SIEM-системы: важное звено в архитектуре защиты данных

SecureNews от 31 октября 2017 г.

Технология SIEM (Security information and event management) подразумевает анализ в реальном времени событий безопасности в сетевых устройствах и приложениях. В линейку решений SIEM входят различные приложения, приборы и услуги, которые применяются для сбора и анализа инцидентов информационной безопасности.

В новом материале мы с помощью экспертов, среди которых Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline, постараемся подробно разобраться, что скрывается за аббревиатурой SIEM, как, зачем и кем используются SIEM-системы.

На российском рынке встречаются системы, позиционирующие себя как SIEM, однако вызывающие споры относительно принадлежности их к этому классу продукта. Что вы можете об этом сказать?

Павел Коростелев, старший менеджер по продукту компании «Код безопасности»:

«Производитель может позиционировать свой продукт так, как он считает нужным, в том числе, и как SIEM-систему. Так как критерии отнесения того или иного продукта к SIEM-системе достаточно расплывчаты, то рынок это позволяет. Но при этом, когда речь заходит о применении SIEM-системы по прямому назначению, то есть по сбору и централизованному анализу событий безопасности, выясняется, что продукты не отвечают серьезным требованиям в части производительности, инструментов анализа и так далее. Излишний оптимизм вендора может негативно сказаться на его продажах и бренде, так как у заказчиков может возникнуть вопрос: «А насколько корректно позиционирование других продуктов этого производителя?».

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:   

«Сложно сказать, у кого вызывает споры принадлежность российских SIEM-систем к этому классу. У меня лично таких сомнений нет. Да, российские SIEM-системы весьма молоды по сравнению с «грандами» этого сегмента. Однако они безусловно относятся к SIEM-системам: их задача заключается в том, чтобы путем импорта и анализа логов с конечных устройств, серверного и сетевого оборудования, а также анализа зеркалированного трафика выявлять инциденты ИБ. Другой вопрос, что дьявол кроется в деталях. Поэтому российские SIEM-системы, безусловно, отличаются как набором коннекторов к системам, так и возможностями анализа трафика на различных уровнях сетевой модели OSI, наличием Workflow для обработки инцидентов, наличием встроенного сканера уязвимостей и рядом других параметров. К интересным российским решениям я бы отнес, в частности, PT MaxPatrol SIEM и RuSiem».

Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ):

«Если в целом разобрать аббревиатуру SIEM, то можно сказать, что это система управления событиями безопасности. Под управлением, в общем случае, понимается процесс сбора и обработки (нормализации, агрегации, корреляции) событий безопасности, поступающих из различных источников данных (средств защиты, элементов общей ИТ-инфраструктуры) для обеспечения возможности последующего реагирования на возникающие инциденты ИБ. Поэтому вполне вероятно, что некоторые производители могут трактовать термин в свою пользу, реализуя (либо давая возможность реализовать) лишь определенный пул операций управления. В любом случае, при выборе заказчики скорее опираются не на название класса, к которому относится та или иная система, а обращают внимание на конкретный функционал, который она может предоставить».

Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline:

«Действительно, на рынке присутствуют решения, которые не являются SIEM-системами, хоть и позиционируют себя так. Как правило, они предлагают заказчикам некую похожую функциональность – например, являются системами сбора и хранения событий, но не могут в режиме реального времени выявлять инциденты. С развитием SIEM на сегодня системы характеризуются довольно конкретным набором инструментов, отсутствие хотя бы одного из которых уже вызывает вопросы – можно ли относить данный продукт к SIEM.

Основные инструменты, которые можно использовать как критерии:

• Расследование. SIEM-система должна предоставлять возможность расследовать инцидент. Администратор в ежедневных задачах проводит анализ инцидентов, изучает логи, обращается к данным, которые предвещали событие. Анализ инцидента позволяет более точно принять меры по предотвращению.
• Threat Intelligence. Каждая SIEM-система должна не просто получать информацию, но быть «умной» и обогащать события дополнительной информацией, которая сможет расширить аналитику событий ИБ.
• Отчетность в SIEM позволяет визуально увидеть состояние ИБ организации, оценить изменения и предоставить данные для высшего руководства организации как эффективность работы службы ИБ».

Какие у них есть преимущества и недостатки в сравнении с другими ИБ-решениями?

Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»:

«Достоинства и недостатки – вопрос стратегии использования. Каждый инструмент предназначен для решения конкретной задачи и если решать с его помощью другую задачу, то такое решение может оказаться неэффективным. Есть, конечно, универсальные инструменты, но, если ты пользуешься таким инструментом, используя только 50% функций – ты переплачиваешь. Отверткой удобно заворачивать шурупы, но если вы решите использовать ее для забивания гвоздей – вам она покажется неудобной. Если вы выбирали SIEM с целью выявления мошенничества в автоматизированной банковской системой, а потом решили подать на нее события с антивируса и межсетевого экрана, то вполне возможно, вы будете недовольны производительностью. У некоторых современных средств защиты, например, DLP-систем или WAF (Web Application Firewall, защитный экран для приложений), есть встроенный функционал управления инцидентами, сфокусированный на анализе контента или трафика – поэтому часть работы SIEM можно переложить на сами приложения. Но если вы их внезапно отключите, то не факт, что ваш SIEM сможет без существенной перенастройки и дополнительных расходов взять на себя их функции».

Яков Гродзенский:    

«Как и любые российские решения, SIEM-системы имеют определенные преимущества в части локализованного интерфейса, возможности анализа русских логов, наличия сертификатов ФСТЭК. Кроме того, они имеют хорошие шансы для проникновения в госсектор и другие сектора экономики, где есть тренд к импортозамещению. Недостатками отечественных решений являются не очень широкая функциональность по сравнению с западными аналогами, например, отсутствие автоматизированного управления рисками».

Алина Хегай:

«Системы SIEM не совсем корректно сравнивать с другими ИБ-решениями, так как у любого решения есть область применения, к примеру, определенный вектор атак, против которого она позволяет защититься. SIEM-системы, в этом плане, скорее находятся на стыке ИТ и ИБ и сами по себе не обеспечивают реализацию защитных механизмов, без соответствующих интеграционных шин с другими решениями, которые позволяют активно реагировать на возникающие угрозы. SIEM – это платформа управления, основа ситуационных центров ИБ (SOC), предназначенная, в первую очередь, для определения факта события или инцидента безопасности в компании посредством корреляции различных данных, определения критичности инцидента для возможности приоритизации его обработки командой реагирования, и предоставления необходимых данных для последующей обработки инцидента. SIEM также в большинстве своем позволяют организовать процессы управления кейсами и знаниями. Также существуют на рынке системы класса IRP, которые расширяют возможности SIEM в некоторых областях».

Рушан Айсин:

«Не могу сказать, что сравнивать SIEM-системы с другими ИБ-решениями корректно. У SIEM свой сегмент и свои задачи. Использование SIEM выводит организацию на высокий уровень контроля за информационной безопасностью. Позволяет централизовать мониторинг и повысить аналитику ИБ. Сложность внедрения системы обуславливает обязательную двустороннюю работу, как со стороны поставщика/интегратора, так и со стороны заказчика. С появлением новых задач возрастает загруженность сотрудников, однако в дальнейшем эта работа в несколько раз облегчает задачу управления ИБ организации. Проекты по внедрению могут занимать от 2 до 10 месяцев в зависимости от конкретной организации, оборудовании и инфраструктуры».

Дмитрий Романченко, директор Центра технологий безопасности IBS:

«SIEM-системы относятся к разряду «зонтичных» систем, которые агрегируют в себя события безопасности, получаемые от других ИБ- и ИТ-систем организации. Далее в системе производится агрегация данных, корреляция с использованием системы решающих правил, выявление инцидентов ИБ, информирование офицеров безопасности, формирование аналитики в различных форматах и разрезах. Современные SIEM-системы эффективно интегрируются с системами, поддерживающими процесс расследования инцидентов ИБ и управления конфигурациями ИТ-систем. Таким образом формируется замкнутый цикл выявления и реагирования на инциденты ИБ.

