SIEM в помощь

Вызванный пандемией массовый переход на удаленную работу породил дополнительные проблемы инфобезопасности для предприятий. Многие из них ранее вообще не практиковали такие режимы работы или в единичных случаях организовывали временные каналы, которые было легко администрировать вручную.

Впрочем, и раньше каналы после использования нередко забывали отключать, для ускорения работ не занимались детальной настройкой и давали пользователям избыточные права. В условиях массового перехода на удаленную работу проблема резко обострилась. Главной стала быстрота, с которой можно было обеспечить непрерывность бизнеса. Зачастую, чтобы все работало, пользователям сразу предоставляли максимальные права. Точечную настройку оставляли на потом, а потом об этом забывали.

Никуда не делись и прежние, существовавшие до пандемии угрозы информационной безопасности, – утечки, вызванные халатностью или злонамеренными действиями персонала, все более изощренные атаки хакеров и ставшие обыденными вирусы. 

Разрозненные системы информационной безопасности не дают полной картины работы информационных систем предприятия. Нужно в режиме реального времени из миллионов происходящих каждую секунду событий выбирать тысячи, влияющие на работу ИТ и ИБ, анализировать сотни проблем, из которых десятки становятся реальными инцидентами.

На помощь приходят решения SIEM (Security Information and Event Management), появившиеся в результате эволюции и интеграции двух независимых технологий: Security Event Management, в которых упор сделан на сбор и агрегирование событий безопасности, и Security Information Management, сфокусированных на обогащении, нормализации и корреляции событий безопасности. SIEM – совокупность технологий, обеспечивающих сбор журналов безопасности, анализ содержимого трафика, агрегирование и нормализацию информации, выявление корреляций и анализ событий. Системы SIEM визуализируют в едином интерфейсе угрозы в режиме реального времени, повышают операционную эффективность служб ИБ.

Первые коммерческие продукты SIEM были созданы почти 20 лет назад. Решения SIEM 1.0 дали возможность безопасникам увидеть, что происходит в ИТ-средах, но с трудом поддавались масштабированию.

В начале 2010-х годов появилось второе поколение – SIEM 2.0. Отказ от централизованных баз данных и использование технологий Big Data решили проблему горизонтального масштабирования, но породили другую – у специалистов ИБ стало больше данных, чем они могли проанализировать. 

Примерно с 2015 года начался третий этап развития SIEM – применение в обработке методов машинного обучения. Революционность SIEM 3.0 состоит в переходе от предварительно настроенных предупреждений к подходу, основанному на оценке рисков.

Оповещения важны при поиске простых, заранее известных угроз, но не спасают от таргетированых атак. На помощь приходит мониторинг безопасности на основе анализа данных, который использует статистические методы для построения операционных моделей, базовых для каждого отдельного пользователя и объекта информационной среды. Анализ поведения пользователей и объектов (UEBA) дает возможность установить «нормальное поведение» и выявлять риски при отклонениях от этого базового уровня. 

Если скрипнула калитка – возможно, подул ветер. Но если скрипнула калитка, а потом хрустнула ветка – кто-то идет к дому. Поиск корреляций событий, агрегация информации об инцидентах ИБ из разных источников позволяют предупреждать сотрудников службы безопасности о возникших и потенциальных угрозах и выявлять закономерности различных атак.

Решения SIEM 3.0 предлагают сегодня многие компании, ведущее место среди которых, согласно магическому квадранту Gartner, занимают IBM и Splunk. SIEM-решение IBM QRadar и платформа для операционной аналитики Splunk позволяют собирать, индексировать и анализировать в реальном времени данные практически из любых источников: журналов, конфигураций, API и очередей сообщений, показаний датчиков и сетевых устройств. У них имеются локальные и облачные реализации (AWS, MS Azure). Решения других лидеров квадранта – платформа NextGen SIEM компании LogRhythm, InsightIDR компании Rapid7, платформа управления безопасностью Exabeam и SIEM Securonix. Игроком этого рынка является и небезызвестная SolarWind.

Толчком к развитию SIEM в России стала «война санкций». «В 2014 году появились запреты на продажу решений в сфере безопасности российским компаниям. Когда мы пытались купить QRadar или ArcSight, то иностранные компании начинали выяснять конечного пользователя и думать, могут ли продавать им решения. В итоге нам никто ничего не продал, российских SIEM не существовало, пришлось создавать свое», – рассказывает сооснователь компании RuSIEM Максим Степченков. 

Примерно в то же время начала разработку своей SIEM-системы и компания Positive Technologies. MaxPatrol SIEM стал базовым элементом универсальной платформы средств безопасности российской компании. 

Пользователи западных SIEM-решений в стране остались. «Ростелеком» продолжает эксплуатировать ArcSight купленной HPE британской компании Microfocus, «Яндекс» – американский Splunk, «Сбербанк» – QRadar от IBM. Некоторые даже пострадали от атаки на SolarWind, но важную роль на российском рынке стали играть отечественные разработки. Помимо решений RuSIEM и Positive Technologies стоит упомянуть «СёрчИнформ SIEM», «Комрад» (НПО «Эшелон»), Security Capsule («Инновационные технологии в бизнесе»), NeuroDAT («Центр безопасности информации»), SIEM Visor (НПП «Гамма») и систему мониторинга и контроля защищенности АСУ ТП DATAPK Уральского центра систем безопасности.

Помимо санкций и политики импортозамещения драйверами разработки отечественных SIEM-систем стали рост курса доллара и требования регулятора. Так, в 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» указано, что субъекты КИИ должны создавать системы обеспечения безопасности объектов КИИ. Ядром таких систем все чаще выступают решения SIEM.

«Для имеющих выход в интернет распределенных систем субъектов КИИ следует использовать SIEM-решения, ведь без сбора и анализа данных, позволяющих выявить кибератаку на ранней стадии, трудно обеспечить безопасность объекта КИИ», – отмечет член правления Ассоциации руководителей служб информационной безопасности Константин Саматов.

Побуждает внедрять решения информационной безопасности в финансовой сфере Банк России, последовательно повышающий планку требований к контролируемым организациям. И это дает плоды. По данным Positive Technologies, треть всех компаний, использующих SIEM, составляют финансовые организации. 

С 1 января 2021 года, согласно положению Банка России (№ 683-п от 17.04.2019), для всех кредитных организаций стал обязательным ГОСТ Р 57580.1-2017. Для того чтобы ему соответствовать, банкам нужны SIEM-системы, поскольку они позволяют реализовать процесс «Управление инцидентами защиты информации». В этот процесс входят 33 обязательные технические меры мониторинга и анализа событий защиты информации, обнаружения инцидентов и реагирования на них.

Целесообразность использования решений SIEM зависит не только от регуляторных требований, но и от зрелости бизнеса предприятия. Прежде чем решиться на покупку, стоит провести пилотный проект. Бесплатную тестовую лицензию на три месяца выдает компания RuSIEM, лицензию с ограничением на количество обрабатываемых в секунду событий – компания Splunk. Если у предприятия есть собственные специалисты, можно развернуть бесплатное open source SIEM-решение ELK, лежащее в основе ряда российских разработок. Это даст возможность узнать об уже существующих проблемах и принять меры для усиления информационной защиты предприятия.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!