Авторы: В. А. Кириллов, А. Р. Касимова, А. Д. Алёхин
Источник: В.А. Кириллов, А.Р. Касимова, А.Д. Алёхин, Система сбора и корреляции событий (SIEM) как ядро системы информационной безопасности//Казань: Вестник Казанского технологического ун–та. –2016. –№ 13. –С. 132–134.
В представленной статье рассматривается вопрос обеспечение информационной безопасности предприятий с помощью системы SIEM, позволяющая анализировать и регистрировать угрозы безопасности информации в режиме реального времени. Применение системы SIEMпозволяет добиться практически полной автоматизации процесса выявления угроз, тем самым сместив акцент внимания на критических угрозах, позволяет работать не событиями, а с инцидентами, своевременно обнаруживать аномалии и риски, обеспечить непрерывность работы ИТ–сервисов путем грамотной настройки корреляционных механизмов, что, в совокупности, позволяет существенно сократить возможные финансовые потери.
На сегодняшний день необходимость наличия системы информационной безопасности (ИБ) на крупных предприятиях принимается как данность. Не являются исключением и представители химической отрасли, имеющие территориально разветвленную сеть предприятий, на которых системы ИБ имеют тенденцию к постоянному развитию и адаптации к новым видам угроз. Таким образом, количество средств защиты информации, как и иных источников данных о текущем состоянии защищенно– сти, неуклонно растет, усложняя тем самым не только инфраструктуру системы, но и процесс обработки этих самых данных. В таких условиях отслеживание общей картины событий, происходящих в инфраструктуре, становится все более трудоемкой задачей для администраторов ИБ, несмотря на наличие у большинства корпоративных программных продуктов функции ведения журнала событий. И проблема здесь заключается не в числе таких продуктов, а в неумении разнородных продуктов общаться между собой, обмениваться данными об угрозах и уязвимостях, нарушителях и инцидентах. Даже десяток систем обнаружения вторжений окажется бесполезным, если своевременно не реагировать на возникающие угрозы и не пытаться предотвратить их. Решением данной проблемы являются системы класса Security Information and Event Management (SIEM) [1–2].
Система SIEM не способна самостоятельно предотвращать инциденты, как и не имеет встроенных защитных функций. Предназначение данной системы состоит в анализе данных, поступающих от различных иных систем, таких как Data LeakPrevention (DLP), IntrusionDetectionSystem (IDS), межсетевых экранов, антивирусов, активного сетевого оборудования, системы контроля доступа и аутентификации, сканеров уязвимостей, и т.д., а также регистрации и уведомления об инциденте при выявлении отклонения от норм по заранее заданным критериям. Целью подобных систем является определение первопричины того или иного инцидента по некоторым признакам, подобно диагностике болезни по её симптомам. Так, например, при сборе данных о событиях с точки зрения системы, зарегистрировавшей события, их приоритет может быть незначительным. Однако совокупность этих событий может быть признаком серьезного инцидента, чреватого не менее серьезными последствиями. Для достижения данной цели перед системами класса SIEM ставятся следующие задачи [1]:
Рассмотрим ситуацию, отображающую решение поставленных задач. Предположим, что произошла утечка данных, чувствительных для компании, которые содержались в письме сотрудника, имеющего право на работу с этими данными, но на адрес, находящийся вне обычного круга адресов, с которыми работает данный сотрудник. Система DLP может пропустить данное событие, однако SIEM будет сгенерирован инцидент на основе собранной статистики. В случае отрицания вины сотрудником, сгенерированные системой SIEM отчеты можно использовать в качестве доказательной базы как при внутренних расследованиях, так и в суде, что является одной из важнейших задач, поставленных перед данной системой [3]. Кроме того, в момент создания инцидента произойдет уведомление всех заинтересованных лиц, а отчеты могут быть использованы в качестве обоснования необходимости приобретения дополнительного средства ИБ, если то способно предотвратить большинство приведенных в отчете инцидентов.
Другой пример – на химическом предприятии предпринимается попытка локального доступа к системе АСУ ТП (Автоматизированная система управления технологическим процессом), обслуживающей системы синтеза опасных химических веществ, с целью модификации технологического процесса. Однако учетная запись, с которой происходит вход, принадлежит сотруднику, который, согласно данным СКУД (Система контроля и управления доступом), отсутствует в данный момент на производстве. В этом случае система SIEM, осуществив сопоставление данных от АСУ ТП и системы СКУД, произведёт немедленное оповещение ответственных лиц, что позволит предотвратить развитие инцидента.