В выигрыше оказываются решения, обеспечивающие наиболее широкое покрытие по количеству источников, наиболее широко масштабирующиеся, обеспечивающие эффективное сжатие, хранение и поиск информации, реализующие эффективное выявление различных инцидентов ИБ, обладающие богатой аналитикой и инструментами интеграции с системами реагирования на инциденты ИБ».

Людмила Игнатова, генеральный менеджер компании TEGRUS:

«Их главное преимущество в том, что в единой консоли можно увидеть все события ИБ организации и получить полную картину происходящего, а не отдельные ее кусочки, предоставляемые другими системами.

Основной минус – сложный и трудоемкий процесс внедрения. Достаточно непросто создавать правила корреляции событий, настраивать систему для работы, выстраивать грамотный сбор информации из различных источников. Достаточно высокую стоимость также можно отнести к минусам. С другой стороны, здесь некоторые преимущества получают решения российских производителей».

Для каких организаций актуально использование SIEM-систем?

Рустэм Хайретдинов:

«Каждая организация сама решает, нужна ли ей SIEM-система или нет. Экономическая эффективность такой системы под вопросом – это довольно сложная система, требующая постоянного внимания и доработки, поэтому без выделения существенных ресурсов на поддержку она не будет эффективной. Функции управления инцидентами безопасности можно проводить и в системах мониторинга инфраструктуры и приложений, с помощью систем управления журналами событий (лог-менеджмент), а также с использованием внутренних систем управления событиями в разных системах защиты. На практике нужда в выделенной SIEM-системе не зависит от размера компании – есть большие компании, справляющиеся с угрозами без SIEM и есть маленькие с SIEM, все зависит от того, как выстроены в компании внутренние процессы информационной безопасности. Статистически чаще SIEM покупают банки (из-за частых аудитов на соответствие различным требованиям), территориально распределенные компании (из-за желания мониторинга из центра событий в удаленных филиалах) и организации, однажды встретившиеся со сложной атакой, которую не заметили типовые средства защиты».

Яков Гродзенский:

«В определенных случаях наличие SIEM-системы продиктовано требованиями стандартов и законодательства. Например, это относится к банкам, обрабатывающим данные пластиковых карт, так как для них обязательно соответствие PCI DSS (стандарт безопасности данных индустрии платежных карт). Говоря об отраслях и размерах компаний, то это средние и крупные организации из банковского сектора, страховые компании, операторы связи и ряд других отраслей. Другими словами, это те компании, где последствия инцидента, например, вторжения в сеть, могут иметь серьезные финансовые и репутационные последствия».

Дмитрий Романченко:

«Использование решений класса SIEM обязательно для большинства крупных организаций, обрабатывающих персональные данные, конфиденциальную информацию, эксплуатирующих государственные информационные системы, использующих системы АСУ ТП. Недавно утвержденный пакет Федеральных законов о безопасности критической информационной инфраструктуры предполагает выстраивание процессов сбора событий ИБ, расследования инцидентов и реагирования на них, а это как раз и является основной функциональностью SIEM-систем. Согласно отраслевому списку организаций, которые могут быть отнесены к критической информационной инфраструктуре, большинство крупных коммерческих и государственных компаний, а также все федеральные ведомства могут быть отнесены к категории КИИ. В этой связи потребность в эффективных SIEM-решениях будет только возрастать».

Людмила Игнатова:

«Чем больше источников мы подключаем к SIEM-системе, тем больше интересных событий мы в ней увидим. Поэтому логично использовать такие системы в достаточно зрелых организациях с развитой ИТ-инфраструктурой.

Если, грубо говоря, в офисе сидит всего несколько десятков человек и из продуктов по безопасности установлен только антивирус и NGFW (next generation firewall, «фаервол следующего поколения»), то внедрение SIEM-системы, скорее всего, не даст желаемых результатов по той причине, что решение не раскроет свои возможности в полной мере».