сборе данных о событиях с точки зрения системы, зарегистрировавшей события, их приоритет может быть незначительным. Однако совокупность этих событий может быть признаком серьезного инцидента, чреватого не менее серьезными последствиями. Для достижения данной цели перед системами класса SIEM ставятся следующие задачи [1]:

• Консолидация и хранение журналов событий от различных источников для последующего обращения к ним при расследовании инцидента даже после удаления или потери доступа к данным первоисточника;
• Предоставление инструментов для анализа событий и разбора инцидентов с возможностью фильтрации некритических событий, их унификации и представлении информации о событиях в более читабельной и наглядной форме в виде гибко настраиваемых отчетов;
• Корреляция и обработка по правилам;
• Автоматическое оповещение и инцидент–менеджмент

Рассмотрим ситуацию, отображающую решение поставленных задач. Предположим, что произошла утечка данных, чувствительных для компании, которые содержались в письме сотрудника, имеющего право на работу с этими данными, но на адрес, находящийся вне обычного круга адресов, с которыми работает данный сотрудник. Система DLP может пропустить данное событие, однако SIEM будет сгенерирован инцидент на основе собранной статистики. В случае отрицания вины сотрудником, сгенерированные системой SIEM отчеты можно использовать в качестве доказательной базы как при внутренних расследованиях, так и в суде, что является одной из важнейших задач, поставленных перед данной системой [3]. Кроме того, в момент создания инцидента произойдет уведомление всех заинтересованных лиц, а отчеты могут быть использованы в качестве обоснования необходимости приобретения дополнительного средства ИБ, если то способно предотвратить большинство приведенных в отчете инцидентов.

Другой пример – на химическом предприятии предпринимается попытка локального доступа к системе АСУ ТП (Автоматизированная система управления технологическим процессом), обслуживающей системы синтеза опасных химических веществ, с целью модификации технологического процесса. Однако учетная запись, с которой происходит вход, принадлежит сотруднику, который, согласно данным СКУД (Система контроля и управления доступом), отсутствует в данный момент на производстве. В этом случае система SIEM, осуществив сопоставление данных от АСУ ТП и системы СКУД, произведёт немедленное оповещение ответственных лиц, что позволит предотвратить развитие инцидента.

Работу SIEM, как правило, осуществляют следующие компоненты:

• Программы–агенты, осуществляющие сбор журналов событий и их передачу на сервер;
• Коллекторы–библиотеки, используемые агентами и содержащие данные для интерпретации конкретного журнала событий или системы;
• Серверы–коллекторы, осуществляющие сбор событий от множества источников;
• Сервер–коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции;
• Сервер баз данных для хранения журналов событий и их обработки.

Универсальность системы SIEM обуславливается гибкостью ее логики. Однако для её эффективного функционирования необходимы полезные источники и тщательно написанные правила корреляции. Именно они, в совокупности с размером накопленной статистики в базе, в дальнейшем определят количество ложно–позитивных срабатываний системы, которые, к сожалению, неизбежны на момент начала её эксплуатации. В качестве источника входной информации для SIEM может быть использован практически любое событие, например, открытие двери конкретной комнаты. Критериями отбора таких источников являются следующие факторы [1]:

• критичность системы (ценность, риски) и информации (обрабатываемой и хранимой);
• достоверность и информативность источника событий;
• покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети);
• покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети);

Так основными источниками информации для современных систем класс SIEM являются [4]:

• данные контроля доступа и аутентификации – для мониторинга контроля доступа к информационным системам и использования привилегий;
• журналы событий серверов и рабочих станций – для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности;
• сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика);
• средства обнаружения и предотвращения вторжений (IDS/IPS) – события о сетевых атаках, изменение конфигураций и доступ к устройствам;
• антивирусная защита – события о работоспособности программного обеспечения (ПО), о базах данных, об изменении конфигураций и политик, о вредоносных программах;
• сканеры уязвимостей – инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры;
• системы для учета рисков, критичности угрозы, приоритизации инцидента;
• прочие системы защиты и контроля политик ИБ – DLP, контроля устройств;
• системы инвентаризации и управления активами – для выявления новых устройств и программного обеспечения, в том числе установленных не санкционированно;
• системы учета трафика.

Как было сказано ранее, сбор данных от источников осуществляется установленными на них агентами. В случае отсутствия коллектора, соответствующего источнику, события могут быть отправлены в формате стандарта Syslog. Кроме того, имеется возможность удаленного сбора данных (при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP) [1]. Однако при этом способе возникает проблемы нагрузки на сеть, так как передача журналов осуществляется целиком, а не отдельными новыми записями. Помимо этого, в современных системах класса SIEM присутствует возможность записи всех сетевых данных для последующего корреляционного анализа. Возросший объём обрабатываемых данных вынудил разработчиков отказаться от реляционных СУБД (систем управления базами данных) в пользу не реляционных решений в целях повышения скорости обработки и сокращения объёмов необходимого для хранения дискового пространства. В ряде случаев та же тенденция обусловила переход некоторых разработчиков к технологии Больших Данных (BigData), что существенно повышает стоимость конечного продукта.

