Что такое SIEM

За последние десятилетия стоимость данных значительно возросла, что привело к приумножению киберпреступников и их оснащенности. В этом нет ничего неожиданного. Чем ценнее становится ресурс — тем больше желающих им завладеть. Спрос на системы для обеспечения защиты информации привел к активному росту их числа. В какой-то момент специалисты столкнулись с излишним количеством разнородных инструментов. Возникла необходимость в механизме, который помогал бы справляться с непомерным потоком данных, порождаемым различными утилитами.

В этой статье мы рассмотрим решение в области защиты информации, популярность которого в последние годы неизменно растет.

Что такое SIEM-система

SIEM-система — решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.

Как работает SIEM

SIEM-система обобщает данные и выискивает в них признаки нарушения безопасности защищаемой инфраструктуры. Если рассматривать работу SIEM как алгоритм, получится следующая цепочка действий.

1. Используемые в компании средства защиты информации отправляют данные в SIEM. Агрегироваться могут как общие, так и специфические журналы. Кроме того, SIEM умеет работать с логами и операционных систем, и прикладного программного обеспечения. В них зачастую также содержится знание о важных для информационной безопасности событиях — например, попытках входа или обращающих на себя внимание инцидентах, таких как повышение привилегий.
2. В SIEM все собираемые данные проходят нормализацию (упорядочивание), то есть разбиваются по типам и категориям. Например, можно просмотреть все попытки аутентификации определенного пользователя в разных системах.
3. Самый важный шаг — корреляция событий. SIEM может не только выявить простое нарушение безопасности — скажем, найденный на одном из серверов вирус. Ее алгоритмы способны выстраивать невероятно сложные связи между наблюдаемыми явлениями в разрозненных компонентах. Так обнаруживаются не только уже случившиеся инциденты, но и предугадываются надвигающиеся риски.
4. Итак, каждое средство защиты информации отчиталось о наблюдаемых процессах. SIEM обобщила все отрывочные сведения и по созданным правилам корреляции выявила новую угрозу. Тогда посылаются соответствующие сообщения администратору по всем доступным каналам — начиная от письма на электронную почту, заканчивая всплывающим окном на мониторе. Система уведомлений может быть многоуровневой: каждая группа специалистов получит что‑то, релевантное их области ответственности.

Выше мы описали так называемые «активные» функции — они направлены на выявление угроз и противодействие инцидентам информационной безопасности. Кроме того, SIEM-cистема выполняет и ряд «пассивных» задач.

1. Ведет учет событий. Помимо уведомления ответственных лиц, система управляет инцидентами безопасности, отслеживает их статус, соотносит с другими происшествиями.
2. Предоставляет аналитику: статистику, отчеты, инфографику. Благодаря большому количеству информации от всевозможных источников можно получить сводку по самым разным событиям или по отдельно взятой задаче. К примеру, ничто не помешает узнать о самых уязвимых за последний год хостах или же пользователе, который чаще других вводил неверный пароль, а то и загружал подозрительные файлы из интернета. Многие SIEM-cистемы делятся данными не только в статичном виде, но и в динамике, раскладывая информацию на дашбордах.
3. Хранит историю. Без преувеличения, это основополагающая функция, на которой построена вся SIEM. Можно сократить срок хранения логов в каждом источнике — все беспокойство SIEM берет на себя. От администраторов понадобится лишь проконтролировать физическую надежность и безопасность хранилища.

Преимущества и недостатки SIEM

Индустрия SIEM быстро развивается. На рынке появился уже целый класс подобных решений. Поскольку их всех объединяют описанные выше функции, то каждая из представленных систем обладает схожим набором достоинств и недостатков. Перечислим основные из них.

