Контакты
Подписка
МЕНЮ
Контакты
Подписка

Управление событиями ИБ на основе системы SIEM

Управление событиями ИБ на основе системы SIEM

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Управление событиями ИБ на основе системы SIEM

Постоянная борьба за “место под солнцем" обязывает не сворачивать с пути развития и, в частности, постоянно наращивать мощь инфраструктуры. Как следствие, появляются отдельные комплексы оборудования в ЦОДах под очередную локаль – на уровне страны или региона, которые в свою очередь должны обеспечить стабильную работу за счет всевозможных кластеризаций, шардирования и т.п., что увеличивает количество мест, которые требуется мониторить.
Андрей Ревяшко
Технический директор ООО “Вайлдберриз"

Продолжая тему наращивания мощности: сейчас вопрос контролирования системы выходит на один из ключевых уровней. Ведь количество одних только серверов может превышать сотни и даже тысячи единиц, не говоря уже, к примеру, о количестве сетевого оборудования.

При недолжном внимании к вопросу управления событиями информационной безопасности, в виде отсутствия систем класса SIEM (Security Information and Event Management), бизнес подталкивает себя в сторону "небытия". Живые примеры угроз, которые своевременно помогут выявить SIEM-системы, будут рассмотрены ниже.

Небольшой отступ от сути. Сами по себе SIEM-системы недешевы (говоря о платных версиях) по стоимости и довольно разнообразны; в частности, имеются и бесплатные вариации, но есть свои "НО". Основное отличие платных от бесплатных SIEM-систем заключается в поддержании актуальности баз данных паттернов угроз. В противовес платным системам вам потребуется организовывать выявление и разработку новых паттернов угроз самостоятельно.

У нас был подобный опыт для скоупа PCI DSS – два специалиста потратили приличное время на разработку регулярных выражений для файлов логирования, и подобное не хочется повторять, так как это весьма накладная процедура по стоимости.


Процесс выбора системы SIEM небыстрый, поэтому не поленитесь начать поиск того, что подойдет для вас, за несколько месяцев до мероприятий (к примеру, внедрение стандартов безопасности), которые требуют ее наличия.

Само по себе управление событиями ИБ в SIEM-системах выглядит следующим образом. С мест генерации логов (сервера, маршрутизаторы, брандмауэры и т.д.) поступают события, по средствам клиентов, установленных в местах генерации (либо иным способом), способных анализировать данные лог-файлов по шаблонам, в частности из обновляемых баз данных с паттернами угроз. Далее система агрегирует проанализированную информацию по событиям и создает ИБ-инцидент на обработку согласно заданным параметрам.

Кого-то из бизнеса система SIEM сможет удивить. Ведь на предприятиях с, казалось бы, четко выстроенной системой работы начинают всплывать интересные факты:

  1. Сотрудники, не имеющие отношения к информации о заработной плате, делают запросы к данным о заработной плате.
  2. Уволенные сотрудники посещают сетевые устройства.
  3. Логины сотрудников, работающих в ночную смену на складе, активизируются не на складе в дневное время.

И так далее.

На практике случается и такое, когда внешнюю систему несколько недель обрабатывают злоумышленники – в поисках всевозможных лазеек. В момент появления лазейки появляется "беговая дорожка" в виде информации об угрозе – как у злоумышленника, так и у обороняющегося. Если обороняющийся отреагирует быстрее, система останется цела, в противном случае лавры отойдут злоумышленнику в виде персональных данных, данных о платежных картах либо вывода системы из строя.

В большой системе нельзя быстро отреагировать на потенциальную угрозу без централизованной отчетной системы. Поэтому внедрение SIEM, с созданием правил реагирования на ИБ-события, увеличивает ваши шансы на победу на "беговой дорожке".

Решение за вами. Держать большой штат высококвалифицированных системных и сетевых администраторов (мотивация к работе – это отдельная тема) с множеством систем мониторинга или внедрить управление событиями ИБ на основе SIEM?

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2017
Посещений: 4316


  Автор
Андрей Ревяшко

Андрей Ревяшко

Технический директор ООО “Вайлдберриз"

Всего статей:  10

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций