SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.
Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба[1].
С растущим объемом информации, которая обрабатывается и передается между различными информационными системами (ИС), организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в ИС необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет. Одним из решений данной проблемы является использование SIEM-систем[2]. Основополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Сегмент SIM, в основном, отвечает за анализ исторических данных, стараясь улучшить долгосрочную эффективность системы и оптимизировать хранение исторических данных. Сегмент SEM, напротив, делает акцент на выгрузке из имеющихся данных определенного объема информации, с помощью которого могут быть немедленно выявлены инциденты безопасности. По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов.
Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме[3].
Упреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы[4].
SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Понятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, службами каталогов и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты[5].
Обычно, SIEM-система разворачивается над защищаемой информационной системой и имеет архитектуру «источники данных» — «хранилище данных» — «сервер приложений». SIEM-решения представляют из себя интегрированные устройства (all-in-one) либо двух-трехкомпонентные комплексы. Распределенная архитектура чаще всего предполагает большую производительность и лучшие возможности по масштабированию, а также позволяет развернуть SIEM-решение в IT-инфраструктурах с несколькими площадками.
Агенты выполняют первоначальную обработку и фильтрацию, а также сбор событий безопасности.
Передача информации от источников данных может осуществляться несколькими способами:
Рассмотрим использование этих способов на практике. С первым вариантом все достаточно просто: на источнике указывается IP-адрес устройства, осуществляющего сбор событий (коллектора), и события отправляются адресату. Второй вариант включает агентный или безагентный сбор информации, причем в некоторых SIEM-системах для части источников доступны оба способа. Агентный способ предполагает использование специальной программы-агента, безагентный - настройки источника событий, такие как создание дополнительных учетных записей, разрешение удаленного доступа и/или использования дополнительных протоколов.
Собранная и отфильтрованная информация о событиях безопасности поступает в хранилище данных, где она хранится во внутреннем формате представления с целью последующего использования и анализа сервером приложений.
Сервер приложений реализует основные функции защиты информации. Он анализирует информацию, хранимую в репозитории, и преобразует ее для выработки предупреждений или управленческих решений по защите информации.
Исходя из этого, в SIEM-системе выделяются следующие уровни ее построения[6]:
Для решения поставленных задач SIEM-системы первого поколения применяют нормализацию, фильтрацию, классификацию, агрегацию, корреляцию и приоритезацию событий, а также генерацию отчетов и предупреждений[1]. В SIEM-системах нового поколения к их числу следует добавить также анализ событий, инцидентов и их последствий, а также принятие решений и визуализацию.
Нормализация приводит форматы записей журналов, собранных из различных источников, к единому внутреннему формату, который затем будет использоваться для их хранения и последующей обработки. Фильтрация событий безопасности заключается в удалении избыточных событий из поступающих в систему потоков. Классификация позволяет для атрибутов событий безопасности определить их принадлежность определенным классам. Агрегация объединяет события, схожие по определенным признакам. Корреляция выявляет взаимосвязи между разнородными событиями. Приоритезация определяет значимость и критичность событий безопасности на основании правил, определенных в системе. Анализ событий, инцидентов и их последствий включает процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов. Генерация отчетов и предупреждений означает формирование, передачу, отображение или печать результатов функционирования. Визуализация предполагает представление в графическом виде данных, характеризующих результаты анализа событий безопасности и состояние защищаемой системы и ее элементов.
Согласно исследованию Garther, в число лидеров в 2018 году вошли следующие системы: Splunk, IBM и LogRhythm[7]. Приведем их краткую характеристику:
Компания IBM предлагает комплексное решение в области SIEM-систем, которое называется Tivoli Security Information and Event Manager (TSIEM). TSIEM позволяет, с одной стороны, проводить аудит событий безопасности на соответствие внутренним политикам и различным международным стандартам, а с другой стороны — осуществлять обработку инцидентов, связанных с информационной безопасностью, и обнаруживать атаки и другие угрозы для элементов инфраструктуры. В области представления и хранения событий TSIEM использует запатентованную методику W7 (Who, did What, When, Where, Wherefrom, Where to and on What), в соответствии с которой все события трансформируются в единый формат, понятный администраторам безопасности, аудиторам и управленцам. Также TSIEM обладает развитыми возможностями по формированию отчетов и мониторингу активности пользователей.
