SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

SIEM системы (Security Information and Event Management) - что это и зачем нужно?

SIEM системы (Security Information and Event Management) - что это и зачем нужно?
23.04.2020

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Итак, в двух предыдущих статьях мы с вами ознакомились с основными концепциями информационной безопасности (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) и с тем, что из себя представляет Центр SOC (https://www.securityvision.ru/blog/soc-chto-eto/). В этой статье мы поговорим уже более детально про разнообразные средства защиты информации, которыми пользуются специалисты по информационной безопасности, и особое внимание уделим системам управления информацией о безопасности и событиями информационной безопасности, т.е. SIEM (Security Information and Event Management). Начнем!


Как мы уже узнали ранее (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/), защищать информацию можно техническими, организационными, физическими мерами. Организационные меры - это выстраивание процессов информационной безопасности, таких как написание политик, регламентов, инструкций для безопасной обработки информации, подготовка правовой базы, управление и коммуникация по вопросам безопасности бизнес-процессов. Физические меры - это защита материальных активов, т.е. непосредственно серверов, компьютеров и даже сотрудников с помощью систем контроля и учета доступа (сокращенно - СКУД), систем сигнализации, пожаротушения, вентиляции, видеонаблюдения, прочих охранных систем. А технические средства - это как раз все те хитроумные системы, которые применяются экспертами по защите информации в SOC-Центрах (https://www.securityvision.ru/blog/soc-chto-eto/). О них мы поговорим подробнее.


Итак, для технического обеспечения информационной безопасности есть два принципиально разных подхода: превентивный и детективный. Превентивный способ защиты информации направлен на недопущение нарушения состояния информационной безопасности актива, например, блокирование запуска вредоносного файла антивирусом или запрет на входящее несанкционированное подключение межсетевым экраном. Таким образом, угрозы информационной безопасности пресекаются в зародыше - всё направлено на сохранение информации с помощью превентивных (предотвращающих) средств.


Зачем же применяют еще и второй подход, детективный? Суть детективного подхода заключается в том, чтобы собрать как можно больше информации о неком событии или действии, при условии, что мы точно не знаем, являются ли эти события или действия легитимными или нет. Например, сотрудник отправляет коллеге по электронной почте зашифрованный файл, а антивирусная система не может проверить его - он не открывается без ввода пароля. Что делать в таком случае? Блокировать отправку? А вдруг это важное и срочное сообщение, а файл - годовой финансовый отчет, запароленный для большей надежности? А если это на самом деле вирус, который сам себя распространяет по сети компании, избегая обнаружения таким вот образом? Задача детектирующих (обнаруживающих) средств - собрать о данном событии как можно больше информации и отправить специалисту по информационной безопасности для того, чтобы он принял решение. Возможно, потребуется телефонный звонок отправителю сообщения для получения дополнительной информации или согласование такой отправки у руководителя.


Одним из ярких примеров таких обнаруживающих систем является система управления информацией о безопасности и событиями информационной безопасности - SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна? По сути SIEM - это система, накапливающая в себе все данные (журналы работы или, как говорят спецы, логи) от других средств защиты, умеющая понимать многие «форматы» логов из разных источников - средств защиты, быстро искать нужную информацию в этих логах, долгое время их хранить. Кроме этого, SIEM-система должна уметь выполнять ряд дополнительных действий: осуществлять таксономию (распределять поступающие данные по типам и категориям) и корреляцию (т.е. связывать казалось бы разрозненные события между собой), отправлять уведомления ответственным лицам о выявленных подозрительных событиях в журналах, предоставлять дополнительную информацию по каждому из событий и устройств в сети.


Но как же выглядит работа системы SIEM на практике? Чтобы ответить на эти вопросы, сначала представим себе компанию среднего размера, т.е. с числом сотрудников около 1000, каждый из которых работает за ПК, а важная информация и бизнес-системы хранятся и работают на серверах. В такой компании общее число типов технических систем защиты, как превентивных, так и детектирующих, легко может перевалить за десяток. Давайте перечислим распространенные типы средств защиты информации:


1. Антивирусы предотвращают выполнение вредоносного кода и деятельность вредоносного программного обеспечения на конечных точках (рабочих станциях и серверах), в локальном и веб-трафике, в электронной почте.


