SIEM

SIEM (Správa bezpečnostních informací a událostí) je kombinací dvou pojmů označujících rozsah softwaru: SIM ( Správa bezpečnostních informací ) - správa bezpečnostních informací a SEM ( Správa bezpečnostních událostí ) - správa bezpečnostních událostí.

Technologie SIEM poskytuje analýzu bezpečnostních událostí (alarmů) ze síťových zařízení a aplikací v reálném čase a umožňuje na ně reagovat dříve, než dojde k významnému poškození [1] .

Přehled

S rostoucím množstvím informací, které jsou zpracovávány a přenášeny mezi různými informačními systémy (IS), jsou organizace i jednotliví uživatelé stále více závislí na kontinuitě a správnosti těchto procesů. Pro reakci na bezpečnostní hrozby v IS je nutné mít nástroje, které umožňují v reálném čase analyzovat probíhající události, jejichž počet jen narůstá. Jedním z řešení tohoto problému je použití systémů SIEM [2] . Základním principem systému SIEM je, že bezpečnostní data informačního systému jsou shromažďována z různých zdrojů a výsledek jejich zpracování je prezentován v jediném rozhraní dostupném bezpečnostním analytikům, což usnadňuje studium charakteristických znaků odpovídajících bezpečnostním incidentům. SIEM je kombinací systémů správy informační bezpečnosti (SIM) a správy bezpečnostních událostí (SEM) do jediného systému řízení bezpečnosti. Segment SIM je zodpovědný především za analýzu historických dat, snaží se zlepšit dlouhodobou efektivitu systému a optimalizovat ukládání historických dat. Segment SEM se naopak zaměřuje na stahování určitého množství informací z dostupných dat, pomocí kterých lze okamžitě identifikovat bezpečnostní incidenty. S rostoucí potřebou dalších funkcí je funkčnost této kategorie produktů průběžně rozšiřována a doplňována.

Jedním z hlavních cílů používání systémů SIEM je zvýšení úrovně informační bezpečnosti ve stávající architektuře poskytnutím možnosti manipulovat s bezpečnostními informacemi a proaktivně řídit bezpečnostní incidenty a události v téměř reálném čase [3] .

Proaktivní správa bezpečnostních incidentů a událostí spočívá v rozhodování dříve, než se situace stane kritickou. Takové řízení lze provádět pomocí automatických mechanismů, které předpovídají budoucí události na základě historických dat, a také automatickým přizpůsobením parametrů sledování událostí konkrétnímu stavu systému [4] .

SIEM je reprezentován aplikacemi, zařízeními nebo službami a používá se také pro protokolování dat a vytváření sestav pro kompatibilitu s jinými obchodními daty.

Koncepce správy událostí informační bezpečnosti (SIEM), kterou představili Mark Nicolett a Amrit Williams z Gartner v roce 2005, popisuje funkcionalitu shromažďování, analýzy a prezentace informací ze síťových a bezpečnostních zařízení, aplikací a nástrojů pro správu identit (správa pověření) a řízení přístupu. udržování bezpečnostní politiky a sledování zranitelností , operačních systémů , databází a aplikačních protokolů a také informací o externích hrozbách. Zaměření je na správu uživatelských a servisních oprávnění, adresářových služeb a dalších konfiguračních změn, stejně jako poskytování auditu a kontroly protokolů, reakcí na incidenty [5] .

Úkoly k řešení

• sběr, zpracování a analýza bezpečnostních událostí vstupujících do systému z různých zdrojů;
• detekce útoků a porušení bezpečnostních kritérií a zásad v reálném čase ;
• provozní hodnocení bezpečnosti informací, telekomunikací a jiných kritických zdrojů;
• analýza a řízení bezpečnostních rizik ;
• provádění vyšetřování incidentů;
• efektivní rozhodování o bezpečnosti informací;
• tvorba ohlašovacích dokumentů.

Zdroje dat

• Kontrola přístupu, autentizace. Slouží ke sledování řízení přístupu k informačním systémům a využívání oprávnění.
• DLP systémy. Informace o pokusech o vnitřní úniky, porušení přístupových práv .
• Systémy IDS/IPS. Přenášejte data o síťových útocích, změnách konfigurace a přístupu k zařízením.
• Antivirové aplikace. Generují události týkající se stavu softwaru, databází, změn v konfiguracích a zásadách a škodlivého kódu.
• Protokoly událostí serverů a pracovních stanic . Používají se pro řízení přístupu, kontinuitu a dodržování zásad bezpečnosti informací.
• Firewally . Informace o útocích, malwaru a další.
• Síťově aktivní zařízení. Používá se pro řízení přístupu, účtování síťového provozu.
• Skenery zranitelnosti . Údaje o inventarizaci majetku, služeb, softwaru, zranitelnosti, zásobování inventárními daty a topologické struktuře.
• Systémy zásob a řízení majetku. Poskytujte data pro řízení aktiv infrastruktury a identifikaci nových.
• Systémy pro filtrování webu. Poskytovat údaje o návštěvách podezřelých nebo zakázaných webových stránek zaměstnanci.

