SANS: От Log and Event Management к Security Analytics (ч.2)

SANS: От Log and Event Management к Security Analytics (ч.2)
Продолжая ретроспективный анализ ключевых положений документов SANS, посвященных тематике управления log-ами, а именно:
- SANS Sixth Annual Log Management Survey Report (2010 год);
- SANS Seventh Annual Log Management Survey Report (2011 год);
- SANS Eighth Annual 2012 Log and Event Management Survey Results (2012 год);
- Ninth Log Management Survey Report (2014 год).

Рассмотрим вопрос, что же на практике выступает источниками для сбора log-ов (Log sources)?

Сразу отмечу, что рассматриваются не все оцениваемые позиции источников из документов SANS, а только топовые, а также промышленные системы (Physical devices/plant systems) и системы на аутсорсинге (Outsoursed services/applications), т.к. к ним сейчас повышенный интерес.

Стоит отметить, что данные по этому вопросу представлены в документах не унифицировано, в связи с этим в графике есть явные пробелы (нулевые значения), а также значения, полученные путем пересчета.
a2409ffcb2759907b227f2fded3ad55b.png


Плюс необходимо дать несколько дополнительных комментариев:
- 2010 – Security и Network devices идут вместе: «Firewalls, routers, switches, IDS/IPS, etc.», со значением: 95%;
- 2011 – данный вопрос практически не рассмотрен;
- 2012 – происходит разделение Security на несколько пунктов (для графика выбиралось максимальное значение – 86%):
   - «Security devices (firewalls)»;
   - «Network system/services (IDS/IPS/antivirus)»;
   - «Security applications»,
а также добавил два типа «Access control for …»;
- 2014 – происходит слияние всех позиций Security в одну: «Security devices (firewalls IDS/IPS/antivirus)», со значением: 85%.

Есть еще один интересный момент в 2011 и 2010 годах отдельно обсуждались вопросы Managing Windows Logs, т.к. они были лидирующими источниками, выводы следующие (работать – работать – работать):

«Satisfaction with Windows log management has decreased in some categories since last year (monitoring, performance and collection) — with no improvements in reporting and only minor improvements in analysis and storage. So, vendors have a long way to go to satisfy Windows users».

Таким образом, устройства безопасности и сетевые устройства (Security и Network devices), а также серверы под управлением операционных систем семейства Microsoft Windows Server являются явными лидерами, при этом стоит отметить, что зачастую под устройствами безопасности в первую очередь понимаются именно сетевые устройства безопасности:
- межсетевые экраны (firewalls);
- системы обнаружения/предотвращения вторжений (IDS/IPS).

Здесь так же играет роль простота сбора данных с них, т.к. в подавляющем большинстве случаев речь идет о протоколе Syslog, который является самым «дешевым» с точки зрения трудозатрат по настройке самого источника (пара команд / галочек).

Безусловно, это стоит воспринимать как первоочередной ориентир при выборе своих источников для сбора log-ов (Log sources).

Успехов при определении вашего перечня источников!

Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только