Чем больше организация, тем больше сетевых событий происходит в ее IT-инфраструктуре. Как внешних, так и внутренних. И угроз тоже становится больше. Для того, чтобы контролировать огромный массив данных и не упустить угрозу безопасности критической для бизнеса информации, необходимо внедрять сложные комплексные системы отслеживания событий безопасности.
Так. Еще раз
Чтобы не только быстро отреагировать на угрозы, но и в перспективе суметь их предотвратить, специалист по безопасности (речь о больших компаниях, которые могут себе позволить) должен получать информацию о всех событиях в ее IT-инфраструктуре в понятном виде.
Событием безопасности можно назвать любое сетевое событие — например, обмен электронной почтой, идентификация в CRM-системе предприятия, запрос доступа к какой-либо информации в условиях, — когда это событие указывает на возможное нарушение политики ИБ или возникновение неизвестной ранее ситуации, имеющей отношение к безопасности. Для сбора и анализа такого рода информации используются специальные системы, которые называются SIEM (Security Information and Event Management, «управление событиями и информацией о безопасности»).
Хорошо. И как это работает?
SIEM — это класс программных продуктов, объединяющих классы SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Первые предназначены для мониторинга событий безопасности в режиме реального времени, вторые отвечают за долгосрочное хранение и анализ данных с различных объектов IT-инфраструктуры организации.
SIEM собирают, нормализуют и анализируют лог-файлы о событиях безопасности из всех ИТ-систем, предоставляя их пользователю в максимально удобном виде. Сбор данных осуществляется несколькими способами. Это происходит или с помощью специальных приложений (наиболее распространенный метод), или напрямую из лог-файлов либо сетевых устройств, или с помощью протоколов потоковой передачи данных – например, SNMP, Netflow или IPFIX.
Что и где находят эти ваши решения?
SIEM-системы анализируют всю IT-инфраструктуру организации, источниками информации для них могут выступать антивирусы, системы аутентификации и авторизации, брандмауэры, межсетевые экраны, журнал серверов, рабочих станций, сетевого оборудования, контроллеры домена, системы обнаружения и предотвращения вторжений, системы предотвращения утечки информации, решения для контроля активов и инвентаризации, системы учета рабочего времени.
Правила анализа в традиционных решениях чаще всего задают вручную. Например, во время настройки создают скрипт, по которому однократный инцидент не представляет угрозы, а повторяющийся под одной учетной записью – означает попытку подобрать код доступа.
SIEM-решение позволяет обнаружить внешние и внутренние кибератаки, факты корпоративного мошенничества, погрешности и нарушения в работе информационных систем, нарушения структуры средств защиты, целевые хищения, слабые звенья защиты и ИБ в целом, попытки получить несанкционированный доступ к защищенной информации, отдельные заражения на рабочих станциях или киберэпидемии.
Как выбрать SIEM-решение
Системы SIEM отличаются по структуре, способностям масштабирования, функциональным свойствам и количеству решаемых задач. Оценку продукта стоит проводить, опираясь на несколько важных базовых характеристик.
Таких, как:
- Источники и обработка событий
Чем больше источников событий поддерживает система, тем эффективнее защита. При этом важно, чтобы решение обеспечивало индивидуальный подход к нормализации каждого события из различных источников. Работу с программой облегчает разбивка событий по категориям. Синтаксический анализ информационных потоков (парсинг) подобных решений реализуется с помощью обозначения наиболее критичных полей. Обновляются парсеры, как правило, одновременно с внедрением дополнений или изменений системы.
Автонахождение, а также периодическое обновление источников эксперты относят к преимуществам. Однако единого мнения по вопросу обновления SIEM-решения не существует. Отсутствие автообновления анализаторов вендоры иногда объясняют защитой от изменений логики анализа и предлагают проводить изменения SIEM под контролем собственных специалистов. Такой подход увеличивает стоимость владения системой.
- Сбор инцидентов
Эффективная SIEM – это платформа с функциями нормализации, объединения и фильтрации инцидентов. Преимуществом будет обработка и хранение raw-событий. Скорость процессов при этом на общую картину не влияет. Маскирование сведений, мониторинг сетевого трафика – функции вспомогательные, но не бесполезные.
Проверить корректность работы нормализации, фильтрации и агрегации возможно на этапе тестирования SIEM в боевом режиме. Поэтому больше доверия вызывают производители, которые предоставляют бесплатный тест-драйв полнофункциональной версии продукта.
- Корреляция
Оптимальное SIEM-решение сопоставляет события в режиме реального времени, умеет проводить поведенческий анализ и сравнение исторических данных.
Гибкие настройки системы корреляции, обогащение инцидентов в коннекторе или в консоли управления, дополнительная функция в виде ручной проверки, возможность одновременной работы со всеми механизмами – отличительные особенности хорошей SIEM.
- Визуализация
Отчетность SIEM-систем чаще всего формируется в виде графиков, гистограмм и таблиц. Большинство отчетов экспортируются в файлы пяти форматов: MS Excel, RTF, PDF, CSV, HTML.
- Общие настройки и встроенный функционал
Удобство работы с SIEM зависит, прежде всего, от наличия встроенных условий корреляции событий, графических панелей и шаблонов отчетов. Чем больше встроенных корреляционных ресурсов, тем меньше квалифицированной, а значит, платной помощи от сторонних специалистов потребуется при обслуживании платформы.
Важный маркер удобства работы с SIEM – возможность централизованно координировать компоненты платформы из единой консоли, а также автоматически обновлять предустановленные политики и шаблоны отчетности. Все это облегчит труд специалиста.
Итого: стоит выбирать решение, которое взаимодействует с максимальным количеством разнородных систем, которые используются в компании. Многоуровневая платформа обработки инцидентов ускорит работу с источниками и легко адаптируется к программному обеспечению. Невысокие требования к аппаратно-программным средствам при этом будут дополнительным преимуществом.
Установив решение Kaspersky Unified Monitoring and Analysis Platform, вы освободите до половины ваших аппаратных ресурсов и тем самым сократите совокупную стоимость владения (total cost of ownership, TCO). Таким образом, при выборе SIEM-решения имеет смысл учитывать не только стоимость лицензий, но и считать TCO.