Методы и средства, применяемые в SIEM-системах при мониторинге информационной безопасности. Введение. Часть 1

Методы и средства, применяемые в SIEM-системах при мониторинге информационной безопасности. Введение. Часть 1
Наша очередная серия статей будет посвящена подробному рассмотрению технических и организационных принципов, методов и решений, применяемых при организации мониторинга компьютерных атак и инцидентов информационной безопасности (ИБ) с помощью SIEM-систем. Мы заглянем «под капот» и подробно рассмотрим технологии, применяемые в современных SIEM-системах. В заключительной части нашей серии постов мы постараемся провести объективный сравнительный анализ наиболее популярных SIEM-систем насколько это возможно сделать, являясь производителем платформы мониторинга информационной безопасности Visor.

Два принципиальных решения
Мониторинг ИБ можно выполнять с помощью:
  • Технических решений
  • Организационных решений
Технические решения – технологии обработки данных, реализованные в виде программных или программно-аппаратных комплексов с функционалом для выявления и реагирования на значимые события и инциденты.

Технические решения мониторинга ИБ представляют собой набор средств для сбора сведений об элементах/подсистемах ИБ, узлах ИТ-систем, а также средств воздействия на их поведение. Сбор сведений и воздействие на элементы осуществляется с целью обеспечения требуемого уровня функционирования узлов и подсистемы ИБ, представляя собой систему поддержки принятия решений по управлению состоянием ИБ.

На текущий момент особую распространенность имеют следующие два вида технических решений, применяемых в части ИБ:
  • Системы мониторинга производительности и доступности;
  • Системы управления событиями и инцидентами информационной безопасности (англ. SIEM – Security Information Event Management).
Организационные решения – это организация рабочих процессов взаимодействия людей, направленных на обеспечение требуемого уровня мониторинга ИТ-систем и подсистем ИБ. Современные тенденции заключаются в создании:
  • Групп реагирования на инциденты, состоящих из экспертов различного уровня
  • Операционных центров безопасности (от англ. SOC – Security Operations Center) или корпоративных/ведомственных Центров ГосСОПКА в Российской Федерации
Суть данных решений заключается в использовании определенных стандартов и методологий, регламентирующих последовательность действий, выполняемых людьми для выявления и реакции на значимые события и инциденты.

Практика показывает, что только совокупное применение технических и организационных решений позволяет достигнуть высокого качества мониторинга. Оба вида решений требуют отдельного рассмотрения.


Технические решения мониторинга информационной безопасности

Системы мониторинга производительности и доступности




Обеспечение доступности объекта защиты является неотъемлемой частью обеспечения ИБ, поэтому системы мониторинга производительности и доступности являются обязательным инструментом при осуществлении мониторинга ИБ в ИТ-системах.

Системы мониторинга производительности могут использоваться как отдельно, так и являться одним из источников событий для системы управления событиями (SIEM). Такие системы предназначены для отслеживания состояния функционирования разнообразных сервисов сети и ее узлов (серверов, сетевого оборудования, приложений и других), в том числе подсистем ИБ, на основе различных критериев производительности и доступности.

Вот решения по мониторингу производительности и доступности, имеющие наиболее широкий функционал и распространение по применению в мире:

Название решения
1.Zabbix
2.Линейка продуктов IBM Tivoli
3.HP Operation Manager, HP OpenView
4.Nagious
5.OpenNMS
6.Zenoss
7.OSSIM
8.LOGalyze
9.PRTG
10.NetXMS
11.Naumen Network Manager (Россия)
12.И многие другие…
13.И другие облачные сервисы…
В выше представленных решениях применяются следующие основные методы контроля функционирования с точки зрения обеспечения доступности систем:
  • сбор и агрегация разнообразных данных, показателей и счетчиков об использовании аппаратных ресурсов системы, как правило посредством устанавливаемых агентов на контролируемых узлах или с использованием протокола SNMP (уровень потребления CPU, память, жестких дисков, сетевых адаптеров и других данных);
  • анализ и корреляция собранных данных для определения или упреждения достижения пороговых значений показателей производительности и доступности с целью реагирования или предотвращения нештатных ситуаций функционирования систем;
  • автоматизированное выполнение заранее запрограммированных тестов, выполняющих проверку функционирования различных параметров сервисов по заданному сценарию. Успешное выполнение таких тестовых сценариев позволяет подтверждать доступность сервисов и систем на различных уровнях;
  • автоматизированное реагирование системы в виде выполнения заданных скриптов, программ или задач при выявлении значимых отклонений показателей на этапе корреляции;
  • генерации оповещений (уведомлений) о выявленных отклонениях в производительности и доступности систем. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (например, jabber) и другие;
  • визуализация собираемых данных в виде диаграмм, помогающих идентифицировать аномалии или значимые отклонения, отличные от стандартного поведения систем. Так же визуализация включает в себя представление данных в виде отчетов;
  • хранение собранных данных в базе данных.
Так как целью нашей серии статей является описание методов мониторинга в части информационной безопасности, мы не будем подробно рассматривать данные системы мониторинга.

