19.03.2013

SIEM дл€ »“ и »Ѕ

image

— по€влением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещени€? как пон€ть, какие угрозы удалось предотвратить?

јвтор: ќлес€ Ўелестова, исследовательский центр Positive Research

— по€влением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещени€? как пон€ть, какие угрозы удалось предотвратить? –аботает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. ћожно через консоль устройства просмотреть журнал событий, разбира€ сотни или тыс€чи строк вручную и пыта€сь увидеть отраженную или вы€вленную угрозу.

¬рем€ — деньги

∆урналов событий, получаемых от одних только активных средств защиты, Ч много, не говор€ уже о критических серверах, базах данных, приложени€х. ѕри помощи этих журналов можно вы€вить несанкционированные попытки доступа, сетевые атаки, аномалии, ведущие к нарушению непрерывности бизнеса или политик безопасности. „тобы открыть журнал событий, нужно выполнить последовательность действий, которые требуют времени: запустить приложение, подключитьс€ к консоли, вывести список событий и изучить его. ƒаже если допустить, что один сотрудник отвечает только за контроль антивирусного ѕќ (предположим, что имеетс€ централизованна€ консоль управлени€), установку обновлений и IPS (предположим, что их не более 2Ч4), Ч на просмотр событий от этих источников и разбор проблем за последние сутки у него уйдет около часа. ќтметим человеческий фактор: офицер может быть загружен другими делами, может болеть или быть в отпуске, отвлечьс€ от работы или выполнить ее дл€ проформы. “еперь посчитайте, сколько человеко-часов нужно, чтобы анализировать журналы событий на критических активах хот€ бы раз в сутки? ”чтите в расчетах заработную плату квалифицированного сотрудника, способного вы€вить угрозы в этих журналах событий, учтите врем€, необходимое дл€ подключени€ к —«» в вашем филиале по медленным каналам св€зи. ƒорого? ƒа, выходит кругла€ сумма, назвав которую руководству, вы, скорее всего, будете выставлены из кабинета.

»так, вы установили средства защиты, настроили их, они работают, Ч что вам еще нужно? SIEM замен€ет не один дес€ток человек, работает оперативно и не будет просить о повышении зарплаты.

«ащита бизнеса

√лавна€ задача »Ѕ Ч обеспечить защиту бизнеса и непрерывность бизнес-процессов. „то дл€ этого нужно? ќписываютс€ бизнес-процессы, определ€ютс€ активы, проводитс€ их аудит (включа€ сканировани€ и пентесты), составл€етс€ модель нарушител€, изучаютс€ риски, составл€етс€ план их минимизации.  акие меры принимаютс€ дл€ минимизации риска? —оздаютс€ политики, проводитс€ обучение пользователей, устанавливаютс€ средства защиты информации, измен€ютс€ конфигурации, устанавливаютс€ обновлени€… ћы все это сделали Ч и оставили как есть? до следующего цикла PDCA?

ƒержать руку на пульсе

ѕринцип «поставить и забыть» в »Ѕ неприменим. јбcолютной защиты не существует, и самые маловеро€тные риски могут аукнутьс€ остановкой бизнеса и огромными финансовыми потер€ми. Ћюбое программное и аппаратное обеспечение может перестать работать или быть неверно настроено Ч и пропустить угрозу. ¬идели панель управлени€ в современных самолетах? ¬се важные индикаторы собраны воедино с соблюдением эргономики и приоритета. ѕилот и его помощник не могут не увидеть нарушение критически важного показател€. “ак и в SIEM: в случае любого отклонени€ от baseline или политик (курс самолета) или нарушени€ работоспособности актива в результате сбоев или угроз (неполадки в оборудовании) Ч операторы-пилоты будут незамедлительно уведомлены.

ѕочему незамедлительно и что будет через час? ¬ирусы распростран€ютс€ в считанные секунды, у злоумышленников имеютс€ автоматизированные комплексы дл€ анализа и эксплуатации у€звимостей. —обытие о посыпавшемс€ RAID-массиве в системе, наход€щейс€ в промышленной эксплуатации, завтра вам будет уже не интересно, ибо часть данных (или даже все) будут утер€ны. „ем оперативнее вы будете информированы, чем быстрее предпримете меры, Ч тем меньше финансовых потерь понесет ваш бизнес. ’орошо, если случившийс€ инцидент не будет иметь последствий (возвраща€сь к самолетам: Ђ¬ас€, прикинь! ћы вчера с ѕарижа в ћоскву на одном движке долетели!ї).

