SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

SIEM - Security Information and Event Management

SIEM - Security Information and Event Management
05.12.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision




1.png

Рис. 1 – Эволюция SIEM


До того, как понятие SIEM было «узаконено» аналитиком Gartner, оно существовало в виде двух терминов и, соответственно, двух разных решений. SEM (Security Event Management) и SIM (Security Information Management) системы по отдельности предназначались для анализа событий ИБ «на лету» и для исторического анализа и поиска аномалий «в базе». В 2005 году одновременно с аналитическим обзором Гартнера объединённый термин SIEM упоминался на различных конференциях, например, NEbraskaCERT Conference, после чего класс решений стал широко востребован как единое окно для сбора и анализа данных, получаемых с сетевых устройств, контроллеров домена, операционных систем, баз данных и других прикладных систем ИБ и ИТ.


Сейчас зарождается SIEM второго поколения, который по факту является объединением со смежными решениями вроде Threat Intelligence и Behavior Analysis, дополняющими поиск инцидентов анализом индикаторов компрометации и алгоритмами машинного обучения. Вендоры ИБ развиваются, покупают смежные решения и поставляют больший функционал каждый год. Но поскольку TI, UBA/UEBA и другие решения существуют отдельно, мы будем рассматривать SIEM в изолированном исполнении. Такая классическая система предназначена для мониторинга событий, поиска инцидентов и аномалий как в режиме реального времени, так и в ретроспективе.


Стоит также отметить, что «сам по себе» рассматриваемый сегодня класс решений не может что-то защищать или остановить: события и инциденты продолжат происходить, но с высокой вероятностью будут обнаружены достаточно быстро, если SIEM настроена.


2.png

Рис. 2 – Решаемые задачи


Представим ситуацию, когда человек пытается зайти в чужой дом со своими ключами. Если допустить, что ключ подошёл, как в знаменитом фильме «Ирония судьбы, или С легким паром!» 1975 года, но человек имел злой умысел – он может что-то украсть. Тогда событие ИБ становится инцидентом, и хозяин дома должен об это узнать как можно скорее.


1. Информацию о попытках входа можно получить от консьержа, умного домофона, камеры в подъезде и других источников, но каждый из источников приходилось бы изучать отдельно, если бы SIEM не решали первую задачунормализацию данных и группировку. Коллекторы системы позволяют собрать все события в общий формат: NGFW одного производителя может записывать в отчёт “deny”, другого “discard”, третьего – “drop”, DLP разных вендоров посылают свои отчёты в разных формах, AV добавляет в поток событий свои отчёты и алерты и т.д. Если представить, что в едином приложении есть весь журнал посещений в удобном формате, то по аналогии можно представить интерфейс SIEM, в котором человек легко разберётся, что происходит.


2. SIEM система способна проанализировать попытки входа и предположить после перебора неудачных паролей, что несколько событий связаны и, возможно, кто-то пытается «забрутфорсить» дверь. Это вторая задача системы – корреляция событий в единую цепочку. Для ее решения происходит анализ логов вашей «двери» в режиме реального времени. Корреляция – чисто математическая задача, не будем углубляться в её детали и оставим это учёным. Конечно же, эффективность системы будет максимальной, когда она содержит соответствующую экспертизу в виде пакетов от разработчиков, поэтому производители предлагают их для своих пользователей.


3. В простейшем случае правила описаны в форматах RBR (Rule Based Reasoning) и анализируют триггеры, счётчики и возможные цепочки действий. Например, если человек заходит в свой интернет-банк в России, а через час попытка повторяется из Сербии – возможна попытка мошенничества, значит, сотрудник ИБ банка должен быть оповещён как можно скорее. Оповещения – это третья задача SIEM. При взаимодействии с IRP системами можно реализовать процесс, связанный не только с оповещениями, но и с автоматическим реагированием, когда средства защиты информации будут запускаться сами и защищать пользователя запуском EDR и двухфакторной аутентификацией (или звонком из банка с сотрудником экономической безопасности «на проводе»).


4. Теперь представим ситуацию без IRP или своевременного действия ИБ-специалиста – произошла утечка данных или кража их квартиры, как в кино. Скорее всего, настоящий жилец захочет обратиться в полицию, суд или страховую компанию за компенсацией потерь, но для этого нужно собрать побольше доказательств. SIEM способна предоставить всю необходимую доказательную базу, решая четвёртую задачу. Такой комплект доказательств будет пригодным как для внутренних расследований, так и в суде.


5. Пятая задача (не совсем очевидная) решается уже для компаний, которые хотят развивать свою защищённость. Сама SIEM система – обычно дорогостоящий продукт, который для работы требует и «крутого» «железа», но все не так плохо, как кажется на первый взгляд. Когда происходит много инцидентов, а компания несёт финансовые и репутационные потери, встаёт вопрос о дозакупке новых средств защиты. Бюджет на такие закупки поможет получить ретроспективный поиск и описание всех инцидентов за предыдущий год. При таком использовании система точно окупает себя и не только.


3.png

Рис. 3 – Архитектура SIEM-системы


Архитектурно решения данного класса устроены по-разному, поэтому постараемся собрать самый общий образ возможной SIEM-системы.


Самое главное и ресурсоёмкое – это серверная часть ПО. В ней функционируют коллекторы, корреляторы и база данных. Задача коллекторов - собирать данные от источников и проводить базовую группировку, удаление дубликатов и облегчение для работы второго звена. Сервер корреляции отвечает за понимание инцидентов и отсеивание простых событий от общего потока. Поток событий обычно рассчитывается заранее для оптимизации нагрузки, поэтому сайзинг описывается количеством событий в секунду (event per second, EPS). После определения инцидентов формируется оповещение либо через консоль управления (обычно веб-интерфейс), либо через другие средства коммуникации (самое частое – корпоративная электронная почта). Последний (не по значимости) серверный компонент – база данных. Её размеры и требования к дискам зависят от глубины хранения, определить которую может либо сам заказчик, либо соответствующий регулятор.


Информацию можно собирать удалённо при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP. Однако в этом случае может возникнуть проблема с нагрузкой на сеть, которую решает клиентская часть ПО. «Агенты» устанавливаются на хосты пользователей и значимые сервера, собирают данные локально и передают в центр управления по своему расписанию. 


Таким способом SIM+SEM=SIEM осуществляют автоматизированный мониторинг событий от десятков, сотен и даже тысяч разных источников, нормализуют их отчёты и группируют в возможные инциденты, а также оповещают о них ответственные лица. Собираемая статистика и поиск по базе данных позволяют сформировать единые процессы по митигации последствий и реагированию на инциденты, дополнительную эффективность в которых добавят средства автоматизации и оркестрации.

Подкасты ИБ SIEM Управление ИБ ИБ для начинающих

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы