SIEM

SIEM (Security information and event management) este o combinație de doi termeni care denotă domeniul de aplicare al software-ului: SIM ( Security information management ) - managementul informațiilor de securitate și SEM ( Security event management ) - managementul evenimentelor de securitate.

Tehnologia SIEM oferă o analiză în timp real a evenimentelor de securitate (alarme) de la dispozitivele și aplicațiile de rețea și vă permite să răspundeți la acestea înainte de apariția unor daune semnificative [1] .

Prezentare generală

Odată cu cantitatea tot mai mare de informații care sunt procesate și transferate între diferite sisteme de informare (IS), organizațiile și utilizatorii individuali sunt din ce în ce mai dependenți de continuitatea și corectitudinea acestor procese. Pentru a răspunde amenințărilor de securitate din IS, este necesar să aveți instrumente care vă permit să analizați în timp real evenimentele în desfășurare, al căror număr este doar în creștere. O soluție la această problemă este utilizarea sistemelor SIEM [2] . Principiul fundamental al sistemului SIEM este că datele de securitate ale sistemului informațional sunt colectate din diverse surse, iar rezultatul prelucrării acestora este prezentat într-o singură interfață disponibilă analiștilor de securitate, ceea ce facilitează studierea caracteristicilor corespunzătoare incidentelor de securitate. SIEM este o combinație de sisteme de management al securității informațiilor (SIM) și managementul evenimentelor de securitate (SEM) într-un singur sistem de management al securității. Segmentul SIM este responsabil în principal de analiza datelor istorice, încercând să îmbunătățească eficiența pe termen lung a sistemului și să optimizeze stocarea datelor istorice. Segmentul SEM, în schimb, se concentrează pe descărcarea unei anumite cantități de informații din datele disponibile, cu ajutorul cărora incidentele de securitate pot fi identificate imediat. Pe măsură ce nevoia de funcții suplimentare crește, funcționalitatea acestei categorii de produse este extinsă și completată în mod continuu.

Unul dintre obiectivele principale ale utilizării sistemelor SIEM este creșterea nivelului de securitate a informațiilor în arhitectura existentă, oferind capacitatea de a manipula informațiile de securitate și de a gestiona proactiv incidentele și evenimentele de securitate în timp aproape real [3] .

Gestionarea proactivă a incidentelor de securitate și a evenimentelor se referă la luarea unor decizii înainte ca situația să devină critică. Un astfel de control poate fi efectuat folosind mecanisme automate care prezic evenimente viitoare pe baza datelor istorice, precum și ajustarea automată a parametrilor de monitorizare a evenimentelor la o stare specifică a sistemului [4] .

SIEM este reprezentat de aplicații, dispozitive sau servicii și este, de asemenea, utilizat pentru înregistrarea datelor și raportarea pentru compatibilitate cu alte date de afaceri.

Conceptul de management al evenimentelor de securitate a informațiilor (SIEM), introdus de Mark Nicolett și Amrit Williams de la Gartner în 2005, descrie funcționalitatea de colectare, analiză și prezentare a informațiilor din dispozitivele de rețea și de securitate, aplicații, instrumente de identificare (managementul acreditărilor) și de control al accesului. menținerea politicii de securitate și urmărirea vulnerabilităților , sistemelor de operare , bazelor de date și jurnalelor de aplicații, precum și informații despre amenințările externe. Accentul este pus pe gestionarea privilegiilor utilizatorilor și serviciilor, a serviciilor de director și a altor modificări de configurare, precum și pe furnizarea de auditare și revizuire a jurnalelor, a răspunsurilor la incident [5] .

Sarcini de rezolvat

• colectarea, procesarea și analiza evenimentelor de securitate care intră în sistem dintr-o varietate de surse;
• detectarea în timp real a atacurilor și încălcărilor criteriilor și politicilor de securitate ;
• evaluarea operațională a securității informațiilor, telecomunicațiilor și a altor resurse critice;
• analiza și managementul riscurilor de securitate ;
• efectuarea de investigații privind incidentele;
• luarea de decizii eficiente cu privire la securitatea informațiilor;
• formarea documentelor de raportare.

Surse de date

• Control acces, autentificare. Acestea sunt folosite pentru a monitoriza controlul accesului la sistemele informatice și utilizarea privilegiilor.
• sisteme DLP. Informații despre încercări de scurgeri din interior, încălcarea drepturilor de acces .
• sisteme IDS/IPS. Transportați date despre atacurile de rețea, modificările configurației și accesul la dispozitive.
• Aplicații antivirus. Acestea generează evenimente despre sănătatea software-ului, bazele de date, modificările configurațiilor și politicilor și codul rău intenționat.
• Jurnalele de evenimente ale serverelor și stațiilor de lucru . Sunt utilizate pentru controlul accesului, continuitate, respectarea politicilor de securitate a informațiilor.
• Firewall-uri . Informații despre atacuri, programe malware și multe altele.
• Echipamente active în rețea. Folosit pentru controlul accesului, contabilizarea traficului de rețea.
• Scanere de vulnerabilitate . Date privind inventarul de active, servicii, software, vulnerabilități, furnizarea de date de inventar și structura topologică.
• Sisteme de inventariere și management al activelor. Furnizați date pentru a controla activele de infrastructură și pentru a identifica altele noi.
• Sisteme de filtrare web. Furnizați date despre vizitarea site-urilor web suspecte sau interzise de către angajați.

Arhitectură

De obicei, un sistem SIEM este implementat pe un sistem informatic protejat și are o arhitectură „surse de date” – „stocare de date” – „ server de aplicații ”. Soluțiile SIEM sunt dispozitive integrate (all-in-one) sau complexe cu două-trei componente. Arhitectura distribuită implică cel mai adesea o performanță mai mare și o scalabilitate mai bună și, de asemenea, vă permite să implementați o soluție SIEM în infrastructuri IT cu mai multe site-uri.

Agenții efectuează procesarea inițială și filtrarea și colectarea evenimentelor de securitate.

Transferul de informații din sursele de date poate fi efectuat în mai multe moduri:

• sursa însăși inițiază transmiterea evenimentelor (de exemplu, trimite prin protocolul syslog);
• evenimentele de la sursă sunt luate pasiv.

Luați în considerare utilizarea acestor metode în practică. Cu prima opțiune, totul este destul de simplu: adresa IP a dispozitivului care colectează evenimente (colector) este indicată pe sursă , iar evenimentele sunt trimise la destinație. A doua opțiune include colectarea de informații agent sau fără agent, iar în unele sisteme SIEM ambele metode sunt disponibile pentru unele surse. Metoda bazată pe agent implică utilizarea unui program agent special, metoda fără agent - setări surse de evenimente, cum ar fi crearea de conturi suplimentare, permiterea accesului de la distanță și/sau utilizarea protocoalelor suplimentare.

Informațiile colectate și filtrate despre evenimentele de securitate intră în depozitul de date, unde sunt stocate într-un format de reprezentare intern pentru utilizare și analiză ulterioară de către serverul de aplicații.

Serverul de aplicații implementează funcțiile de bază de securitate a informațiilor. Analizează informațiile stocate în depozit și le transformă pentru a genera alerte sau decizii de gestionare a securității informațiilor .

Pe baza acestui fapt, în sistemul SIEM se disting următoarele niveluri ale construcției sale [6] :

• colectarea datelor: efectuată din surse de diferite tipuri, de exemplu, servere de fișiere, firewall-uri, programe antivirus;
• managementul datelor: datele stocate în depozit sunt emise la solicitarea modelelor de analiză a datelor;
• analiza datelor: rezultate în rapoarte predefinite și în formă liberă, corelare în direct a datelor despre evenimente și alerte.

Operațiunea SIEM

Pentru a rezolva sarcinile stabilite, sistemele SIEM de prima generație folosesc normalizarea, filtrarea, clasificarea, agregarea, corelarea și prioritizarea evenimentelor, precum și generarea de rapoarte și avertismente [1] . În sistemele SIEM de ultimă generație, la numărul acestora ar trebui adăugate și analiza evenimentelor, incidentelor și consecințele acestora, precum și luarea deciziilor și vizualizarea.

Normalizarea aduce formatele intrărilor de jurnal colectate din diverse surse într-un singur format intern, care va fi apoi folosit pentru stocarea și procesarea ulterioară a acestora. Filtrarea evenimentelor de securitate este de a elimina evenimentele redundante din fluxurile care intră în sistem. Clasificarea permite atribuirea atributelor evenimentelor de securitate unor clase specifice. Agregarea combină evenimente care sunt similare în anumite caracteristici. Corelația relevă relații între evenimente diferite. Prioritizarea determină semnificația și criticitatea evenimentelor de securitate pe baza regulilor definite în sistem. Analiza evenimentelor, incidentelor și consecințele acestora include procedurile de modelare a evenimentelor, atacurilor și consecințele acestora, analiza vulnerabilităților și a securității sistemului, determinarea parametrilor contravenienților, evaluarea riscurilor, prognozarea evenimentelor și incidentelor. Generarea de rapoarte și alerte înseamnă generarea, transmiterea, afișarea sau tipărirea rezultatelor operațiunii. Vizualizarea presupune prezentarea sub formă grafică a datelor care caracterizează rezultatele analizei evenimentelor de securitate și starea sistemului protejat și a elementelor acestuia.

Funcționalitate

• Agregarea datelor: gestionarea jurnalului de date; datele sunt colectate din diverse surse: dispozitive și servicii de rețea, senzori ale sistemului de securitate, servere, baze de date, aplicații; consolidarea datelor este asigurată pentru a căuta evenimente critice.
• Corelație: găsirea atributelor comune, legarea evenimentelor în clustere semnificative . Tehnologia prevede utilizarea diferitelor tehnici de integrare a datelor din diverse surse pentru a transforma datele brute în informații semnificative. Corelația este o caracteristică tipică a unui subset de management al evenimentelor de securitate.
• Notificare: analiza automată a evenimentelor corelate și generarea de notificări (alarme) despre problemele curente. Notificarea poate fi afișată pe „tabloul de bord” al aplicației în sine, sau poate fi trimisă către alte canale terțe: e-mail, GSM-gateway etc.
• Instrumente de afișare (Tablouri de bord): afișați diagrame pentru a ajuta la identificarea modelelor, altele decât comportamentul standard.
• Compatibilitate (transformabilitate): utilizarea aplicațiilor pentru a automatiza colectarea datelor, raportare pentru a adapta datele agregate la procesele de audit și managementul securității informațiilor existente.
• Reținerea datelor: aplicarea unui depozit de date istorice pe termen lung pentru a corela datele în timp și pentru a oferi morfabilitate. Stocarea pe termen lung a datelor este esențială pentru criminalistica informatică, deoarece este puțin probabil ca investigarea unui incident în rețea să fie efectuată chiar în momentul încălcării.
• Analiza expertă: capacitatea de a căuta prin mai multe reviste pe diferite noduri; poate fi efectuată ca parte a software-ului și a expertizei tehnice.

Prezentare generală a sistemelor moderne

Potrivit unui studiu Garther, următoarele sisteme au fost printre lideri în 2018: Splunk, IBM și LogRhythm [7] . Iată o scurtă descriere a acestora:

IBM oferă o soluție SIEM cuprinzătoare numită Tivoli Security Information and Event Manager (TSIEM). TSIEM permite, pe de o parte, să auditeze evenimentele de securitate pentru conformitatea cu politicile interne și diverse standarde internaționale, iar pe de altă parte, să gestioneze incidentele de securitate a informațiilor și să detecteze atacuri și alte amenințări la adresa elementelor de infrastructură. În domeniul prezentării și stocării evenimentelor, TSIEM folosește metodologia patentată W7 (Who, did What, When, Where, Wherefrom, Where to and on What), conform căreia toate evenimentele sunt transformate într-un singur format pe înțelesul administratorilor de securitate. , auditori și manageri. TSIEM are, de asemenea, capabilități avansate de raportare și monitorizare a activității utilizatorilor.

Splunk este o altă soluție comercială de logare comercializată ca o soluție „IT Search” care este încorporată în produse precum Cisco System IronPort. Cu o interfață web, Splunk este intuitiv de configurat și gestionat. Splunk adoptă o abordare destul de ușor de utilizat pentru proiectarea interfeței, simplificând experiența inițială pentru administratorul mai puțin experimentat. La fel ca multe produse similare de logare, raportarea face parte din produsul de bază și, în cazul lui Splunk, este relativ ușor de utilizat. Tipurile comune de formate de reprezentare a datelor sunt disponibile din meniurile derulante de pe ecran. Unul dintre lucrurile frumoase despre interfața web a Splunk este că orice raport poate fi furnizat ca URL, permițând altor persoane din organizație să vadă rapoartele specifice pe care administratorul de sistem le creează pentru ei.

LogRhythm Inc. este o companie americană de securitate care integrează gestionarea informațiilor de securitate și a evenimentelor (SIEM), managementul jurnalelor, monitorizarea rețelelor și punctelor terminale și analiză și securitate. LogRhythm pretinde că ajută clienții să detecteze rapid și să răspundă la amenințările cibernetice înainte de apariția unor daune semnificative. De asemenea, își propune să ofere automatizare și conformitate cu reglementările. Produsele LogRhythm sunt concepute pentru a ajuta organizațiile să-și securizeze rețelele și să optimizeze operațiunile. De asemenea, ajută la automatizarea colectării, organizării, analizei, arhivării și recuperării datelor de jurnal, permițând companiilor să respecte politicile de păstrare a datelor de jurnal. Componentele produsului includ colectarea datelor, monitorizarea sistemului și a rețelei, modulele analitice, gestionarea jurnalelor și a evenimentelor.

Recent, pe piață au apărut soluții autohtone, printre care:

KOMRAD Enterprise SIEM este capabil să monitorizeze unificat evenimentele de securitate a informațiilor, să identifice incidentele emergente de securitate a informațiilor, să răspundă prompt la amenințările emergente, să îndeplinească cerințele de protecție a informațiilor personale și este capabil să asigure siguranța sistemelor informaționale de stat. Avantajele utilizării acestui sistem pot fi luate în considerare: suport pentru un număr mare de platforme, notificare și răspuns în timp util la diferite tipuri de amenințări, posibilitatea unor setări flexibile, gestionarea configurației de la distanță, colectarea de informații din surse de evenimente non-standard.