Architektura

Obvykle je systém SIEM nasazen přes chráněný informační systém a má architekturu "zdroje dat" - "úložiště dat" - " aplikační server ". Řešení SIEM jsou integrovaná zařízení (vše v jednom) nebo dvou až třísložkové komplexy. Distribuovaná architektura nejčastěji znamená vyšší výkon a lepší škálovatelnost a také umožňuje nasadit řešení SIEM v IT infrastrukturách s více lokalitami.

Agenti provádějí počáteční zpracování a filtrování a shromažďování bezpečnostních událostí.

Přenos informací ze zdrojů dat lze provést několika způsoby:

• zdroj sám iniciuje přenos událostí (například odesílá přes protokol syslog);
• události ze zdroje jsou přijímány pasivně.

Zvažte použití těchto metod v praxi. U první možnosti je vše docela jednoduché: IP adresa zařízení, které shromažďuje události (kolektor) , je uvedena na zdroji a události jsou odesílány do cíle. Druhá možnost zahrnuje sběr informací agentem nebo bez agenta a v některých systémech SIEM jsou pro některé zdroje k dispozici obě metody. Metoda založená na agentech zahrnuje použití speciálního programu agenta, metoda bez agenta - nastavení zdroje událostí, jako je vytvoření dalších účtů, umožnění vzdáleného přístupu a/nebo použití dalších protokolů.

Shromážděné a filtrované informace o bezpečnostních událostech vstupují do datového skladu, kde jsou uloženy ve formátu interní reprezentace pro pozdější použití a analýzu aplikačním serverem.

Aplikační server implementuje základní funkce zabezpečení informací. Analyzuje informace uložené v úložišti a transformuje je za účelem generování výstrah nebo rozhodnutí o řízení bezpečnosti informací .

Na základě toho se v systému SIEM rozlišují následující úrovně jeho konstrukce [6] :

• sběr dat: provádí se ze zdrojů různých typů, například souborové servery, firewally, antivirové programy;
• správa dat: data uložená v úložišti jsou vydávána na žádost modelů analýzy dat;
• analýza dat: výsledkem jsou předdefinované a volně tvarované zprávy, živá korelace dat událostí a výstrahy.

Operace SIEM

K řešení nastavených úloh využívají systémy SIEM první generace normalizaci, filtrování, klasifikaci, agregaci, korelaci a prioritizaci událostí a také generování hlášení a varování [1] . V systémech SIEM nové generace by k jejich počtu měla být přidána také analýza událostí, incidentů a jejich důsledků, stejně jako rozhodování a vizualizace.

Normalizace přináší formáty záznamů protokolu shromážděných z různých zdrojů do jediného interního formátu, který bude následně použit pro jejich uložení a následné zpracování. Filtrování událostí zabezpečení slouží k odstranění nadbytečných událostí z proudů vstupujících do systému. Klasifikace umožňuje přiřazení atributů bezpečnostních událostí konkrétním třídám. Agregace kombinuje události, které jsou si v určitých charakteristikách podobné. Korelace odhaluje vztahy mezi nepodobnými událostmi. Prioritizace určuje význam a kritičnost bezpečnostních událostí na základě pravidel definovaných v systému. Analýza událostí, incidentů a jejich následků zahrnuje postupy pro modelování událostí, útoků a jejich následků, analýzu zranitelností a zabezpečení systému, stanovení parametrů narušitelů, hodnocení rizik, předpovídání událostí a incidentů. Generování zpráv a výstrah znamená generování, přenos, zobrazení nebo tisk výsledků provozu. Vizualizace zahrnuje prezentaci dat v grafické podobě charakterizující výsledky analýzy bezpečnostních událostí a stavu chráněného systému a jeho prvků.