Для оправдания затрат на систему сбора и корреляции событий, необходимо, чтобы данные не только заносились в консолидированное хранилище для их дальнейшего разбора по факту инцидента, но и обрабатывались. Очевидно, что инструментарий данной системы позволит существенно ускорить процесс разбора инцидента, однако основной задачей SIEM является своевременное обнаружение, оперативное реагирование и предотвращение угроз. Для этого необходимо составление правил корреляции с учетом актуальных для компании рисков, а также постоянная актуализация самих правил специалистами. Как и в случае систем IDS, типовая угроза будет реализована, если не задать правило, позволяющее эту угрозу выявить. Однако, SIEM имеет преимущество перед системами обнаружения вторжений, которое заключается в возможности общего описания симптомов и использования накопленной статистики для отслеживания отклонения информационных систем и трафика от нормального поведения

В простейшем случае в SIEM–системах правила представлены в формате RBR (RuleBasedReasoning) и содержат набор условий, триггеры, счетчики, сценарий действий [1]. Например, система способна учитывать параметры удалённости двух последних использования банковской карты за небольшой интервал времени: если клиент использовал карту для оплаты покупки в Казани, а через 15 минут с той же карты пытаются снять дневной лимит клиента гдето в Китае, то очевидна попытка мошенничества. В целом система класса SIEM способна выявлять факты сетевых атак во внутреннем и внешнем периметрах, вирусных эпидемии или отдельных заражений вредоносным ПО, попытки несанкционированного доступа к конфиденциальной информации, фрода и мошенничества, а также определять ошибки и сбои в работе информационных систем, уязвимости, ошибки конфигураций в средствах защиты и информационных системах.

Резюмируя вышесказанное, можно заключить, что SIEM является не только мощным инструментом системы информационной безопасности, но и ИТ–системы в целом. SIEM позволяет добиться практически полной автоматизации процесса выявления угроз, тем самым сместив акцент внимания на критических угрозах, позволяет работать не событиями, а с инцидентами, своевременно обнаруживать аномалии и риски, обеспечить непрерывность работы ИТ–сервисов путем грамотной настройки корреляционных механизмов, что, в совокупности, позволяет существенно сократить возможные финансовые потери.

Однако, следует уточнить, что SIEM, как и другие системы ИБ, не является панацеей. Как минимум ввиду того, что внедрение данной системы является сложным, дорогим и длительным по времени проектом, а для её эксплуатации необходимо наличие квалифицированного специалиста, который обеспечит контроль непрерывности сбора событий, управление правилами корреляции, а также будет корректировать и обновлять правила в соответствии как с изменениями в самой инфраструктуре, так и в требованиях регуляторов. Установка SIEM в состоянии «как есть», с активацией встроенных правил корреляции и ограниченного набора шаблонов, без надлежащего управления и контроля приведет нерациональной трате бюджетных средств. В то же время успешное внедрение и грамотная настройка системы позволит [5]:

• осуществлять корреляцию и оценку влияния ИБ–событий, так и ИТ–процессов на бизнес;
• проводить анализ ситуации в инфраструктуре в режиме реального времени;
• реализовать автоматизацию как процессов обнаружения угроз и аномалий, так и процессов регистрации и контроля инцидентов;
• осуществлять аудит политик и стандартов соответствия, контроль и отчетность;
• проводить корректное реагирование на возникающие угрозы ИБ и ИТ в режиме реального времени с приоритизацией, в зависимости от влияния угроз на бизнес–процессы, и дальнейшей документацией отчетности;
• получить возможность расследования инцидентов и аномалий, в том числе произошедших давно;
• получить доказательную базу для судебных разбирательств;
• производить отчетность и получить важные показатели (ключевые показатели эффективности, коэффициент возврата инвестиций управление событиями, управление уязвимостями).

Учитывая, что в России представлены практически все представители рынка SIEM–систем, многие из которых имеют сертификат соответствия от ФСТЭК России, потенциальному заказчику не составит труда определить для себя оптимальную систему класса SIEM с необходимым набором функций.

Литература

1. БОлеся Шелестова Что такое SIEM? // Информационный портал по безопасности SecurityLab.ru URL: http://www.securitylab.ru/analytics/430777.php (дата обращения: 01.02.16);
2. Алексей Парфентьев Обзор SIEM–систем на мировом и российском рынке // Аналитический центр AntiMalware.ru URL: https://www.antimalware.ru/analytics/Technology_Analysis/ Overview_SECURITY_systems_global_and_Russian_mark 3. Дмитрий Хамакев SIEM: ответы на часто задаваемые вопросы // Хабрахабр URL: https://habrahabr.ru/post/172389/ 4. Олеся Шелестова SIEM для ИТ и ИБ // Хабрахабр URL: http://habrahabr.ru/company/pt/blog/173377/ (дата обращения: 01.02.16)