ѕревентивной защиты не существует

≈сли мы устанавливаем централизованное антивирусное ѕќ Ч необходимо убедитьс€, что оно установлено везде, правильно сконфигурировано, работает с актуальными базами.  ак? — помощью журналов событий.

«ачем? ѕредставьте, что вы автоматизировали установку корпоративного антивирусного ѕќ и обновление баз. јудит журнала событий вы осуществл€ете раз в два-три дн€, но произошел сбой, в ќ— на рабочей станции, сто€щей на складе, не запускаетс€ сервис и она заражена вирусом, который распростран€етс€ по сети. јбсолютно не факт, что на всех серверах запрещен, к примеру, автозапуск, установлены все заплатки: в реальной жизни такого практически не бывает. јвтоматически размещенный использующий у€звимость тро€н с автозапуском и распространением по сети или подделанным €рлыком на общем сетевом ресурсе приводит к коллапсу всей компании. ѕока вы будете в авральном режиме анализировать случившеес€ Ч бизнес, скорее всего, будет простаивать, а начальство Ч нервничать и возмущатьс€. ‘инансовую оценку убытков от просто€ предпри€ти€ легко произвести самосто€тельно, благо это не так сложно.  роме того, подобные сбои имеют свойство негативно вли€ть на премии и зарплату.

 онтролируема€ угроза, прин€тый риск

Ќа практике встречаютс€ случаи, когда безопасность идет вразрез с бизнесом. —лучаютс€ ситуации, когда нельз€ поставить обновление, чтобы закрыть у€звимость (причин масса: сертификаци€, нестабильность работы, Ђне протестированої, конфликт с другим ѕќ), или, например, невозможно запретить RPC, поскольку бизнес-приложение перестанет работать. «атраты на устранение угрозы могут превышать возможные потери, поэтому риск Ђпринимаетс€ї. ќднако мы можем контролировать подобные риски с помощью SIEM, реагировать на возникающие инциденты, возвраща€ по окончании года средства, выделенные на покрытие операционных рисков, обратно в бюджет. ≈стественно, что в данном случае не может быть и речи о просмотре оператором журналов межсетевого экрана без автоматического анализа и регистрации инцидентов как способа контрол€ рисков.

Ќет причины Ч все виноваты

¬ы наверн€ка сталкивались со случа€ми, когда дл€ решени€ инцидента нет данных: отсутствует информаци€ о точном времени и месте возникновени€ (не считаем звонки от пользователей), о том, что предшествовало инциденту; и мы не можем ответить на главные вопросы Ч почему произошел инцидент и кто в этом виноват. Ќет, это нужно не дл€ того, чтобы наказать виновных (хот€ это тоже иногда необходимо). √лавное, что необходимо вы€снить по итогам инцидента, Ч что делать, чтобы инцидент не повторилс€. ѕричем одного только встроенного в O— журнала (Windows event log или syslog) может оказатьс€ недостаточно.

я не бог, € всего лишь системный администратор

¬ зрелой разветвленной инфраструктуре права администрировани€ делегируютс€ достаточно широкому кругу сотрудников. ≈стественно, все эти сотрудники проход€т проверку службы безопасности, и мы им довер€ем. Ќо на практике зачастую сказываетс€ людска€ психологи€: сотрудник, порушивший базу данных, RAID, принесший на личной флешке вирус, из-за которого Ђвсталї бизнес-процесс, под страхом увольнени€ и штрафа, загнанный в угол Ч заметает следы, удал€€ или подделыва€ журналы событий. ≈сли не собрать воврем€ эти журналы, то бизнесу будет нанесен вред в виде финансовых потерь и испорченной репутации. —обранные воврем€ и консолидированные в хранилище журналы событий помогут вам прин€ть правильное решение по итогам инцидента. ќсуществить удаление данных (событий и инцидентов) из SIEM незаметно не получитс€: остаютс€ записи в системном журнале, осуществл€етс€ контроль целостности. ƒоказательства в виде журналов событий в SIEM-системах помогут вашей организации в решении судебных вопросов.

 то знает, что это за скрипт?..

Ѕезусловно, можно построить управление журналами и какое-никакое управление событи€ми на Ђсамописныхї сценари€х. ∆урналы собирать через syslog или открытое ѕќ. ћожно все оформить на PowerShell, Ђбатникиї, sh-сценарии, а об инцидентах сообщать на электронную почту.  ак удобно и дешево!