Преимущества

• Единая точка агрегации и обработки событий упрощает будни специалистов.
• Продуманные правила корреляции позволяют анализировать и выявлять на первый взгляд разрозненные события ИБ, взаимосвязь которых человек может и упустить.
• SIEM‑система быстро обрабатывает практически неограниченное количество источников данных — что непосильно для оператора. При этом благодаря тем же правилам корреляции важные маркеры, свидетельствующие о готовящейся атаке или другой угрозе, не останутся незамеченными.
• Сбор статистики или составления подробного отчета превращается в легкую задачу.

Недостатки

• SIEM-системы, если рассматривать лицензируемое ПО, — дорогостоящие решения. Не каждая организация готова заложить в бюджет подобные расходы.
• Сложность внедрения потребует немалых затрат времени и ресурсов. Необходимо подключить все источники событий, каждый из которых индивидуален.
• Написание правил корреляции — сама по себе нетривиальная высокоуровневая задача, с которой справится не каждый специалист. Требуется осведомленность об инфраструктуре компании, возможных угрозах и атаках, которым она может быть подвержена, а также немалое количество специфических знаний,
• Сосредоточив все события ИБ в одном месте, компания вынуждена предпринять меры для безотказности выстроенной SIEM. Потребуется с особой тщательностью позаботиться о надежности хранения данных и защищенности ресурсов, от функционирования которых зависит жизнеспособность всей системы целиком.

Отличия SIEM от XDR и SOAR

SIEM — это лишь один из классов высокоуровневых решений в сфере информационной безопасности. Существует и несколько других современных систем защиты, такие как XDR и SOAR. Остановимся на них чуть подробнее и отметим ключевые моменты.

SIEM‑система (напомним — Security Information and Event Management) собирает и анализирует журналы событий. Когда она выявляет подозрительную активность, ее задача — предупредить и предоставить полную информацию о событии ИБ. Функционал системы не выходит за рамки сбора, хранения и агрегации полученных данных. Предотвращение угроз и инцидентов осуществляется исключительно путем оповещения ответственных лиц. Иными словами, работа SIEM — сбор, анализ и выдача информации. Никакие другие самостоятельные действия система не предпринимает.

SOAR (Security Orchestration, Automation, and Response) автоматизирует реакцию на угрозы и инциденты, тем самым помогает командам ИБ оперативно их устранять. Мы здесь также видим централизованное управление всеми инструментами и средствами безопасности. Однако в отличие от рассматриваемой SIEM, это решение является активным — оно использует заранее подготовленные сценарии (плэйбуки) для быстрого устранения возникающих угроз и инцидентов.

Система SOAR — отличный напарник для SIEM. Одна — собирает, анализирует данные и, при необходимости, предоставляет их другой. Та, в свою очередь, получив уведомления и подробную информацию, запускает цепочку действий по реагированию.

XDR (Extended Detection and Response) охватывает полный цикл управления угрозами: от обнаружения до реагирования и восстановления. Решения данного класса также являются активными. Система XDR имеет агентов на подключенных хостах. Когда угроза возникает, принимаются действенные меры нейтрализации: от запуска на хосте антивирусной проверки до полного его отключения. Также система самостоятельно принимает решение по блокировке отдельных пользователей, активность которых может трактоваться как действия злоумышленника.

Как и SOAR, XDR опирается на подготовленные сценарии реагирования (плейбуки). Именно XDR сочетает в себе и аналитику, и механизмы противодействия. Таким образом, она и выявляет инциденты, и автоматизирует ответные действия на события ИБ. Также XDR, в отличие от предыдущих решений, работает не только с данными из журналов, но и, например, с трафиком. Дополнительная информация и глубокий анализ позволяют выявлять более изощренные атаки.

Рассмотренные выше решения — разноплановые. Выбор будет зависеть от уровня угроз, которые актуальны для конкретной компании, и особенностей ее инфраструктуры. Кроме того, придется учесть количество и степень подготовленности специалистов по информационной безопасности. Разумеется, не последнюю роль сыграют и финансовые возможности компании.

