SIEM — ядро архитектуры интеллектуальной безопасности. Инфографика

28 август, 2014 - 11:41Компания Инком

Термин SIEM (Security Information and Event Management) давно на слуху, и в понимании многих связан с громоздкими продуктами, подходящими только для организаций внушительных размеров.

На примере архитектуры «Security Perimeter 2.0» (см. статью) видно, что система класса SIEM является ключевым компонентом концепции, с помощью которой можно ощутимо повысить эффективность обеспечения информационной безопасности в организациях с сетевой инфраструктурой любой сложности.

Система безопасности — это, прежде всего, сами устройства, которые её обеспечивают. Следующий шаг — анализ всего того, что происходит в этих системах. Одно дело, когда в сети установлен один межсетевой экран, и совсем другое — когда подобных устройств несколько десятков, периметров защиты тоже несколько, и на каждом из устройств генерируется несколько десятков или сотен событий в минуту. Причем, источниками событий для SIEM-систем могут быть, в том числе, и различные сервисы и приложения, которые попадают в зону контроля службы безопасности, что ещё больше увеличивает количество собираемой информации.

В итоге имеем ситуацию, когда практически каждый сотрудник отдела ИБ или ИТ регулярно сталкивается со сложностями обработки большого количества событий с различных устройств. Так, например, по опыту других стран, для выявления 20 реальных инцидентов безопасности компаниям приходится ежедневно анализировать свыше 2 млрд. событий. Естественно, ни о каком «ручном» анализе такого количества событий не может быть и речи.

Современные продукты SIEM могут стать надежным помощником в этой ситуации для ИТ-специалистов и сотрудников отделов безопасности. Собирая информацию со всех систем ИТ-инфраструктуры организации, SIEM может выявить сбои в сетевом оборудовании, операционных системах и ПО не «по звонку», а заранее, когда эти события можно предотвратить.

С другой стороны, служба ИБ всегда должна правильно оценивать важность инцидентов безопасности. Без понимания инфраструктуры и критичности сервисов для бизнес-процессов организации невозможно оценить, насколько важным является то или иное событие. А что же делать в случае, если атака на критичный сервис прошла, данные украдены, или сервис остановлен, и необходимо выяснить её причины? Зачастую, анализа журнала событий, который требует большого количества времени, недостаточно для проведения полного расследования.

Ряд организаций сталкивается с требованиями соответствия внешним регуляторам, и часто без средств автоматизации очень трудозатратно предоставить аудиторам тот или иной отчет.

И, самое главное, как убедиться и показать, что защита сети и вся инфраструктура безопасности находятся на должном уровне, что политики безопасности соблюдаются в компании? Сотрудники ИБ полагают, что если сеть работает, отсутствуют проблемы безопасности, то они должным образом выполняют свою работу и функции. Это действительно верно. Но топ-менеджмент требует конкретных показателей работы.

SIEM-система сможет с легкостью выступить таким инструментом, который покажет количество инцидентов, их критичность для бизнеса и статистическую отчетность за определенный период времени с наглядными графиками. Интересными примерами использования SIEM-систем являются определение мошенничества и фрода с платежными картами, а также сбор информации от бизнес-приложений.

Какие тенденции наблюдаются на рынке SIEM-систем? По данным аналитических агентств, таких как Forrester и IDC, с ощутимым отрывом за последнее время лидирует компания IBM с продуктом Security QRadar SIEM. Этот продукт демонстрировал положительную динамику роста и в 2014 году вышел на передовую позицию в Gartner Magic Quadrant. Случилось это благодаря безусловной простоте использования, существенному функционалу и гибкой ценовой политике.

Ещё одним преимуществом этого продукта считается возможность расширения и масштабирования. В Украине рынок SIEM-систем только начинает развиваться, и организации не всегда готовы тратить внушительные средства на конкурирующие продукты. При выборе IBM Security QRadar SIEM компания всегда может начать с базового функционала и небольшого количества анализируемых событий, а затем, при необходимости, модернизировать систему с помощью добавления лицензий, без её перенастройки. Поставляется продукт IBM Security QRadar SIEM в нескольких вариантах: программно-аппаратный комплекс, программное обеспечение и виртуальная версия. Такая гибкость позволяет легко подобрать необходимый вариант внедрения, а также без больших затрат провести пилотный проект.

Важной особенностью продукта является не только сбор событий с устройств, но и анализ трафика по протоколу NetFlow. Поддерживаются самые разнообразные форматы от большинства производителей: JFlow, SFlow, QFlow и т.д. Такая возможность позволяет получить целостную картину происходящего в ИТ-инфраструктуре организации, инвентаризировать работающее оборудование и эффективно наполнить базу активов. Важной ценностью является также корреляция событий и сетевой активности устройств, позволяющая определить аномалии в поведении пользователей и своевременно предотвратить возможные угрозы безопасности. Заслуживает особого внимания компонент системы IBM Security QRadar Risk Manager, позволяющий проанализировать конфигурации устройств (Routers, Firewalls и т.д.), выявить возможные ошибки при их настройке, а также симулировать определенные атаки на инфраструктуру и определить возможные последствия распространения таких атак. В случае использования компонента IBM Security QRadar Vulnerability Manager можно с легкостью отслеживать появление новых угроз в сети при добавлении устройств и изменении топологии сети, а также своевременно выявлять уязвимости, которым они подвержены. Стоит отметить, что данная информация учитывается при определении и классификации инцидента безопасности, и если соответствующий актив подвержен определенной уязвимости, то такой инцидент становится критичным.

Естественно, без наличия грамотно построенной ИТ-инфраструктуры работа SIEM-системы невозможна. В типовой инфраструктуре организации обычно присутствуют сотни устройств, рабочих станций пользователей и серверов. Если рассмотреть в разрезе сетевой инфраструктуры, на внешнем периметре сосредоточено наибольшее количество систем безопасности: устройства межсетевого экранирования (NGFW), устройства предотвращения вторжений (NGIPS) и устройства защиты от DDoS-атак. Все эти продукты, как правило, имеют различные системы управления и отчетности, и, соответственно, требуют значительных временных затрат администратора для обработки сообщений и поддержания актуального состояния защищенности. Для полноценной картины необходимо дополнительно собирать информацию о потоках трафика с коммутаторов и маршрутизаторов, а также данные о пользователях, типах используемых устройств и их состоянии, которые может предоставить система контроля доступа (например, Cisco Identity Services Engine). SIEM-система, в этом случае, позволит автоматизировать сбор событий со всех этих устройств в рамках архитектуры и обеспечить их корреляцию и анализ для своевременного обнаружения аномалий и угроз. Таким образом, реализовать в полной мере функционал ядра архитектуры интеллектуальной безопасности.

Каждая организация при построении ИТ-инфраструктуры и службы ИТ-безопасности стремится обеспечить непрерывность ведения бизнеса. Использование систем защиты без наложения на них конкретной бизнес-логики — неэффективно, поэтому крайне важно провести комплексный аудит сервисов и модели работы компании, разработать политику безопасности и обеспечить её соблюдение с помощью внедрения SIEM-системы. Контролируемая угроза — просчитанный риск!

Подробнее о решении можно узнать на вебинаре «Интеллектуальная система обеспечения ИБ», который состоится 2 сентября 2014 в 11.00.

SIEM — ядро архитектуры интеллектуальной безопасности. Инфографика