SIEM-SIEM, откройся

Какие инструменты наиболее эффективно анализируют цифровую инфраструктуру

Волна кибератак нарастает, две трети из них совершаются с целью получения данных. Как найти белые пятна в средствах защиты информации (СЗИ) и навести порядок в инфраструктуре, как помогает в решении этих задач Security Information and Event Management (SIEM), раскрыл читателям RSpectr руководитель отдела консалтинга и инженерной поддержки направления по информбезопасности компании Axoft Денис Фокин.

СВОДИТ ВОЕДИНО

Согласно данным Positive Technologies, в 2021 году число кибератак выросло на 6,5% по сравнению с 2020 годом. Один из методов борьбы – использование технологий мониторинга ситуаций.

SIEM – это инструмент аналитика в сфере безопасности. Система позволяет изучать и выявлять ненормальное/аномальное поведение устройств или пользователей на основе событий. Решение автоматизирует и оптимизирует этот процесс за счет различных инструментов – правил корреляции, визуализации, отчетов. Основное назначение SIEM – собрать информацию о том, что происходит в вашей инфраструктуре, в одном месте и дать возможность с ней работать.

Давайте рассмотрим другие системы:

• NGFW* фиксирует сетевую активность на периметре. Данный класс решений позволяет отражать атаки (согласно различным механизмам) или фиксировать злонамеренную коммуникацию из вашей сети, когда вредонос уже проник за периметр. Но он не позволит провести расследование и выявить, что послужило причиной заражения.
• AV/EDR** видят и могут блокировать подозрительную активность непосредственно на хосте пользователя. Но данные инструменты требуют, как правило, установки агентов на конечные узлы, а это не везде возможно.
• NTA*** покажет, что происходит внутри сети организации, какие коммуникации идут между узлами, но не скажет, что именно происходит на одном из них.

SIEM позволяет собрать всю эту информацию в одном месте, провести анализ, сопоставить данные между собой, найти белые пятна в выстроенной системе защиты

Это решение помогает компаниям сохранить то, что они имеют, а также навести порядок в «темные времена».

Одна из задач подразделений информбезопасности (ИБ) – контроль за тем, что происходит внутри инфраструктуры: не несет ли событие угроз и соответствует ли регламентам, которые тоже направлены на минимизацию рисков. ИБ-специалисты каждодневно взаимодействуют с различными системами, проводят периодические аудиты. SIEM как раз в первую очередь позволяет автоматизировать или оптимизировать эти задачи и высвободить время аналитика для других процессов.

Можно провести аналогию: представьте, что вам необходимо в темное время суток навести порядок в комнате, в которой отсутствует электричество, и вы ориентируетесь с помощью фонарика или света, который проникает в комнату. Фонарик или окно в данном случае – отдельные СЗИ, которые позволяют что-то разглядеть, но не дают полной картины. SIEM – это верхний свет, который показывает все достаточно подробно. Беспорядок может в определенной степени испугать, но, видя картину целиком, можно разбить задачу на более мелкие этапы и построить план по наведению порядка.

КОНКУРЕНТНЫЕ СИСТЕМЫ

В свете новой реальности актуален вопрос миграции на отечественные технологии. На IT-рынке можно встретить системы, которые будут вполне конкурентными в сравнении с западными аналогами. По отдельным функциям западные аналоги могут быть лучше – просто из-за того, что у их разработчиков было больше времени, чтобы усовершенствовать продукт. Но при этом они и не лишены недостатков, которые проистекают из заложенных в них архитектурных решений.

Российские системы, в свою очередь, развиваются быстрыми темпами, и команды-разработчики могут позволить себе учиться на ошибках иностранных коллег

С точки зрения инженерных задач внедрение SIEM – не очень сложный вопрос. Если у заказчика грамотно выстроено централизованное управление IT-инфраструктурой, то особых трудностей, как правило, не возникает.

За годы работы техническая команда Axoft совместно с партнерами реализовала десятки проектов внедрения SIEM в государственных организациях и компаниях коммерческого сектора. И три основных типичных вопроса, с которыми к нам приходят, обычно таковы:

• Как настроить тот или иной источник событий?
• Какую информацию нужно собирать?
• Что нам делать дальше? (Вопрос, возникающий после установки системы.)

Что касается сложностей миграции и различий между внедрением зарубежных и российских систем, то их нет. Более чем на 90% современные отечественные SIEM могут быть настроены точно так же, как и западные аналоги. Оставшиеся 10% – это более экзотические и сложно воспроизводимые сценарии. Но они, как правило, используются теми заказчиками, которые четко знают, что хотят от системы.

ЧТО НУЖНО ВАШЕМУ БИЗНЕСУ

При достижении определенного размера компании просто необходимо решать вопрос Log Management’а (системы, которая собирает и хранит логи ОС, приложений). Делать это с помощью стороннего IT-решения или обходиться тем, что есть, – это выбор каждой отдельной организации.

Упрощенно компании можно разбить компании на три типа. Эта классификация поможет проверить, нужна ли вам SIEM.

1. Если 90% инфраструктуры бизнеса построено на продуктах одного вендора, то, возможно, нет необходимости внедрения отдельной SIEM. При достаточной степени интеграции этих продуктов и так получится вполне достоверная информация об IT-инфраструктуре.
2. Если компания развивается в рамках создания одного продукта или сервиса, то вопрос она может решить на уровне написания и контроля самого приложения (это ее ключевой актив). И отдельная система такой компании, скорее всего, не нужна.
3. Если в организации большой парк разнообразного оборудования и систем, то без отдельного стороннего решения, которое будет собирать и сохранять информацию о том, что именно происходит в этих системах, не обойтись.

*NGFW – Next Generation Firewall, межсетевой экран следующего поколения.

**AV/EDR – AntiVirus/Endpoint Detection and Response – защита конечных точек от сложных угроз.

***NTA – Network Traffic Analysis – перехват и анализ сетевого трафика.

Изображение: RSpectr, Adobe Stock