ƒа, это приемлемо дл€ малого бизнеса. ¬ернемс€ к нашему примеру с самолетом. ”берем мысленно все индикаторы с приборной панели (или сотрем их названи€), а сообщени€ о неполадках будем направл€ть пилоту по —ћ— и на электронную почтуЕ  ак быстро пилоту надоест лазать в карман за телефоном и разбирать вход€щие письма?

SIEM-системы обладают функцией самодиагностики и контрол€ работы компонентов. Ёто не разбросанные тут и там Ђбатникиї, целостность и работоспособность которых очень трудно проконтролировать. ѕри использовании разрозненных сценариев практически невозможно будет защититьс€ от подмены содержимого или просмотра административной учетной записи в незашифрованном виде. ¬ отличие от SIEM: это комплексна€ система, сообщающа€ о непрерывности сбора событий, о сбо€х в работе своих компонентов, о доступе к системным функци€м и т. п.

«ащищайте не только критические активы

ѕредставим, что вы защитили критические (по вашему мнению) активы, к примеру бизнес-приложение или базу данных. ¬се прекрасно, денег потрачено в меру, сэкономили на отсутствии —«» дл€ рабочих станций и двухфакторной авторизации дл€ мобильных пользователей. ѕользователей Ђзажалиї групповыми политиками. ¬от только не учли, что дверь с замком, сто€ща€ посреди пол€, Ч абсолютно неэффективна. «лоумышленники получат пользовательский и административный аккаунт с незащищенных рабочих станций или с мобильных устройств и с абсолютно легитимными запросами к вашей суперзащищенной базе данных Ђвыт€нутї все, что только можно. ƒеструктивные действи€ давно не в моде. ¬ы узнаете об утечке информации из новостей Ч и удивитесь: ведь все ваши серверы были надежно защищены! Ёто пример типовой атакипо модели APT. «апущенные процессы, новые библиотеки в O—, новые сервисы, открытые порты и соединени€, повышение привилегий Ч все это можно увидеть в журналах событий на рабочих станци€х, которые не €вл€лись, по вашему мнению, критическими активамиЕ

«ащита должна быть комплексной. ƒоказательство тому Ч инциденты с Bit9 и RSA, которые почему-то не поставили разрабатываемую ими защиту на свои же рабочие станции.

ѕредставлени€

—редства защиты, как правило, €вл€ютс€ сигнатурными, то есть создаютс€ на основе анализа уже известных угроз (вирусы, сетевые атаки, даже словарики в DLP). Ќовые угрозы вы можете вы€вить только с применением сложных алгоритмов коррел€ции (об RBR-коррел€ции Ч см. статью в нашем блоге Ч здесь не может быть и речи) на основе миллионов событий и показателей, а также анализа baseline. „еловеческий мозг не всегда способен комплексно проанализировать такой объем данных. ќднако абстракци€ представлений в SIEM-системах способствует своевременному обнаружению угроз операторами. —истема делает все предварительные расчеты и выводит показатели.  ак минимум, к примеру, на основе анализа baseline система сообщает о новом DynDNS-трафике, о том, что зафиксировано по 10 безуспешных попыток входа с различных активов от имени доменного администратора.  ак правило, система способна сообщить о тро€не или брутфорсе (в зависимости от состава правил коррел€ции и возможностей конкретной системы). ѕрименение более сложных алгоритмов коррел€ции позволит узнать причину инцидента (например, вы€вить подключение пользователем модема, в результате которого произошло заражение тро€ном и брутфорс). „еловеку не под силу самосто€тельно осуществл€ть такой анализ на основании миллионов текстовых событий. ¬озможность настройки панелей визуализации полезна как отдельным сотрудникам, так и дл€ работы SOC (security operation center), а также подразделений »“ и техподдержки.

—оответствие (compliance)

¬ р€де региональных, международных, национальных, отраслевых стандартов имеютс€ требовани€ к организации процесса управлени€ журналами. ¬се SIEM-системы имеют шаблоны, соответствующие международным стандартам, и возможность добавлени€ своих шаблонов дл€ формировани€ отчета о соответствии по сбору и хранению событий. ¬ случае с самодельной системой вам придетс€ потратить значительные ресурсы, чтобы сделать подобные шаблоны в формате отчетов или интерфейса дл€ аудитора.

јкценты

Ќеверное реагирование на инциденты сравнимо с некорректным поведением светофора. »Ѕ- и I“-подразделени€ будут неспособны решать первоочередные задачи по обеспечению бизнес-процессов. SIEM обладает минимально необходимыми средствами организации процесса регистрации инцидентов (или имеет возможность интеграции со службой поддержки), способствующим контролю решени€ инцидентов и накоплени€ базы знаний. ¬ SIEM имеетс€ возможность интеграции и приоритезации инцидентов в зависимости от их вли€ни€ на бизнес-процессы, от ценности актива и опасности угрозы. ¬ некоторых системах возможна интеграци€ с системами управлени€ рисками.

—уществует ошибочное мнение, что SIEM плодит большое количество инцидентов, на которые подразделение »Ѕ попросту не успевает реагировать. Ќеобходимо понимать, что SIEM Ч это не решение Ђиз коробкиї и, как и в случае с DLP-системами, здесь необходимо правильное внедрение, интеграци€ с источниками событий, индивидуальный подход к активному набору правил и алгоритмам коррел€ции. √ибка€ система исключений и правильна€ настройка SIEM гарантируют вам акцент только на критически важных событи€х Ч без флуда.

ѕоделитесь событи€ми

SIEM Ч это система не только дл€ »Ѕ. ќшибки и сбои в операционных системах, сетевом оборудовании, ѕќ Ч информацию обо всем об этом сотрудники I“-отдела могут почерпнуть в SIEM. I“-отделу также хочетс€ узнавать о возникающих инцидентах не по звонку пользователей, а заранее (тем более, что Ч как и инциденты »Ѕ Ч I“-инциденты можно предотвратить).

SIEM Ч не слишком простое решение дл€ процесса управлени€ журналами, к тому же достаточно дорогосто€щее дл€ внедрени€ в малом и среднем бизнесе. ƒл€ его эксплуатации вам необходимо иметь как минимум одного квалифицированного сотрудника, который будет обеспечивать контроль непрерывности сбора событий, управл€ть правилами коррел€ции, корректировать и обновл€ть их с по€влением новых угроз и в соответствии с изменени€ми в инфраструктуре. ”становка SIEM в качестве Ђчерного €щикаї с активацией всех предустановленных правил коррел€ции без надлежащего контрол€ и управлени€ приведет к растрате бюджета.

ѕри успешном внедрении вы получите:
  • коррел€цию и оценку вли€ни€ I“- и »Ѕ-событий и процессов на бизнес;
  • SOC с анализом ситуации в инфраструктуре в режиме реального времени;
  • автоматизацию процессов обнаружени€ угроз и аномалий;
  • автоматизацию процессов регистрации и контрол€ инцидентов;
  • аудит политик и стандартов соответстви€, контроль и отчетность;
  • задокументированное корректное реагирование на возникающие угрозы »Ѕ и »“ в режиме реального времени с приоритизацией в зависимости от вли€ни€ угроз на бизнес-процессы;
  • возможность расследовани€ инцидентов и аномалий, в том числе произошедших давно;
  • доказательную базу дл€ судебных разбирательств;
  • отчетность и показатели (KPI, ROI, управление событи€ми, управление у€звимост€ми).

я привела лишь немногие примеры того, как SIEM поможет вашему бизнесу в обеспечении непрерывности, повышении оперативности, в решении проблем и инцидентов. ћожно еще много писать об автоматизации, реакции (сценари€х), предотвращении инцидентов и их расследовании. ќб этом € постараюсь рассказать в следующих публикаци€х. ќтдельно рассмотрим крайне важный момент, волнующий многих: как с помощью SIEM проследить вли€ние I“- и »Ѕ-событий на бизнес.

ƒо встречи! ∆ду ваших вопросов и комментариев.
или введите им€

CAPTCHA
“имур
19-03-2013 15:02:59
сейчас антивирусные решени€ уже давно вышли за рамки просто антивирусной защиты. Ќапример, у того же  асперского есть продукт Systems Management, который решает все описанные в статье проблемы. отдельный SIEM - дл€ тех, кто не считает деньги, так что оптимизаци€ расходов - это не про них, на мой взгл€д.
0 |
outsideview
19-03-2013 15:26:33
SIEM - как сказано в статье, не дл€ малого бизнеса. Ёто решение дл€ крупных телекомов, банков, ритейлеров и т.п.  ак можно мониторить  асперским 100 и более только критичных серверов? )) а если это *никс машины...? а как насчет промышленных —”Ѕƒ типа ќракла...?
0 |
“имур
19-03-2013 17:44:12
outsideview, вы не уловили мою мысль:) мне просто не пон€тно, как можно позиционировать SIEM, как средство избавлени€ от кучи админов и средство экономии, если инфраструктура сама по себе этого не позволит.
0 |