Funkčnost

• Agregace dat: správa záznamů dat; data jsou shromažďována z různých zdrojů: síťová zařízení a služby, senzory bezpečnostních systémů, servery, databáze, aplikace; je poskytována konsolidace dat za účelem vyhledávání kritických událostí.
• Korelace: Hledání společných atributů, propojení událostí do smysluplných shluků . Technologie umožňuje použití různých technik pro integraci dat z různých zdrojů za účelem přeměny nezpracovaných dat na smysluplné informace. Korelace je typickým rysem podmnožiny správy událostí zabezpečení.
• Upozornění: automatická analýza souvisejících událostí a generování upozornění (alarmů) o aktuálních problémech. Oznámení může být zobrazeno na „dashboardu“ samotné aplikace nebo může být zasláno na jiné kanály třetích stran: e-mail, GSM brána atd.
• Nástroje zobrazení (řídicí panely): Zobrazte grafy, které vám pomohou identifikovat jiné vzory než standardní chování.
• Kompatibilita (transformovatelnost): použití aplikací pro automatizaci sběru dat, reporting pro přizpůsobení agregovaných dat stávajícím procesům řízení bezpečnosti informací a auditu.
• Uchovávání dat: Použití dlouhodobého úložiště historických dat pro korelaci dat v čase a poskytnutí morfovatelnosti. Dlouhodobé uchovávání dat je pro počítačovou forenzní analýzu zásadní, protože je nepravděpodobné, že by vyšetřování síťového incidentu bylo provedeno v okamžiku narušení.
• Expertní analýza: schopnost prohledávat více časopisů na různých uzlech; lze provádět jako součást softwarové a technické odbornosti.

Přehled moderních systémů

Podle studie Garther patřily v roce 2018 k lídrům tyto systémy: Splunk, IBM a LogRhythm [7] . Zde je jejich stručný popis:

IBM nabízí komplexní řešení SIEM nazvané Tivoli Security Information and Event Manager (TSIEM). TSIEM umožňuje na jedné straně auditovat bezpečnostní události z hlediska souladu s vnitřními politikami a různými mezinárodními standardy a na druhé straně řešit incidenty informační bezpečnosti a odhalovat útoky a další hrozby pro prvky infrastruktury. V oblasti prezentace a ukládání událostí využívá TSIEM patentovanou metodiku W7 (Kdo, co dělal, kdy, odkud, odkud, kam a na co), podle které jsou všechny události transformovány do jednotného formátu srozumitelného bezpečnostním administrátorům. , auditory a manažery. TSIEM má také pokročilé možnosti hlášení a monitorování aktivity uživatelů.

Splunk je další komerční řešení protokolování uváděné na trh jako řešení „IT Search“, které je zabudováno do produktů, jako je Cisco System IronPort. S webovým rozhraním se Splunk intuitivně nastavuje a spravuje. Splunk zaujímá poměrně uživatelsky přívětivý přístup k návrhu rozhraní, což zjednodušuje počáteční zkušenost pro méně zkušené správce. Jako mnoho podobných logovacích produktů je reporting součástí základního produktu a v případě Splunk je jeho použití relativně snadné. Běžné typy formátů reprezentace dat jsou dostupné z rozbalovacích nabídek na obrazovce. Jednou z pěkných věcí na webovém rozhraní Splunk je to, že jakoukoli zprávu lze poskytnout jako adresu URL, což umožňuje ostatním lidem v organizaci zobrazit konkrétní zprávy, které pro ně správce systému vytváří.

Společnost LogRhythm Inc. je americká bezpečnostní společnost, která integruje správu bezpečnostních informací a událostí (SIEM), správu protokolů, monitorování sítě a koncových bodů a analýzy a zabezpečení. LogRhythm tvrdí, že pomáhá zákazníkům rychle odhalit kybernetické hrozby a reagovat na ně dříve, než dojde k významným škodám. Jeho cílem je také zajistit automatizaci a shodu s předpisy. Produkty LogRhythm jsou navrženy tak, aby pomohly organizacím zabezpečit jejich sítě a optimalizovat provoz. Pomáhají také automatizovat sběr, organizaci, analýzu, archivaci a obnovu dat protokolů, což společnostem umožňuje dodržovat zásady uchovávání dat protokolů. Komponenty produktu zahrnují sběr dat, monitorování systému a sítě, analytické moduly, správu protokolů a událostí.

Nedávno se na trhu objevila domácí řešení, včetně:

KOMRAD Enterprise SIEM je schopen jednotného monitorování událostí informační bezpečnosti, identifikace vznikajících incidentů informační bezpečnosti, pohotové reakce na vznikající hrozby, plnění požadavků na ochranu osobních údajů a je schopen zajistit bezpečnost státních informačních systémů. Za výhody použití tohoto systému lze považovat: podporu velkého množství platforem, včasné upozornění a reakci na různé druhy hrozeb, možnost flexibilního nastavení, vzdálenou správu konfigurace, sběr informací z nestandardních zdrojů událostí.

Security Capsule je první ruský systém řízení bezpečnosti informací. Je nejdostupnější ze systémů SIEM používaných v Rusku. Má tyto vlastnosti: detekce síťových útoků v lokálním i globálním perimetru, detekce virových infekcí, schopnost registrovat události v používaném operačním systému, účtování akcí osob interagujících se systémem správy databází.

MaxPatrol SIEM je systém, který má objektivní posouzení úrovně zabezpečení jak jednotlivých oddělení, uzlů a aplikací, tak celého systému jako celku. Ve srovnání s výše uvedeným softwarovým produktem vyniká vyšší cenou. Tento systém se vyznačuje použitím mechanismů heuristické analýzy a vytvořené znalostní báze schopné kontrolovat většinu běžných operačních systémů a specializovaného vybavení. Na rozdíl od klasických SIEM systémů nepotřebuje instalovat softwarové komponenty na uzly, což značně zjednodušuje proces používání a snižuje konečné náklady na vlastnictví. Má snadno přizpůsobitelný systém a diferenciaci přístupových práv, což umožňuje tvořit monitorování bezpečnosti informací na každé úrovni hierarchie. Pro jednoho uživatele MaxPatrol je zde možnost vytvořit si vlastní seznam úkolů, které je schopen v rámci systému provádět.

RUSIEM je systém vyvinutý stejnojmennou společností RuSIEM. Podle vývojářů by měl produkt nahradit zahraniční protějšky na ruském trhu a konkurovat jim díky nízkým nákladům na implementaci a podporu a také výkonné funkčnosti. Viditelné rozdíly od konkurenčních společností jsou: interpretace událostí ve srozumitelné formě, označování a vážení, které poskytuje pohodlnější a rychlejší způsob analýzy příchozích informací. Za zmínku také stojí neomezený počet informačních zdrojů, což ve spojení s kompaktním úložištěm umožňuje vytvářet optimalizované dotazy v libovolné hloubce úložiště.

Poznámky

1. ↑ 1 2 Implementace správy bezpečnostních informací a událostí (SIEM) . - New York: McGraw-Hill, 2011. - 1 online zdroj (xxxiv, 430 stran) str. — ISBN 9780071701082 , 0071701087.
2. ↑ H. Karlzen, "Analýza systémů správy bezpečnostních informací a událostí: Využití SIEM pro sběr, správu a analýzu logů.", str. 45. ledna 2009.
3. ↑ Kotenko I.V., Saenko I.B., Polubelova O.V., Chechulin A.A. Aplikace technologie správy informací a bezpečnostních událostí pro ochranu informací v kritických infrastrukturách // Sborník SPIIRAS. Vydání 1 (20). Petrohrad: Nauka, 2012. S.27-56.
4. ↑ Kotenko I.V. Inteligentní mechanismy pro řízení kybernetické bezpečnosti // Řízení rizik a bezpečnosti. Sborník Institutu pro systémovou analýzu Ruské akademie věd (ISA RAS). T.41, Moskva, URSS, 2009. S.74–103.
5. ↑ Williams, Amrit (2005-05-02). „Zlepšete bezpečnost IT pomocí správy zranitelnosti“. Staženo 09.04.2016. Správa bezpečnostních informací a událostí (SIEM)
6. ↑ Stevens M. Security Information and Event Management (SIEM). Prezentace // Konference TheNEbraska CERT, 9.–11. srpna 2005. http://www.certconf.org/presentations/2005/files/WC4.pdf
7. ↑ K. Kavanagh, T. Bussa, G. Sadowski. Magic Quadrant pro bezpečnostní informace a správu událostí. Gartner, 3. prosince 2018

Literatura

• Abdul B. Subhani. Zůstat v bezpečí! - Abbott Press, 2016. - 182 s. — ISBN 1458220273 .
• Implementace správy bezpečnostních informací a událostí (SIEM). - New York: McGraw-Hill, 2019. - 1 online zdroj (xxxiv, 430 stran) str. — ISBN 9780071701082 , 0071701087.
• Alexey Parfentiev, SearchInform, o SIEM a nebezpečí zbytečných funkcí. — Hacker Magazine, 26. 11. 2021 Archivováno 28. listopadu 2021 na Wayback Machine .