2. Средства антиэксплойт защиты позволяют обнаруживать и предотвращать вредоносное воздействие эксплойтов, т.е. программ или набора команд, использующих уязвимости установленного прикладного или системного программного обеспечения.


3. Системы контроля и управления учетными записями осуществляют централизованное управление учетными записями пользователей и администраторов ИТ-систем.


4. Средства предотвращения утечек данных предназначены для защиты от несанкционированной передачи ценной информации в нарушение установленных в компании правил - например, копирование рабочей информации на флешку или отправка на личную почту.


5. Межсетевые экраны (синоним брандмауэра или файерволла) контролируют входящий и исходящий сетевой трафик и в локальной сети, и в интернет. Цель контроля - разрешать нужный трафик легитимным приложениям и запрещать потенциально опасным.


6. Системы обнаружения и/или предотвращения сетевых вторжений предназначены для анализа сетевого трафика и поиска в нем признаков того, что устройство пытаются атаковать через сеть с применением эксплойтов. Как следует из названия, системы обнаружения вторжений только оповещают о возможной атаке, а системы предотвращения вторжений автоматически блокируют подозрительный трафик.


7. «Песочницы», или, по-научному, средства изолированного выполнения программ позволяют запускать подозрительный файл в изолированной виртуальной среде, которая специально предназначена для поиска аномалий или потенциально вредоносного поведения исследуемого файла.


8. Сканеры уязвимостей предназначены для проведения анализа уязвимостей различных ИТ-систем путем получения данных об используемых версиях ПО и сравнением данной информации с каталогами известных уязвимостей, применимых к данным версиям.


9. Системы ресурсов-приманок для злоумышленников (англ. honeypots и honeynets) представляют собой заранее созданные «муляжи» информационных систем, похожих на реальные системы компании, но не содержащих никаких ценных данных. Атакующие, попав в такую ловушку, попробуют применить свой инструментарий для проведения атаки, а в этот момент их действия будут тщательно журналироваться и затем изучаться специалистами по защите информации.


10. Средства управления портативными устройствами (англ. MDM – Mobile Device Management) представляют собой программы для контроля и защиты портативных устройств сотрудников организации. Установив такое средство на своё устройство, сотрудник может получить контролируемый и безопасный удаленный доступ к ИТ-ресурсам организации, например, подключив себе на смартфон рабочую почту.


Разумеется, кроме описанных средств существуют и другие, менее распространенные, такие как системы защиты от DDoS-атак, системы защиты электронной почты, системы криптографической защиты информации, средства контроля баз данных, системы контроля действий пользователей, системы инвентаризации, классификации и учета активов, системы анализа и поиска актуальных угроз, системы защиты облачных сервисов. В следующих публикациях мы поговорим также о системах IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствия законодательству).


Но, однако же, вернемся к системам SIEM. После того, как мы увидели, какими многообразными бывают системы защиты в нашей воображаемой компании, давайте подумаем, как можно получить данные со всех таких систем, обработать их и сделать пригодными для того, чтобы они помогли специалисту по ИБ расследовать инцидент информационной безопасности. Иначе говоря, как же работают SIEM системы? Что именно делает SIEM-система, в чем польза от её применения, какие функции выполняет SIEM? Ответим по порядку.Первая задача SIEM - получить данные от источника. Это может быть как «активный» источник, который сам умеет передавать данные в SIEM и ему достаточно указать сетевой адрес приемника, так и «пассивный», к которому SIEM-система должна обратиться сама. Получив от источника данные, SIEM-система преобразует их в единообразный, пригодный для дальнейшего использования формат - это называется нормализацией. Сравним это с большой компанией людей из разных стран: все говорят на своих языках, а SIEM-система всех слушает и нормализует, т.е. переводит всё на английский, чтобы потом можно было просмотреть всю беседу на едином, понятном языке.