Кому нужно внедрять SIEM

До сих пор мы говорили о SIEM лишь в контексте функционального назначения. Предпосылки для внедрения подобных систем могут далеко выходить за рамки технологических особенностей. Часто необходимость развертывания SIEM‑системы на предприятии обусловлена требованиями нормативных документов и других сущностей в юридической плоскости.

Перечислим некоторые маркеры, сигнализирующие о том, что организации нужна своя SIEM-система.

• В компании используется множество разнородных IT‑решений, а значит, требуется единая точка агрегации событий с разрозненных источников.
• Простои, приводящие к финансовым и репутационным потерям, недопустимы. В таких случаях команда ИБ получает прямую задачу по предотвращению угроз, которые могут стать причиной остановки бизнес-процессов.
• Уже существующая система информационной безопасности достигла определенного уровня зрелости. В таком случае наступает момент, когда специалисты и руководители приходят к пониманию того, что пришло время двигаться дальше. Нужно глубже анализировать информацию о событиях ИБ, причем поступающих с разных источников.
• Нормативно-правовыми актами установлено требование по внедрению SIEM. Как правило, такая система обязана либо иметь соответствующий сертификат ФСТЭК РФ, либо находиться в реестре российского ПО.

Внедрение SIEM-систем в организациях

Если решение о внедрении системы SIEM принято, с чего начать? Приведем общий алгоритм, который не будет зависеть ни от разработчика выбранной системы, ни от инфраструктурных особенностей.

Этап подготовки

1. Определите цели и задачи внедрения SIEM. Примеры: «Выполнить нормативные требования», «Уменьшить время реагирования на инциденты ИБ» или «Обеспечить централизованный сбор событий ИБ».
2. Сформируйте критерии, которым должна соответствовать проектируемая система. Например, она должна иметь сертификат ФСТЭК, быть совместима со специфическим прикладным ПО или ИБ‑решением, которые уже используются в компании, быть облачной или иметь в себе многоуровневую систему уведомлений.
3. Оцените, достаточно ли вам собственных ресурсов, в том числе для будущего сопровождения системы. Иногда оптимально передавать какую-то часть работ на аутсорсинг.
4. Проанализируйте рынок существующих решений. Изучить презентации, стендовые демонстрации, характеристики, условия и особенности.
5. Отберите варианты, удовлетворяющие составленным критериям.
6. Проведите их пилотное тестирование и зафиксируйте результаты.

Этап внедрения

1. Подготовьте план действий, определите ответственных за каждую стадию работ, в том числе за подключение к системе источников данных. 
2. Если выбранный продукт коммерческий, приобретите лицензии на его эксплуатацию. В некоторых случаях отдельные модули тарифицируются изолированно — такая бизнес-модель может оказаться как преимуществом, так и недостатком, в зависимости от требуемой конфигурации. Ниже мы рассмотрим альтернативные решения, не предполагающие приобретение лицензии. 
3. Обучите группу специалистов ИБ. 
4. Выделите вычислительные мощности для SIEM-системы — не каждая из них может быть развернута в виртуальной инфраструктуре. 
5. Установите все необходимое ПО, активируйте лицензии, обновите до последней версии. 
6. Интегрируйте смежные системы — например, службу каталогов Active Directory. Настройте взаимосвязь со всеми компонентами: почтой, инструментами мониторинга, антивирусным ПО, межсетевым экраном и другими. 
7. Подключите источники событий — это могут быть, как устройства (автоматизированные рабочие места, ноутбуки сотрудников, виртуальные машины), так и отдельные подсистемы (СУБД, инструменты виртуализации). Уже имеющиеся средства безопасности — хостовые или с централизованным управлением — также являются источниками событий ИБ. 
8. Составьте собственные правила нормализации, если полученных от производителя недостаточно. 
9. Разработайте правила корреляции, учитывающие особенности инфраструктуры и используемых решений, в том числе для уменьшения количества ложноположительных срабатываний системы.
10. Протестируйте отправку уведомлений и работоспособность всех компонентов в совокупности.

Этап эксплуатации

1. Регламентировать процесс реагирования на инциденты, который должен предусматривать их периодический анализ как для устранения ложных срабатываний, так и для выявления новых закономерностей. 
2. Регулярно оценивать качество работы SIEM-системы в целом, и правил корреляции в отдельности, в том числе с точки зрения их актуальности и поиска необходимых новых источников данных. 
3. Контролировать сроки устранения инцидентов и порядок работы с ними. 
4. Обеспечьте работоспособность ресурсов. Система и все ее компоненты должны функционировать безотказно, остановка недопустима. Убедитесь, что вычислительных ресурсов достаточно для стабильной работы всех составляющих.

Обзор решений

Мы не будем давать оценку тем или иным программным продуктам, а лишь отметим особенности некоторых из них. Все SIEM-системы, условно, можно разделить на два больших класса решений: российские и open‑source.

Первая группа — отечественные сертифицированные системы мониторинга событий информационной безопасности — отлично подойдут для выполнения требований нормативно-правовых актов. Примером может послужить реализация мер подсистемы РСБ для ГИС. Программные же продукты второй группы, open‑source, будут востребованы компаниями, которые хотят решить задачи по внедрению системы мониторинга событий информационной безопасности без дополнительных финансовых вложений.

Несмотря на свою стоимость, российские разработки зачастую требуют меньше затрат на этапе внедрения, так как в них уже встроены коннекторы — небольшие программы для подключения источников. Эти элементы — важная часть, поскольку позволяют присоединить к SIEM много основных распространенных IT‑систем и продуктов.

При выборе SIEM из мира open-source, коннекторы придется писать самостоятельно. Можно будет, конечно, находить готовые фрагменты кода в интернете. Однако затраты на поиск, тестирование и перебор бесконечных вариантов не только перевесят мнимую выгоду, но и чреваты серьезными рисками — никто не гарантирует качество кода и отсутствие закладок. Кроме того, затраты на необходимость собственноручного создания коннекторов — не единственные. Потребуется самостоятельно корректировать правила, возможно подключать дополнительные инструменты графического отображения результатов работы системы мониторинга. Для реализации вороха возникающих задач потребуется наем в штат высококлассных специалистов. 

Российские же производители SIEM‑систем не только берут на себя всю заботу по разработке базовых компонентов, но и готовы оказать услуги как по внедрению, так и по технической поддержке. 

 Как мы уже говорили ранее, выбор будет определяться задачами и количеством имеющихся ресурсов. Каждый случай индивидуален, но мы обрисовали базовый алгоритм.

Чем может помочь Selectel

В Selectel можно создать облачный сервер с готовым приложением Wazuh. Это решение open-source — соответственно, без затрат на лицензирование. К созданному серверу подключаются источники событий ИБ и объекты мониторинга. Это могут быть множественные ресурсы вашей компании — как размещенные в дата‑центрах Selectel, так и находящиеся на собственных площадках. При необходимости можем развернуть распределенную по нескольким дата-центрам систему.

Если требуется система с сертификатом соответствия, то мы можем предоставить лицензию на отечественную сертифицированную по всем требованиям безопасности RuSIEM. Также наши специалисты помогут определиться с конфигурацией сервера для ее развертывания. Все услуги оказываются в рамках комплексного проекта по аттестации информационных систем.

Кроме того, в дата-центрах Selectel вы можете разместить любую собственную SIEM. В облаке легко масштабировать растущую систему и оптимизировать ее работу. Вы самостоятельно выбираете SIEM, устанавливаете, подключаете источники, администрируете и получаете информацию об инцидентах ИБ.

Мы берем на себя обеспечение работоспособности инфраструктуры и некоторые функции безопасности — их набор зависит от выбранной зоны доступности и вида услуги. При этом не имеем доступа к SIEM и находящейся в этой системе информации.