Решения по мониторингу производительности и доступности, являются неотъемлемой частью полноценной системы мониторинга ИБ. Такие решения должны применяться как для мониторинга ИТ-систем, обеспечивающих работу технологических процессов компании, так и для контроля функционирования подсистем ИБ, обеспечивающих защиту этих ИТ-систем с целью обеспечения доступности обоих.


Системы управления событиями и инцидентами информационной безопасности (SIEM)




Основным техническим решением по обеспечению контроля функционирования в части ИБ являются системы управления событиями и инцидентами ИБ. Общепринятое названия для данных систем – SIEM-системы (от англ. Security information and event management). Такие системы предназначены для анализа информации, поступающей от различных подсистем ИБ (управления доступом, антивирусной защиты, защиты межсетевого взаимодействия, анализа защищенности, систем обнаружения/предотвращения вторжений, контроля целостности и другие) и выявления отклонений состояния ИБ по различным критериям. В случае выявления отклонения в состоянии ИБ в системе управления событиями создается инцидент/уведомление, и оповещаются заинтересованные лица.

Системы управления событиями и инцидентами ИБ являются инструментом централизованного просмотра и обработки информации, регистрируемой на большом количестве источников за счет графического представления, фильтрации и группировки данных. Выявление отклонений позволяет своевременно и в автоматизированном режиме выявлять угрозы ИБ или предпосылки к их возникновению с учетом совокупности регистрируемых событий и собираемых данных.

События и данные, хранимые в базе данных, необходимы для проведения расследований инцидентов ИБ.

Статистический анализ данных в таких системах позволяет выявить тенденции нарушений ИБ, а также изменений состояния подсистем ИБ и ИБ инфраструктуры в целом.

Решения, имеющие наиболее широкий функционал и распространение в мире:

Название решения
1.IBM Qradar
2.HP ArcSight
3.Intel Security SIEM (бывшая McAfee)
4.Splunk (Enterprise Security)
5.RSA EnVision / RSA Security Analytics
6.AlienVault USM / OSSIM
7.SolarWinds Log & Event Manager
8.LogRhythm
9.Sumo Logic
9.Apache Metron
10.И другие…
11.И другие c открытым исходным кодом…
Решения, разработанные в России:
Название решения
1.ФГУП «НПП «Гамма» – Платформа Visor
2.НПО Эшелон – SIEM КОМРАД
3.Positive Technologies Max Patrol SIEM
4.Ай-Ти Security Vision
5.SearchInform SIEM
5.RU-SIEM
6.ИТБ ПАКАБ Security Capsule
7.И другие, активно развивающиеся…
Ниже мы детально рассмотрим методы и средства, применяемые в выше представленных решениях, а также общих подход по корректному использованию таких систем.


Общий подход к использованию систем управления событиями и инцидентами информационной безопасности
В мировой практике установлено, что большинство проектов по внедрению систем управления событиями и инцидентами заканчиваются безуспешно и не приводят к качественной организации мониторинга инцидентов информационной безопасности.

Основными ошибками и проблемами при внедрении и использовании таких систем являются:
  1. Нечеткое определение перечня контролируемых ИТ-систем.
  2. Отсутствие ранжирования уровня важности защищаемых узлов с точки зрения обеспечения функционирования технологических процессов организации.
  3. Нечеткое определение перечня источников событий. Отсутствие необходимых данных в системе управления событиями и инцидентами не позволяет выявлять потенциальные значимые события и создавать полноценную «картину» функционирования защищаемой ИТ-системы.
  4. Отсутствие понимания штатного, нормального функционирования защищаемых узлов.
  5. Отсутствие понимания и установленной типовой конфигурации различных параметров защищаемых узлов.
  6. Отсутствие слаженного и регламентированного взаимодействия людей в процессе выявления и реагирования на значимые события и инциденты, включая отсутствие создания комфортных условий для этого.
Ниже приведены основные этапы, выполнение которых позволит успешно внедрить и использовать системы управления событиями информационной безопасности.
  1. Определение модели угроз и политик безопасности для ИТ-систем организации. В случае отсутствия таких базовых вещей, у команды мониторинга не будет четкого понимания, что является инцидентом ИБ, что важно, а что второстепенно.
  2. Определение перечня и ранжирование по важности (с точки зрения технологических процессов компании) защищаемых ИТ-систем и источников событий.
  3. Настройка на источниках временных меток, оставляемых на событиях. Время, проставляемое на событиях должно соответствовать действительности.
  4. Организация хранения всех событий в едином месте, предоставляющем возможность работы с ними.
  5. Определение штатного функционирования и конфигурации защищаемых узлов.
  6. Определение и дальнейшая фильтрация событий, не несущих смысл, представляющих собой информационный «шум».
  7. Определение значимых событий и инцидентов, которые отражают необычное поведение контролируемой среды (внесение изменений в конфигурации, ошибки работы, изменение статусов работы, события о доступах к данным и выполнении действий с привилегированными правами и другие).
  8. При выявлении инцидентов, выполнять первичный анализ событий в прошлом и на текущий момент, воссоздать последовательность событий, повлекших инцидент.
  9. Провести дополнительный анализ событий в других доступных журналах событий, по каким-либо причинам, не собранным в единое хранилище, для воссоздания полной «картины» инцидента.
  10. Сделать теоретические предположения о причинах инцидента. Выполнить глубокий детальный анализ всех доступных событий для их подтверждения или опровержения.
  11. Разработать и утвердить порядок действий группы реагирования при обнаружении различных типов инцидентов.
  12. Выполнять ретроспективный анализ расследованных инцидентов. Определить действия для минимизации вероятности повторения в будущем для каждого инцидента.
Применение технических решений для обеспечения мониторинга ИТ-систем является лишь необходимым условием. Достаточным условием для создания качественного процесса функционирования ИТ-систем является применение организационных решений.


Методы и средства, применяемые в системах управления событиями информационной безопасности
Применяемые методы и средства в системах управления событиями ИБ можно разделить по функциональности на следующие основные группы:
  • Сбор и агрегация
  • Анализ и корреляция
  • Оповещение
  • Визуализация
  • Хранение
  • Экспертный анализ и поиск
  • Вспомогательные методы и средства
Ниже в таблице перечислены наиболее распространенные методы и средства и их краткое описание.
НазваниеОписание
1.Сбор и агрегацияСбор и агрегации данных из различных источников – сетевых устройств и сервисов, сенсоров систем безопасности, серверов, баз данных, приложений и других различных источников. Этими методами обеспечивается консолидация данных с целью дальнейшего выявления критических данных.
a.
Сбор и получение событий источниковМетоды и средства сбора, получения событий, регистрируемых в журналах регистрации событий различных источников, включают в себя сбор и получение событий по протоколам syslog, odbc, tftp, snmp, wmi и другие.
b.
Сбор сетевых пакетовМетоды и средства сбора пакетов сетевого трафика.
c.
Сбор пакетов протокола NetflowСбор пакетов сетевого протокола Netflow, предназначенного для учета сетевого трафика, разработанного компанией Cisco Systems.
d.
Сбор пакетов других протоколовСбор пакетов различных протоколов, предназначенных для учета работы сетевого оборудования и приложений (JFlow, QFlow, sFlow).
e.
Мониторинг производительности и доступности (в составе системы управления событиями ИБ)Сбор информации по различным показателям производительности и доступности защищаемых узлов.
f.
Сканирование сети, обнаружение узлов и источников событийСбор информации об окружающих сетях, подсетях, узлах и источниках событий.
g.
Сбор детализированной информации об узлахСбор детализированной информации об узлах окружающей сети – об установленном ОС и ПО, пользователях, аппаратных ресурсах.
h.
Сканирование узлов на уязвимостиПроведение сканирования узлов на уязвимости.
i.
Фильтрация данных до сбораМетоды и средства, позволяющие отфильтровывать часть собираемых данных до момента их сохранения в базу данных системы управления событиями ИБ.
2.Анализ и корреляцияМетоды и средства, выполняющие поиск общих атрибутов в собранных данных, связывание данных в значимые подгруппы. Обеспечивают применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значимую информацию – инциденты ИБ.
a.Правила корреляции собранных данныхВыявление значимых событий или цепочек событий на базе заранее определенных экспертом правил (Rule-Based Reasoning – RBR). Осуществляют анализ с применением правил корреляции событий с учетом заданных в них логических условий, которые могут включать в себя широкий набор параметров – типы событий, временные условия, типы источников событий, последовательность и частота событий и другие.
b.Обнаружение вторжений/аномалий в пакетах сетевого трафикаВыявление атак, вторжений, нарушений или аномалий в собранных сетевых пакетах трафика на различных уровнях модели OSI (включая уровень приложений).
c.Анализ и визуализация последовательности действий в ходе атакМетоды и средства визуализации и интеллектуального анализа развития зафиксированных значимых событий, атак и вторжений.
d.Проверка узлов на соответствие заданным требованиям ИБМетоды и средства автоматизированной проверки защищаемых узлов, на основе собранных данных на соответствие заданным требованиям ИБ.
e.Привязка узлов к технологическим процессамМетоды и средства, выполняющие логическое связывание защищаемых узлов с технологическими процессами организации, функционирование которых обеспечивают защищаемые узлы. Позволяют вводить в системе понятие рабочего процесса, применять рисковый подход к оценке состояния ИБ за счет задания уровней критичности этапов технологических процессов.
f.Облачная технология получения актуальных сведенийМетоды и средства получения актуальных сведений о современных уязвимостях, методах атак, правил корреляции, тенденциях нарушения ИБ в конкретном географическом регионе и мире посредством облачного сервиса, предоставляемого производителем систем.
3.ОповещениеМетоды и средства генерации оповещений (уведомлений) о выявленных инцидентах или значимых событиях. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (jabber) и другие.
a.Автоматизированное реагированиеМетоды и средства, выполняющие заданные скрипты, программы или задачи при выявлении значимых событий на этапе корреляции. Некоторые системы управления событиями и инцидентами ИБ имеют встроенную интеграцию с определенными средствами ИБ и могут в автоматизированном режиме выполнять команды управления данными средствами для предотвращения развития инцидентов.
4.ВизуализацияМетоды и средства по специальному графическому отображению и визуализации собранных данных. Например, в виде диаграмм, помогающих идентифицировать аномалии или значимые события, отличные от стандартного поведения.
a.Диаграммы, графики, гистограммы, картыМетоды и средства по визуализации собранных данных в виде графических диаграмм, графиков, таблиц.
b.ОтчетностьМетоды и средства по формированию собранных данных в виде документов установленной формы.
c.Сокрытие информации в собранных данныхМетоды и средства по сокрытию информации определенного вида и формы в собранных данных в виду ограниченности ее распространения.
5.ХранениеМетоды и средства применения долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения методов и средств визуализации. Долговременное хранение необходимо для проведения компьютерно-технических экспертиз, поскольку большинство расследований инцидентов проводится после момента нарушения.
a.НормализацияПриведение собранных данных к единому стандартному виду.
6.Экспертный анализ и поискМетоды и средства, обеспечивающие возможность поиска по множеству собранных данных с различных источников. Необходимо в рамках выполнения компьютерно-технических экспертиз и расследований.
7.Другие методы и средстваМетоды и средства, не входящие ни в одну из вышеперечисленных групп.
a.Встроенная подсистема управления инцидентамиМетоды и средства регистрации, обработки и учета выявленных значимых событий и инцидентов. Представляют собой встроенную подсистему управления заявками, где в качестве заявок выступают зарегистрированные инциденты ИБ.
b.Наличие агентаМетоды и средства, позволяющие выполнить установку агента системы управления события ИБ на защищаемые узлы.
c.Агент – Контроль целостностиМетоды и средства встроенные в агента решения, выполняющие контроль целостности файлов и директорий файловой системы.
d.Агент – Поиск вредоносного кодаМетоды и средства встроенные в агента решения, выполняющие поиск вредоносного кода на узле.
e.Агент – Сбор событийМетоды и средства встроенные в агента решения, выполняющие сбор событий на узле.
f.Агент – Управление ОСМетоды и средства встроенные в агента решения, выполняющие команды по управлению ОС на узле.
g.Отказоустойчивость и масштабированиеМетоды и средства, позволяющие масштабировать компоненты решения с целью распределения нагрузки на компоненты и обеспечения отказоустойчивости решения.
h.Возможность создания собственных приложений и дополнений для расширения функционала системы на основе APIМетоды и средства, позволяющие пользователям решения без помощи разработчиков создавать собственные приложения и другие дополнения, расширяющие функционал решения. Например, с целью интеграции решения с не поддерживаемыми источниками данных.
i.Возможность обмена разработанными приложениями и другими дополнениями между пользователями системыМетоды и средства, позволяющие пользователям открыто обмениваться собственными разработками, дополняющими функционал решения.
В следующей статье мы подробно рассмотрим методы и средства каждой из представленных групп.
SOC информационная безопасность. ГосСОПКА мониторинг
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться