SIEM - что это и зачем нужно?



Руслан Рахметов, Security Vision

Итак, в двух предыдущих статьях мы с вами ознакомились с основными концепциями информационной безопасности (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) и с тем, что из себя представляет Центр SOC (https://www.securityvision.ru/blog/soc-chto-eto/). В этой статье мы поговорим уже более детально про разнообразные средства защиты информации, которыми пользуются специалисты по информационной безопасности, и особое внимание уделим системам управления информацией о безопасности и событиями информационной безопасности, т.е. SIEM (Security Information and Event Management). Начнем!

Как мы уже узнали ранее (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/), защищать информацию можно техническими, организационными, физическими мерами. Организационные меры - это выстраивание процессов информационной безопасности, таких как написание политик, регламентов, инструкций для безопасной обработки информации, подготовка правовой базы, управление и коммуникация по вопросам безопасности бизнес-процессов. Физические меры - это защита материальных активов, т.е. непосредственно серверов, компьютеров и даже сотрудников с помощью систем контроля и учета доступа (сокращенно - СКУД), систем сигнализации, пожаротушения, вентиляции, видеонаблюдения, прочих охранных систем. А технические средства - это как раз все те хитроумные системы, которые применяются экспертами по защите информации в SOC-Центрах (https://www.securityvision.ru/blog/soc-chto-eto/). О них мы поговорим подробнее.

Итак, для технического обеспечения информационной безопасности есть два принципиально разных подхода: превентивный и детективный. Превентивный способ защиты информации направлен на недопущение нарушения состояния информационной безопасности актива, например, блокирование запуска вредоносного файла антивирусом или запрет на входящее несанкционированное подключение межсетевым экраном. Таким образом, угрозы информационной безопасности пресекаются в зародыше - всё направлено на сохранение информации с помощью превентивных (предотвращающих) средств.

Зачем же применяют еще и второй подход, детективный? Суть детективного подхода заключается в том, чтобы собрать как можно больше информации о неком событии или действии, при условии, что мы точно не знаем, являются ли эти события или действия легитимными или нет. Например, сотрудник отправляет коллеге по электронной почте зашифрованный файл, а антивирусная система не может проверить его - он не открывается без ввода пароля. Что делать в таком случае? Блокировать отправку? А вдруг это важное и срочное сообщение, а файл - годовой финансовый отчет, запароленный для большей надежности? А если это на самом деле вирус, который сам себя распространяет по сети компании, избегая обнаружения таким вот образом? Задача детектирующих (обнаруживающих) средств - собрать о данном событии как можно больше информации и отправить специалисту по информационной безопасности для того, чтобы он принял решение. Возможно, потребуется телефонный звонок отправителю сообщения для получения дополнительной информации или согласование такой отправки у руководителя.

Одним из ярких примеров таких обнаруживающих систем является система управления информацией о безопасности и событиями информационной безопасности - SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна? По сути SIEM - это система, накапливающая в себе все данные (журналы работы или, как говорят спецы, логи) от других средств защиты, умеющая понимать многие «форматы» логов из разных источников - средств защиты, быстро искать нужную информацию в этих логах, долгое время их хранить. Кроме этого, SIEM-система должна уметь выполнять ряд дополнительных действий: осуществлять таксономию (распределять поступающие данные по типам и категориям) и корреляцию (т.е. связывать казалось бы разрозненные события между собой), отправлять уведомления ответственным лицам о выявленных подозрительных событиях в журналах, предоставлять дополнительную информацию по каждому из событий и устройств в сети.

Но как же выглядит работа системы SIEM на практике? Чтобы ответить на эти вопросы, сначала представим себе компанию среднего размера, т.е. с числом сотрудников около 1000, каждый из которых работает за ПК, а важная информация и бизнес-системы хранятся и работают на серверах. В такой компании общее число типов технических систем защиты, как превентивных, так и детектирующих, легко может перевалить за десяток. Давайте перечислим распространенные типы средств защиты информации:

1. Антивирусы предотвращают выполнение вредоносного кода и деятельность вредоносного программного обеспечения на конечных точках (рабочих станциях и серверах), в локальном и веб-трафике, в электронной почте.