Splunk — это еще одно решение для ведения коммерческих журналов событий, которое позиционируется как решение «Поиск в ИТ» и встраивается в такие продукты, как Cisco System IronPort. Благодаря веб-интерфейсу Splunk интуитивно понятен в настройке и управлении. Splunk использует достаточно удобный для пользователя подход к проектированию интерфейсов, упрощая первоначальный опыт для менее опытного администратора. Как и у многих аналогичных продуктов для ведения журналов, возможность создания отчетов является частью базового продукта и, в случае Splunk, она относительно проста в использовании. Распространенные типы форматов представления данных доступны из раскрывающихся меню на экране. Одна из приятных сторон веб-интерфейса Splunk заключается в том, что любой отчет может быть предоставлен в виде URL-адреса, что позволяет другим людям в организации просматривать конкретные отчеты, которые системный администратор создает для них.
LogRhythm, Inc. — американская компания, занимающаяся вопросами безопасности, которая объединяет систему управления информацией и событиями безопасности (SIEM), управление журналами, мониторинг сети и конечных точек, а также аналитику и безопасность. LogRhythm утверждает, что помогает клиентам быстро обнаруживать и реагировать на киберугрозы, прежде чем будет нанесен существенный ущерб. Он также нацелен на обеспечение автоматизации и соответствия нормативным требованиям. Продукты LogRhythm призваны помочь организациям защитить свои сети и оптимизировать работу. Кроме того, они помогают автоматизировать сбор, организацию, анализ, архивирование и восстановление данных журналов, что позволяет компаниям соблюдать правила хранения данных журналов. Компоненты продукта включают в себя сбор данных, мониторинг системы и сети, аналитические модули, управление журналами и событиями.
В последнее время на рынке появляются отечественные решения, среди которых:
KOMRAD Enterprise SIEM — способна осуществлять единый контроль событий информационной безопасности, выявлять возникающие инциденты информационной безопасности, оперативно реагировать на появляющиеся угрозы, отвечать требованиям предъявляемым к защите личной информации, способен обеспечивать сохранность государственных информационных систем. Преимуществами использования данной системы можно считать: поддержку большого количества платформ, своевременное информирование и реагирование на различные виды угроз, возможность гибкой настройки, удалённое управление конфигурациями, сбор информации с нестандартных источников событий.
Security Capsule — первая Российская система контроля за информационной безопасностью. Является самой доступной среди применяемых в России SIEM - систем. Обладает следующими качествами: выявление сетевых атак как в локальных, так и в глобальных периметрах, обнаружение вирусных заражений, способность регистрировать события в используемой операционной системе, учёт действий лиц, взаимодействующих с системой управления базой данных.
MaxPatrol SIEM — система, имеющая объективную оценку уровня защищённости как отдельно взятых подразделений, узлов и приложений, так и всей системы в целом. В сравнении с выше рассмотренным программным продуктом выделяется более высокой стоимостью. Данная система характеризуется использованием эвристических механизмов анализа и сформированной базой знаний, способной осуществлять проверку большинства распространённых операционных систем и специализированной аппаратуры. В отличие от классических SIEM-систем, она не нуждается в установке программных компонентов на узлах, что существенно облегчает процесс использования и снижает конечную стоимость владения. Обладает легко настраиваемой системой и разграничением прав доступа, что даёт возможность формировать мониторинг ИБ на каждом из уровней иерархии. Для отдельно взятого пользователя MaxPatrol, присутствует возможность создать свой список задач, которые он способен выполнить внутри системы.
RUSIEM — система разработанная одноименной компанией RuSIEM. По замыслу разработчиков, продукт должен заменить зарубежные аналоги на российском рынке и вести с ними конкурентоспособную борьбу за счёт невысокой стоимости внедрения и поддержки, а также мощной функциональности. Видимыми отличиями от конкурирующих компаний являются: интерпретирование событий в понятный вид, тегирование и весовые показатели, что даёт более удобный и быстрый способ анализировать поступающую информацию. Также стоит отметить безлимитное количество источников информации, что вкупе с компактным хранилищем даёт возможность строить оптимизированные запросы на любой глубине хранилища.
Security information and event management (SIEM)