Security Capsule este primul sistem rusesc de control al securității informațiilor. Este cel mai accesibil dintre sistemele SIEM utilizate în Rusia. Are următoarele calități: detectarea atacurilor de rețea atât în ​​perimetrele locale cât și globale, detectarea infecțiilor cu virusuri, capacitatea de a înregistra evenimente în sistemul de operare utilizat, contabilizarea acțiunilor persoanelor care interacționează cu sistemul de management al bazei de date.

MaxPatrol SIEM este un sistem care are o evaluare obiectivă a nivelului de securitate atât a departamentelor individuale, nodurilor și aplicațiilor, cât și a întregului sistem în ansamblu. În comparație cu produsul software de mai sus, se remarcă prin costul mai mare. Acest sistem se caracterizează prin utilizarea mecanismelor de analiză euristică și a unei baze de cunoștințe formate capabile să verifice cele mai comune sisteme de operare și echipamente specializate. Spre deosebire de sistemele SIEM clasice, nu este nevoie să instaleze componente software pe noduri, ceea ce simplifică foarte mult procesul de utilizare și reduce costul final de proprietate. Are un sistem ușor de personalizat și diferențiere a drepturilor de acces, ceea ce face posibilă formarea de monitorizare a securității informațiilor la fiecare nivel al ierarhiei. Pentru un singur utilizator MaxPatrol, există posibilitatea de a-și crea propria listă de sarcini pe care le poate îndeplini în cadrul sistemului.

RUSIEM este un sistem dezvoltat de compania RuSIEM cu același nume. Potrivit dezvoltatorilor, produsul ar trebui să înlocuiască omologii străini de pe piața rusă și să concureze cu aceștia datorită costului scăzut de implementare și asistență, precum și a funcționalității puternice. Diferențele vizibile față de companiile concurente sunt: ​​interpretarea evenimentelor într-o formă ușor de înțeles, etichetarea și ponderarea, care oferă o modalitate mai convenabilă și mai rapidă de a analiza informațiile primite. De asemenea, merită remarcat un număr nelimitat de surse de informații, care, împreună cu o stocare compactă, face posibilă construirea de interogări optimizate la orice adâncime de stocare.

Note

1. ↑ 1 2 Implementarea informațiilor de securitate și managementului evenimentelor (SIEM) . - New York: McGraw-Hill, 2011. - 1 resursă online (xxxiv, 430 pagini) p. — ISBN 9780071701082 , 0071701087.
2. ^ H. Karlzen , „An Analysis of Security Information and Event Management Systems: The Use of SIEMs for Log Collection, Management, and Analysis.”, p. 45 ianuarie 2009.
3. ↑ Kotenko I.V., Saenko I.B., Polubelova O.V., Chechulin A.A. Aplicarea Tehnologiei de Management al Evenimentelor Informaționale și de Securitate pentru Protecția Informației în Infrastructurile Critice // Proceedings of SPIIRAS. Numărul 1 (20). Sankt Petersburg: Nauka, 2012. S.27-56.
4. ↑ Kotenko I.V. Mecanisme inteligente de gestionare a securității cibernetice // Managementul riscurilor și securității. Proceedings of Institute for System Analysis al Academiei Ruse de Științe (ISA RAS). T.41, Moscova, URSS, 2009. P.74–103.
5. ^ Williams, Amrit (2005-05-02). „Îmbunătățiți securitatea IT cu managementul vulnerabilităților”. Accesat 2016-04-09. Informații de securitate și managementul evenimentelor (SIEM)
6. ↑ Stevens M. Security Information and Event Management (SIEM). Prezentare // TheNEbraska CERT Conference, 9–11 august 2005. http://www.certconf.org/presentations/2005/files/WC4.pdf
7. ↑ K. Kavanagh, T. Bussa, G. Sadowski. Magic Quadrant pentru informații de securitate și managementul evenimentelor. Gartner, 3 decembrie 2018

Literatură

• Abdul B. Subhani. Stai in siguranta! - Abbott Press, 2016. - 182 p. — ISBN 1458220273 .
• Implementarea informațiilor de securitate și managementului evenimentelor (SIEM). - New York: McGraw-Hill, 2019. - 1 resursă online (xxxiv, 430 pagini) p. — ISBN 9780071701082 , 0071701087.
• Alexey Parfentiev, SearchInform, despre SIEM și pericolele caracteristicilor inutile. — Hacker Magazine, 26.11.2021 Arhivat 28 noiembrie 2021 la Wayback Machine .