2. Средства антиэксплойт защиты позволяют обнаруживать и предотвращать вредоносное воздействие эксплойтов, т.е. программ или набора команд, использующих уязвимости установленного прикладного или системного программного обеспечения.

3. Системы контроля и управления учетными записями осуществляют централизованное управление учетными записями пользователей и администраторов ИТ-систем.

4. Средства предотвращения утечек данных предназначены для защиты от несанкционированной передачи ценной информации в нарушение установленных в компании правил - например, копирование рабочей информации на флешку или отправка на личную почту.

5. Межсетевые экраны (синоним брандмауэра или файерволла) контролируют входящий и исходящий сетевой трафик и в локальной сети, и в интернет. Цель контроля - разрешать нужный трафик легитимным приложениям и запрещать потенциально опасным.

6. Системы обнаружения и/или предотвращения сетевых вторжений предназначены для анализа сетевого трафика и поиска в нем признаков того, что устройство пытаются атаковать через сеть с применением эксплойтов. Как следует из названия, системы обнаружения вторжений только оповещают о возможной атаке, а системы предотвращения вторжений автоматически блокируют подозрительный трафик.

7. «Песочницы», или, по-научному, средства изолированного выполнения программ позволяют запускать подозрительный файл в изолированной виртуальной среде, которая специально предназначена для поиска аномалий или потенциально вредоносного поведения исследуемого файла.

8. Сканеры уязвимостей предназначены для проведения анализа уязвимостей различных ИТ-систем путем получения данных об используемых версиях ПО и сравнением данной информации с каталогами известных уязвимостей, применимых к данным версиям.

9. Системы ресурсов-приманок для злоумышленников (англ. honeypots и honeynets) представляют собой заранее созданные «муляжи» информационных систем, похожих на реальные системы компании, но не содержащих никаких ценных данных. Атакующие, попав в такую ловушку, попробуют применить свой инструментарий для проведения атаки, а в этот момент их действия будут тщательно журналироваться и затем изучаться специалистами по защите информации.

10. Средства управления портативными устройствами (англ. MDM – Mobile Device Management) представляют собой программы для контроля и защиты портативных устройств сотрудников организации. Установив такое средство на своё устройство, сотрудник может получить контролируемый и безопасный удаленный доступ к ИТ-ресурсам организации, например, подключив себе на смартфон рабочую почту.

Разумеется, кроме описанных средств существуют и другие, менее распространенные, такие как системы защиты от DDoS-атак, системы защиты электронной почты, системы криптографической защиты информации, средства контроля баз данных, системы контроля действий пользователей, системы инвентаризации, классификации и учета активов, системы анализа и поиска актуальных угроз, системы защиты облачных сервисов. В следующих публикациях мы поговорим также о системах IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствия законодательству).

Но, однако же, вернемся к системам SIEM. После того, как мы увидели, какими многообразными бывают системы защиты в нашей воображаемой компании, давайте подумаем, как можно получить данные со всех таких систем, обработать их и сделать пригодными для того, чтобы они помогли специалисту по ИБ расследовать инцидент информационной безопасности. Иначе говоря, как же работают SIEM системы? Что именно делает SIEM-система, в чем польза от её применения, какие функции выполняет SIEM? Ответим по порядку.Первая задача SIEM - получить данные от источника. Это может быть как «активный» источник, который сам умеет передавать данные в SIEM и ему достаточно указать сетевой адрес приемника, так и «пассивный», к которому SIEM-система должна обратиться сама. Получив от источника данные, SIEM-система преобразует их в единообразный, пригодный для дальнейшего использования формат - это называется нормализацией. Сравним это с большой компанией людей из разных стран: все говорят на своих языках, а SIEM-система всех слушает и нормализует, т.е. переводит всё на английский, чтобы потом можно было просмотреть всю беседу на едином, понятном языке.

Далее SIEM-система выполняет таксономию, т.е. классифицирует уже нормализованные сообщения в зависимости от их содержания: какое событие говорит об успешной сетевой коммуникации, какое - о входе пользователя на ПК, а какое - о срабатывании антивируса. Таким образом, мы получаем уже не просто набор записей, а последовательность событий с определенным смыслом и временем наступления. Значит, что мы уже можем понять, в какой последовательности шли события и какая может быть связь между ними. Тут в игру вступает основной механизм SIEM-систем: корреляция. Корреляция в SIEM - это соотнесение между собой событий, удовлетворяющих тем или иным условиям (правилам корреляции). Пример правила корреляции: если на двух и более ПК в течение 5-ти минут сработал антивирус, то это может свидетельствовать о вирусной атаке на компанию. Более сложное правило: если в течение 24 часов были зафиксированы чьи-то попытки удаленно зайти на сервер, которые в конце концов увенчались успехом, а затем с этого сервера началось копирование данных на внешний файлообменник, то это может свидетельствовать о том, что злоумышленники подобрали пароль к учетной записи, зашли внутрь сервера и крадут важные данные. По итогам срабатывания правил корреляции в SIEM-системе формируется инцидент информационной безопасности (в некоторых системах, например, в SIEM IBM QRadar инцидент называется Offense). При этом специалист по ИБ при работе с SIEM должен иметь возможность быстрого поиска по хранящимся в SIEM-системе предыдущим инцидентам и событиям на случай, если ему потребуется узнать какие-либо дополнительные технические подробности для расследования атаки.

Итак, основные задачи SIEM-систем таковы:

1. Получение журналов с разнообразных средств защиты

2. Нормализация полученных данных

3. Таксономия нормализованных данных

4. Корреляция классифицированных событий

5. Создание инцидента, предоставление инструментов для проведения расследования

6. Хранение информации о событиях и инцидентах в течение длительного времени (от 6 месяцев)

7. Быстрый поиск по хранящимся в SIEM данным

Кроме указанного функционала, SIEM-системы могут также оснащаться дополнительными функциями, такими как управление рисками и уязвимостями, инвентаризация ИТ-активов, построение отчетов и диаграмм и т.д. Автоматизированное реагирование на инцидент также можно настроить, для этого используются системы IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), которые могут без участия человека, например, заблокировать взломанную учетную запись или отключить инфицированный ПК от сети.

Подводя итог, мы можем сказать, что системы SIEM необходимы компаниям для работы с большим потоком разнородных данных от различных источников в целях выявления потенциальных инцидентов информационной безопасности и своевременного реагирования на них. Польза от внедрения и применения SIEM-системы заключается в том, что она значительно ускоряет процесс обработки инцидентов ИБ и получения требуемой информации о событиях ИБ: аналитику не нужно подключаться к каждому средству защиты информации, он видит все данные в едином, консолидированном виде в одном удобном интерфейсе. Если у компании в соответствии с законодательством есть требования к хранению всех журналов аудита (т.е. логов) средств защиты за определенный временной период, например, не менее чем за год, то использование SIEM-систем позволяет выполнить это требование. Если же компания всерьез озабочена оперативным реагированием на инциденты информационной безопасности, то можно задуматься об организации своего Центра SOC (https://www.securityvision.ru/blog/soc-chto-eto/), ядром которого станет SIEM-система. Разумеется, при внедрении и настройке SIEM-систем существуют очевидные трудности как организационного, так и технического характера: кроме покупки самой SIEM-системы придется ещё настроить все источники данных на отправку данных в SIEM, создавать правила корреляции, устранять причины ложноположительных срабатываний, поддерживать SIEM-систему в актуальном состоянии, оперативно расследовать инциденты информационной безопасности, сгенерированные SIEM. Но эта игра стоит свеч, поскольку на кону стоит безопасность данных, а значит - самого ценного, что подчас есть у компании.

Интересные публикации