Управление инцидентами безопасности

Каждый год организации регулярно инвестируют все новые средства в информационную безопасность. Мобильность данных, увеличение количества пользователей и приложений, расширение границ корпоративных сетей приводят к появлению большого числа разнообразных средств защиты информации. Это межсетевые экраны, антивирусы, комплексные UTM устройства, системы обнаружения и предотвращения вторжений, DLP системы, решения типа IAM и Vulnerability Management, специализированные Web и Email шлюзы, NAC системы и многие другие. Все эти решения в процессе своей работы создают значительное количество полезной информации, которую помещают в файлы логов и журналы событий. Очевидно, что необходимо регулярно проводить анализ такой информации, это позволяет выполнять более тонкую настройку средств защиты, оценивать общее состояние защищенности корпоративной инфраструктуры и конечно, расследовать и выявлять инциденты информационной безопасности. Проблема заключается в том, что анализ данных из логов разных форматов и журналов событий разнородных систем связан с большими трудозатратами. Кто когда-либо занимался обслуживанием систем защиты, знает, какая это сложная задача – вручную разбирать содержимое логов, особенно в решениях с традиционно большим количеством ложных срабатываний, таких как, например IDS/IPS, проактивные антивирусы или DLP системы. Другой важной задачей является необходимость корреляции данных, полученных из разных источников. Возникновение инцидента безопасности, как правило, отображается одновременно в логах нескольких систем защиты, и для правильного реагирования нужно обладать детальной информацией об инциденте.

Кроме того, в каждой организации существует множество активных сетевых устройств, таких как коммутаторы, маршрутизаторы, беспроводные точки доступа, средства удаленного доступа и решения типа Deep Packet Inspection. Такие устройства собирают статистику о прохождении всего сетевого трафика и помещают ее в лог-файлы. Данные о сетевом трафике представляют интерес как для сотрудников служб безопасности (относительно деталей обращений к критичным серверам и приложениям), так и для обслуживающего сеть персонала.

И, наконец, в журналы событий информацию помещают разнообразные серверные и клиентские операционные системы, а также приложения, которые на эти системы установлены (это базы данных, корпоративные приложения типа ERP, CRM и бухгалтерии, почтовые и Web сервера и так далее). В этом случае для специалистов по безопасности наибольший интерес представляют данные об аутентификации, попытках доступа, успешной авторизации и выполнении критичных действий на серверах.

Таким образом, в любой, даже небольшой по размерам организации существует множество источников данных, которые ежедневно генерируют большое количество информации. Эту информацию необходимо безопасно централизованно хранить и регулярно анализировать.

Для решения указанных задач применяются устройства типа Security Information Event Management (SIEM), которые позволяют собирать и анализировать информацию от различных источников данных, а также оповещать сотрудников безопасности об инцидентах на основе предустановленных или пользовательских правил. Основной задачей SIEM решений является мониторинг в реальном времени, автоматизированный аудит и реагирование на инциденты информационной безопасности.

SIEM решения обладают следующими возможностями:

  1. Централизованное безопасное хранение данных. Вся информация из журналов событий и лог-файлов, а также статистика по сетевому трафику хранится в зашифрованном и подписанном виде либо на самом SIEM устройстве, либо на внешнем хранилище в архивированном виде.
  2. Объединение данных. SIEM решение позволяет объединять данные от различных источников, в том числе неоднородного формата, и хранить их в едином для просмотра виде.
  3. Корреляция событий. Основная задача продуктов по управлению инцидентами безопасности – это автоматическое определение взаимосвязей между данными из разных источников.
  4. Оповещение об инцидентах. Другая важнейшая задача таких продуктов – оповещение сотрудников служб безопасности о возникновении потенциальных нарушений или инцидентов в соответствии с заданными приоритетами.
  5. Оценка соответствия. SIEM решения позволяют проверять соответствие требованиям различных стандартов и регламентов по безопасности по многим техническим параметрам, например «пересылка пароля в открытом виде» или «блокирование доступа при неправильно введенном пароле».

Работа SIEM продуктов первого поколения основывалась на данных, полученных от ограниченного количества источников логов (обычно межсетевых экранов и систем обнаружения вторжений). В тоже время они позволяли выполнять корреляции типа «перед успешным входом в систему было пять неудачных попыток аутентификации», и таким образом определяли подозрительные инциденты. Корреляция событий – это важное и необходимое свойство для управления инцидентами безопасности, но недостаточное. Только коррелятивный подход позволяет получить примерное соотношение 100.000 событий на 1 инцидент безопасности, что для компаний, имеющих несколько миллиардов записей в сутки, уже не подходит. Другой проблемой, связанной с ограниченным списком источников логов, является то, что если злоумышленник выключит или обойдет систему аудита средств защиты, то нарушение безопасности не отобразится в логах и останется незамеченным для SIEM устройства.

Современные SIEM продукты позволяют избежать указанных проблем. Кроме традиционного сбора и хранения логов они могут перехватывать сетевую активность устройств и пользователей, как до возникновения нежелательного события, так непосредственно и после него. Для обнаружения инцидентов безопасности применяются новые технологии поведенческого и контентного анализа, а также корреляция событий, полученных от разных источников и перехваченного сетевого трафика. На основе обработанной информации создается «потенциальное нарушение», которое объединяет инциденты, ассоциированные с данными логов, сетевой активностью, важностью и уязвимостью цели воздействия. Каждое «потенциальное нарушение» имеет свой приоритет, который определяется многими параметрами, например критичностью актива, на которое происходит воздействие, его уязвимостью, периодичностью воздействия и вероятностью успешной атаки. Таким образом, количество критичных нарушений безопасности даже в больших распределенных сетях будет составлять не больше нескольких десятков, что позволяет сосредоточить внимание ответственных лиц только на наиболее важных инцидентах. При входе в систему сразу отображается приоритезированный список нарушений безопасности, которые обнаружило SIEM устройство. Если перейти внутрь каждого нарушения, то можно получить детальную информацию по инцидентам, которые это нарушение сформировали, а также по потокам и источникам логов, откуда были получены исходные данные. Необходимо отметить, что решения типа SIEM работают только при наличии внешних входных данных. Если нет логов, нет журналов событий и нет перехваченного сетевого трафика, то любой SIEM продукт не отобразит никакой полезной информации.

Сегодня применение современных SIEM устройств позволяет получить эффективный рабочий инструмент сотрудников служб информационной безопасности и дает организациям следующие преимущества:

  1. Безопасное хранение логов информационной системы на базе одного устройства;
  2. Снижение трудозатрат на анализ и корреляцию лог-файлов и журналов событий;
  3. Повышение общего уровня защищенности корпоративной инфраструктуры;
  4. Увеличение эффективности вложений в средства защиты информации.

На российском рынке информационной безопасности сейчас представлено несколько SIEM решений разных производителей, которые отличаются архитектурой, масштабируемостью и ценой. Конечно, в основном такие решения предназначены для крупных распределенных организаций, но некоторые SIEM All-in-One устройства возможно использовать и в небольших компаниях.