Работу SIEM, как правило, осуществляют следующие компоненты:
Универсальность системы SIEM обуславливается гибкостью ее логики. Однако для её эффективного функционирования необходимы полезные источники и тщательно написанные правила корреляции. Именно они, в совокупности с размером накопленной статистики в базе, в дальнейшем определят количество ложно–позитивных срабатываний системы, которые, к сожалению, неизбежны на момент начала её эксплуатации. В качестве источника входной информации для SIEM может быть использован практически любое событие, например, открытие двери конкретной комнаты. Критериями отбора таких источников являются следующие факторы [1]:
Так основными источниками информации для современных систем класс SIEM являются [4]:
Как было сказано ранее, сбор данных от источников осуществляется установленными на них агентами. В случае отсутствия коллектора, соответствующего источнику, события могут быть отправлены в формате стандарта Syslog. Кроме того, имеется возможность удаленного сбора данных (при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP) [1]. Однако при этом способе возникает проблемы нагрузки на сеть, так как передача журналов осуществляется целиком, а не отдельными новыми записями. Помимо этого, в современных системах класса SIEM присутствует возможность записи всех сетевых данных для последующего корреляционного анализа. Возросший объём обрабатываемых данных вынудил разработчиков отказаться от реляционных СУБД (систем управления базами данных) в пользу не реляционных решений в целях повышения скорости обработки и сокращения объёмов необходимого для хранения дискового пространства. В ряде случаев та же тенденция обусловила переход некоторых разработчиков к технологии Больших Данных (BigData), что существенно повышает стоимость конечного продукта.
Для оправдания затрат на систему сбора и корреляции событий, необходимо, чтобы данные не только заносились в консолидированное хранилище для их дальнейшего разбора по факту инцидента, но и обрабатывались. Очевидно, что инструментарий данной системы позволит существенно ускорить процесс разбора инцидента, однако основной задачей SIEM является своевременное обнаружение, оперативное реагирование и предотвращение угроз. Для этого необходимо составление правил корреляции с учетом актуальных для компании рисков, а также постоянная актуализация самих правил специалистами. Как и в случае систем IDS, типовая угроза будет реализована, если не задать правило, позволяющее эту угрозу выявить. Однако, SIEM имеет преимущество перед системами обнаружения вторжений, которое заключается в возможности общего описания симптомов и использования накопленной статистики для отслеживания отклонения информационных систем и трафика от нормального поведения
В простейшем случае в SIEM–системах правила представлены в формате RBR (RuleBasedReasoning) и содержат набор условий, триггеры, счетчики, сценарий действий [1]. Например, система способна учитывать параметры удалённости двух последних использования банковской карты за небольшой интервал времени: если клиент использовал карту для оплаты покупки в Казани, а через 15 минут с той же карты пытаются снять дневной лимит клиента гдето в Китае, то очевидна попытка мошенничества. В целом система класса SIEM способна выявлять факты сетевых атак во внутреннем и внешнем периметрах, вирусных эпидемии или отдельных заражений вредоносным ПО, попытки несанкционированного доступа к конфиденциальной информации, фрода и мошенничества, а также определять ошибки и сбои в работе информационных систем, уязвимости, ошибки конфигураций в средствах защиты и информационных системах.
Резюмируя вышесказанное, можно заключить, что SIEM является не только мощным инструментом системы информационной безопасности, но и ИТ–системы в целом. SIEM позволяет добиться практически полной автоматизации процесса выявления угроз, тем самым сместив акцент внимания на критических угрозах, позволяет работать не событиями, а с инцидентами, своевременно обнаруживать аномалии и риски, обеспечить непрерывность работы ИТ–сервисов путем грамотной настройки корреляционных механизмов, что, в совокупности, позволяет существенно сократить возможные финансовые потери.
Однако, следует уточнить, что SIEM, как и другие системы ИБ, не является панацеей. Как минимум ввиду того, что внедрение данной системы является сложным, дорогим и длительным по времени проектом, а для её эксплуатации необходимо наличие квалифицированного специалиста, который обеспечит контроль непрерывности сбора событий, управление правилами корреляции, а также будет корректировать и обновлять правила в соответствии как с изменениями в самой инфраструктуре, так и в требованиях регуляторов. Установка SIEM в состоянии «как есть», с активацией встроенных правил корреляции и ограниченного набора шаблонов, без надлежащего управления и контроля приведет нерациональной трате бюджетных средств. В то же время успешное внедрение и грамотная настройка системы позволит [5]:
Учитывая, что в России представлены практически все представители рынка SIEM–систем, многие из которых имеют сертификат соответствия от ФСТЭК России, потенциальному заказчику не составит труда определить для себя оптимальную систему класса SIEM с необходимым набором функций.
1. БОлеся Шелестова Что такое SIEM? // Информационный портал по безопасности SecurityLab.ru URL: http://www.securitylab.ru/analytics/430777.php
(дата обращения: 01.02.16);
2. Алексей Парфентьев Обзор SIEM–систем на мировом
и российском рынке // Аналитический центр AntiMalware.ru URL:
https://www.antimalware.ru/analytics/Technology_Analysis/
Overview_SECURITY_systems_global_and_Russian_mark
3. Дмитрий Хамакев SIEM: ответы на часто задаваемые
вопросы // Хабрахабр URL: https://habrahabr.ru/post/172389/
4. Олеся Шелестова SIEM для ИТ и ИБ // Хабрахабр
URL: http://habrahabr.ru/company/pt/blog/173377/ (дата
обращения: 01.02.16)