Управление событиями ИБ на основе системы SIEM
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Управление событиями ИБ на основе системы SIEM
Андрей Ревяшко
Технический директор ООО “Вайлдберриз"
Технический директор ООО “Вайлдберриз"
Продолжая тему наращивания мощности: сейчас вопрос контролирования системы выходит на один из ключевых уровней. Ведь количество одних только серверов может превышать сотни и даже тысячи единиц, не говоря уже, к примеру, о количестве сетевого оборудования.
При недолжном внимании к вопросу управления событиями информационной безопасности, в виде отсутствия систем класса SIEM (Security Information and Event Management), бизнес подталкивает себя в сторону "небытия". Живые примеры угроз, которые своевременно помогут выявить SIEM-системы, будут рассмотрены ниже.
Небольшой отступ от сути. Сами по себе SIEM-системы недешевы (говоря о платных версиях) по стоимости и довольно разнообразны; в частности, имеются и бесплатные вариации, но есть свои "НО". Основное отличие платных от бесплатных SIEM-систем заключается в поддержании актуальности баз данных паттернов угроз. В противовес платным системам вам потребуется организовывать выявление и разработку новых паттернов угроз самостоятельно.
У нас был подобный опыт для скоупа PCI DSS – два специалиста потратили приличное время на разработку регулярных выражений для файлов логирования, и подобное не хочется повторять, так как это весьма накладная процедура по стоимости.
Процесс выбора системы SIEM небыстрый, поэтому не поленитесь начать поиск того, что подойдет для вас, за несколько месяцев до мероприятий (к примеру, внедрение стандартов безопасности), которые требуют ее наличия.
Само по себе управление событиями ИБ в SIEM-системах выглядит следующим образом. С мест генерации логов (сервера, маршрутизаторы, брандмауэры и т.д.) поступают события, по средствам клиентов, установленных в местах генерации (либо иным способом), способных анализировать данные лог-файлов по шаблонам, в частности из обновляемых баз данных с паттернами угроз. Далее система агрегирует проанализированную информацию по событиям и создает ИБ-инцидент на обработку согласно заданным параметрам.
Кого-то из бизнеса система SIEM сможет удивить. Ведь на предприятиях с, казалось бы, четко выстроенной системой работы начинают всплывать интересные факты:
- Сотрудники, не имеющие отношения к информации о заработной плате, делают запросы к данным о заработной плате.
- Уволенные сотрудники посещают сетевые устройства.
- Логины сотрудников, работающих в ночную смену на складе, активизируются не на складе в дневное время.
И так далее.
На практике случается и такое, когда внешнюю систему несколько недель обрабатывают злоумышленники – в поисках всевозможных лазеек. В момент появления лазейки появляется "беговая дорожка" в виде информации об угрозе – как у злоумышленника, так и у обороняющегося. Если обороняющийся отреагирует быстрее, система останется цела, в противном случае лавры отойдут злоумышленнику в виде персональных данных, данных о платежных картах либо вывода системы из строя.
В большой системе нельзя быстро отреагировать на потенциальную угрозу без централизованной отчетной системы. Поэтому внедрение SIEM, с созданием правил реагирования на ИБ-события, увеличивает ваши шансы на победу на "беговой дорожке".
Решение за вами. Держать большой штат высококвалифицированных системных и сетевых администраторов (мотивация к работе – это отдельная тема) с множеством систем мониторинга или внедрить управление событиями ИБ на основе SIEM?
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2017