Далее SIEM-система выполняет таксономию, т.е. классифицирует уже нормализованные сообщения в зависимости от их содержания: какое событие говорит об успешной сетевой коммуникации, какое - о входе пользователя на ПК, а какое - о срабатывании антивируса. Таким образом, мы получаем уже не просто набор записей, а последовательность событий с определенным смыслом и временем наступления. Значит, что мы уже можем понять, в какой последовательности шли события и какая может быть связь между ними. Тут в игру вступает основной механизм SIEM-систем: корреляция. Корреляция в SIEM - это соотнесение между собой событий, удовлетворяющих тем или иным условиям (правилам корреляции). Пример правила корреляции: если на двух и более ПК в течение 5-ти минут сработал антивирус, то это может свидетельствовать о вирусной атаке на компанию. Более сложное правило: если в течение 24 часов были зафиксированы чьи-то попытки удаленно зайти на сервер, которые в конце концов увенчались успехом, а затем с этого сервера началось копирование данных на внешний файлообменник, то это может свидетельствовать о том, что злоумышленники подобрали пароль к учетной записи, зашли внутрь сервера и крадут важные данные. По итогам срабатывания правил корреляции в SIEM-системе формируется инцидент информационной безопасности (в некоторых системах, например, в SIEM IBM QRadar инцидент называется Offense). При этом специалист по ИБ при работе с SIEM должен иметь возможность быстрого поиска по хранящимся в SIEM-системе предыдущим инцидентам и событиям на случай, если ему потребуется узнать какие-либо дополнительные технические подробности для расследования атаки.


Итак, основные задачи SIEM-систем таковы:

1. Получение журналов с разнообразных средств защиты

2. Нормализация полученных данных

3. Таксономия нормализованных данных

4. Корреляция классифицированных событий

5. Создание инцидента, предоставление инструментов для проведения расследования

6. Хранение информации о событиях и инцидентах в течение длительного времени (от 6 месяцев)

7. Быстрый поиск по хранящимся в SIEM данным


Кроме указанного функционала, SIEM-системы могут также оснащаться дополнительными функциями, такими как управление рисками и уязвимостями, инвентаризация ИТ-активов, построение отчетов и диаграмм и т.д. Автоматизированное реагирование на инцидент также можно настроить, для этого используются системы IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), которые могут без участия человека, например, заблокировать взломанную учетную запись или отключить инфицированный ПК от сети.


Подводя итог, мы можем сказать, что системы SIEM необходимы компаниям для работы с большим потоком разнородных данных от различных источников в целях выявления потенциальных инцидентов информационной безопасности и своевременного реагирования на них. Польза от внедрения и применения SIEM-системы заключается в том, что она значительно ускоряет процесс обработки инцидентов ИБ и получения требуемой информации о событиях ИБ: аналитику не нужно подключаться к каждому средству защиты информации, он видит все данные в едином, консолидированном виде в одном удобном интерфейсе. Если у компании в соответствии с законодательством есть требования к хранению всех журналов аудита (т.е. логов) средств защиты за определенный временной период, например, не менее чем за год, то использование SIEM-систем позволяет выполнить это требование. Если же компания всерьез озабочена оперативным реагированием на инциденты информационной безопасности, то можно задуматься об организации своего Центра SOC (https://www.securityvision.ru/blog/soc-chto-eto/), ядром которого станет SIEM-система. Разумеется, при внедрении и настройке SIEM-систем существуют очевидные трудности как организационного, так и технического характера: кроме покупки самой SIEM-системы придется ещё настроить все источники данных на отправку данных в SIEM, создавать правила корреляции, устранять причины ложноположительных срабатываний, поддерживать SIEM-систему в актуальном состоянии, оперативно расследовать инциденты информационной безопасности, сгенерированные SIEM. Но эта игра стоит свеч, поскольку на кону стоит безопасность данных, а значит - самого ценного, что подчас есть у компании.

ИБ для начинающих СЗИ SIEM Подкасты ИБ SOAR SOC

Рекомендуем

Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Статический анализ исходного кода
Статический анализ исходного кода
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»

Рекомендуем

Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Статический анализ исходного кода
Статический анализ исходного кода
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»

Похожие статьи

Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Похожие статьи

Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты