СёрчИнформ SIEM:

Выявление угроз в режиме онлайн

Сравнение SIEM-систем

Развитие информационных технологий упрощает ведение бизнеса. Однако, чем больше источников данных появляется в корпоративных IT-системах, тем сложнее становятся задачи администраторов информационной безопасности, которые не успевают «вручную» отслеживать и блокировать угрозы. Без своевременного мониторинга и предотвращения несанкционированных действий теряется смысл системы защиты информации. И здесь на помощь ИБ-специалистам приходят решения класса SIEM – Security Information and Event Management.

Современные киберпреступники не атакуют напрямую. Они действуют завуалированно, используя уязвимости защитных ресурсов. Такие инциденты остаются вне поля зрения, так как без «контекста» не указывают на угрозу. Отследить противоправные действия помогает постоянный мониторинг и анализ всех событий, происходящих в IT-инфраструктуре компании. Такой способностью анализировать и выявлять инциденты по отдельным событиям обладают SIEM-решения.

Что означает SIEM?

Системы защиты, известные под аббревиатурой SIEM, появились в результате эволюции и слияния SEM и SIM.

SEM – Security Event Management – система защиты, которая работает в режиме реального времени. Она самостоятельно наблюдает за событиями в информационных потоках, собирает их, производит корреляцию и генерирует превентивные сообщения.

SIM – Security Information Management – система, которая отвечает за анализ сведений на основе статистики и девиаций от установленных правил безопасности.

Как работает SIEM?

Принцип работы SIEM, по сути, сводится к цикличному набору действий. Система собирает сведения из различных источников, анализирует данные в режиме реального времени, при необходимости предпринимает превентивные меры, систематизирует базы данных, анализирует действия пользователей на основе результатов предыдущего мониторинга, создает предупреждения и оповещения о критических событиях.

Функционирование SIEM-системы обеспечивают отдельные компоненты.

Агенты отвечают за сбор информации из источников. Коллекторные серверы обобщают сведения из источников, сервер баз данных сохраняет информацию, сервер корреляции отвечает за мониторинг и анализ сведений.

Источниками данных для SIEM служат разнообразные корпоративные системы.

  1. Системы контроля доступа и аутентификации. Предназначены для наблюдения за получением доступа к информационному потоку.
  2. DLP-системы. Передают данные о несанкционированном выходе информации за пределы корпоративной сети и о нарушении в использовании привилегий.
  3. Ресурсы IDS/IPS. Передают данные о сетевых атаках, изменении прав доступа.
  4. Антивирусные платформы. Уведомляют об угрозах в виде вредоносного кода, замене конфигураций или политик конфиденциальности, сообщают о работе баз данных и ПО.
  5. Журналы событий серверов и тонких клиентов. Контролируют соблюдение прав доступа и политики ИБ.
  6. Межсетевые экраны. Передают данные об опасных инцидентах, вредоносном ПО.
  7. Оборудование сети. Учитывает трафик сети, контролирует доступ пользователей к информационным потокам.
  8. Системы веб-фильтрации. Обобщают и направляют данные о том, какие запрещенные или вредоносные сайты в интернете посещают пользователи.

SIEM-система обрабатывает и анализирует полученные данные на основе математических вычислений и сравнения статистических данных. Правила анализа в традиционных решениях чаще всего задаются вручную. Например, во время настройки создается скрипт, по которому однократный инцидент не представляет угрозы, а повторяющийся под одной учетной записью – означает попытку подобрать код доступа.

SIEM-решение позволяет обнаружить:

  • внешние и внутренние кибератаки,
  • отдельные заражения и вирусные эпидемии;
  • попытки получить несанкционированный доступ к защищенным информационным потокам;
  • факты корпоративного мошенничества;
  • погрешности и нарушения в работе информационных систем;
  • слабые точки защиты;
  • нарушения структуры средств защиты;
  • целевые хищения.

Как выбрать SIEM-решение?

Системы SIEM, представленные на рынке средств информационной безопасности, являются техническими вариациями вендоров и отличаются по структуре, способностям масштабирования, функциональным свойствам и количеству решаемых задач.

Оценить преимущества SIEM-решения поможет анализ по основным характеристикам.

  • Источники и обработка событий

Чем больше источников событий поддерживает система, тем эффективнее защита. При этом важно, чтобы SIEM-система обеспечивала индивидуальный подход к нормализации каждого события из различных источников.

Работу с программой облегчает разбивка событий по категориям. Синтаксический анализ информационных потоков (парсинг) подобных решений реализуется с помощью обозначения наиболее критичных полей. Обновляются парсеры, как правило, одновременно с внедрением дополнений или изменений системы.

Автонахождение, а также периодическое обновление источников эксперты относят к преимуществам. Однако единого мнения по вопросу обновления SIEM-решения не существует. Отсутствие автообновления анализаторов вендоры иногда объясняют защитой от изменений логики анализа и предлагают проводить изменения SIEM под контролем собственных специалистов. Такой подход увеличивает стоимость владения системой.

Итого: стоит выбирать решение, которое взаимодействует с максимальным количеством разнородных систем, которые используются в компании. Многоуровневая платформа обработки инцидентов ускорит работу с источниками и легко адаптируется к программному обеспечению. Невысокие требования к аппаратно-программным средствам при этом будут дополнительным преимуществом. Отечественные разработчики реализуют в SIEM поддержку источников событий российского происхождения, которых нет у иностранных конкурентов, что также станет плюсом для заказчиков из России.

  • Сбор инцидентов

Эффективная SIEM – это платформа с функциями нормализации, объединения и фильтрации инцидентов. Преимуществом будет обработка и хранение raw-событий. Скорость процессов при этом на общую картину не влияет. Маскирование сведений, мониторинг сетевого трафика – функции вспомогательные, но не бесполезные.

Проверить корректность работы нормализации, фильтрации и агрегации возможно на этапе тестирования SIEM в «боевом» режиме. Поэтому больше доверия вызывают производители, которые предоставляют бесплатный тест-драйв полнофункциональной версии продукта.

  • Корреляция

Оптимальное SIEM-решение сопоставляет события в режиме реального времени, умеет проводить поведенческий анализ и сравнение исторических данных.

Гибкие настройки системы корреляции, обогащение инцидентов в коннекторе или в консоли управления, дополнительная функция в виде ручной проверки, возможность одновременной работы со всеми механизмами – отличительные особенности удачной SIEM.

  • Визуализация

Отчетность SIEM-систем чаще всего формируется в виде графиков, гистограмм и таблиц. Большинство отчетов экспортируются в файлы пяти форматов: MS Excel, RTF, PDF, CSV, HTML.

Комфортную работу ИБ-специалисту обеспечит русифицированный интерфейс. Это не принципиальный критерий выбора, но при прочих равных условиях – выгодно отличие.

  • Общие настройки и встроенный функционал

Удобство работы с SIEM зависит прежде всего от наличия встроенных условий корреляции событий, графических панелей и шаблонов отчетов. Чем больше встроенных корреляционных ресурсов, тем меньше квалифицированной, а значит – платной помощи от сторонних специалистов потребуется при обслуживании платформы.

Например, при разработке «СёрчИнформ SIEM» специалисты проанализировали типовые задачи клиентов из разных отраслей в России и СНГ. Это помогло разработать набор предустановленных политик, чтобы заказчики получили первые аналитические результаты «из коробки» – сразу после установки, а не спустя 5-6 месяцев после внедрения и тонкой настройки. При добавлении новых источников событий система получает обновленный набор предустановленных правил.

  • Удобство применения

Важный маркер удобства работы с SIEM – возможность централизованно координировать компоненты платформы из единой консоли, а также автоматически обновлять предустановленные политики и шаблоны отчетности. Все это облегчит труд специалиста по информационной безопасности.

Еще один плюс в пользу решения – оперативность и качество технической поддержки. По этому параметру в большинстве случаев выигрывают отечественные производители, главным образом, из-за невысокой стоимости.

Итого

Оценка SIEM по основным характеристикам обеспечивает выбор решения на предварительном этапе. Параметры «успешности» у разных заказчиков совпадают отчасти. Более глубокое сравнение SIEM-систем учитывает нужды и особенности IT-инфраструктуры конкретной компании, важность параметров и значимость функций системы оценивается индивидуально. Заказчик самостоятельно формулирует перечень критериев «успешного» решения во время тестирования. Специфические параметры SIEM-системы будут окончательно установлены только в процессе повседневной эксплуатации.