Архив
Январь Февраль Март
Апрель Май Июнь
Июль Август Сентябрь
Октябрь Ноябрь Декабрь
Тел./факс: +38 (044) 593-37-13
Моб. Тел : +38 067 231 70 37
E-mail: office@infobezpeka.com
НачалоПубликации

Публикации

1 августа 2013

SIEM системы: найти иголку в стогу сена.

ИТ-инфраструктура современного предприятия отличается высокой сложностью и разнообразием. Используемые системы защиты постоянно развиваются и адаптируются к новым видам угроз. При этом число источников, из которых поступают информация по текущему состоянию защищенности, непрерывно растет. Администраторам ИБ все сложнее следить за общей картиной происходящего. А ведь если своевременно не анализировать возникающие угрозы и не пытаться предотвратить их, любая система защиты окажется бесполезной. В этих условиях хорошую услугу окажут системы класса Security Information and Event Management (SIEM).
 
Аббревиатура SIEM означает «Система Сбора и Корреляции Событий». Как можно судить по названию, сами по себе такие системы не способны что-либо предотвращать или защищать. Их задача в другом — анализировать информацию, поступающую от различных систем, таких как антивирусы, DLP, IDS,  маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент. Стоит отметить, что в основе работы SIEM лежат, в основном, статистические и математические технологии, сродни тем, что используются, например, в BI-системах. 
 
В переносном смысле можно сказать, что продукты SIEM предназначены для «поиска иголки в стоге сена». То есть, среди множества записей в системных журналах SIEM-решение обнаруживает следы неких подозрительных действий. 
Кстати, SIEM-система не только автоматизирует анализ различных системных событий. Немаловажно, что с ее помощью можно выявить действия, которые внешне выглядят вполне безобидными, но в совокупности представляют угрозу. Например, если доверенный пользователь отправляет конфиденциальные данные на email-адрес, который лежит вне обычного круга адресатов, то DLP-система не всегда отлавливает такие действия, однако SIEM сгенерирует инцидент на базе накопленной статистики.

Спектр применения SIEM
 
Диапазон задач, которые способна решить SIEM-система, действительно очень широкий. Во-первых, о чем уже упоминалось ранее, это автоматизация мониторинга и анализа всех событий, которые происходят в многочисленных системах защиты. Вторая важная задача, целей, ради которой используются SIEM-технологии: в случае инцидента SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Третье важное предназначение — SIEM помогает проводить аудиты на соответствие различным отраслевым стандартам. 
 
Стоит отметить, что SIEM можно назвать инструментом не только отдела ИБ, но и ИТ-департамента в целом. Ведь благодаря мощным корреляционным механизмам появляется возможность обеспечивать непрерывность работы IТ-сервисов, выявлять сбои в работе информационных и операционных систем, а также аппаратного обеспечения. Тем самым, можно обеспечить непрерывность бизнеса в целом. Простой пример, актуальный для большинства корпоративных сетей: конфликт IP-адресов. За счет простейшего правила можно узнать об инциденте задолго до звонка пользователя. При этом устранение причины требует гораздо меньше времени, а следовательно, уменьшаются возможные финансовые потери бизнеса.

Кто основной заказчик?
 
На сегодня главным потребителем SIEM-продуктов является финансовый сектор. Причин тому несколько. Во-первых, банки работают с конфиденциальной информацией, поэтому в случае возникновения инцидентов важно знать, кто и когда допустил утечку, была ли она умышленной или случайной и т. д. Во-вторых, банкам необходимо регулярно проводить аудиты соответствия. В-третьих, внешние аудиторы иногда рассматривают наличие внедренной SIEM-системы как дополнительный плюс.
 
Еще одна категория потребителей — крупные предприятия, в которых ежедневно генерируется множество событий различного свойства, отследить которые просто физически невозможно. Поэтому руководство хочет «держать руку на пульсе», чтобы более оперативно отреагировать на возможные проблемы. 

Откуда SIEM черпает информацию? 
 
Большее число источников данных означает более полный и тщательный охват всех событий, регистрируемых в ИТ-инфраструктуре предприятия. Для выполнения своей задачи современные SIEM-системы используют следующие источники информации:
 
Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.
 
DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа.
 
IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
 
Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
 
Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
 
Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем. 
 
Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика.
 
Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, ПО, уязвимостей, поставка инвентаризационных данных и топологической структуры.
 
Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых.
 
Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.
 Компоненты SIEM-систем
 
Для сбора данных SIEM-системы используют несколько различных компонентов. Среди них: агенты, устанавливаемые на инспектируемую информационную систему; коллекторы на агентах, которые предназначены для «понимания» конкретного журнала событий или системы; серверы-коллекторы, предварительно аккумулирующие события от множества источников; сервер баз данных и хранилища, отвечающий за хранение журналов событий.
 
SIEM - new generation 
SIEM-системы нового поколения могут получать данные из большего числа источников. 
 
Кроме того, данные о событиях собираются не только с помощью установленных на источниках агентах, но и удаленно — при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP. Однако в этом случае возникает значительная нагрузка на сеть и сам источник, поскольку некоторые системы не могут передать только ту часть журнала событий, который еще не был передан, а отправляют в сторону SIEM весь лог, нередко составляющий сотни мегабайт. 
 
 
Основные тренды рынка
 
Согласно отчету аналитического агентства Frost & Sullivan за 2011 год, мировой рынок SIEM-решений с 2009 по 2015 год возрастет практически вдвое. Аналитики уверены, что SIEM-системы все более становятся значимыми ИТ-инструментами современных предприятий. В немалой степени на их популярность влияют такие важные ИТ-тренды как консолидация и виртуализация. Ведь SIEM позволяют централизировать хранение информации о событиях, происходящих в ИТ-инфраструктуре.
 
Рост рынка привел к его частичному переформатированию, вызванному множеством громких слияний. В 2010 году компания HP объявила о приобретении Arcsight, инвестируя значительные ресурсы в продукты этого вендора. На смену устаревшей линейке IBM Tivoli пришел продукт Q1 Radar. McAfee в 2011 году поглотила Nitro Security и усилила свои SIEM-продуктов функционалом SEM. Производитель Tibco приобрел Loglogic, внеся в функционал SIEM новые аналитические возможности.
 
На сегодня лидерами рынка являются HP с линейкой продуктов ArcSight, IBM Q1 Radar, Symantec с продуктом Security Information Manager, McAfee Nitro и RSA Envision.  На других производителей, включая Tibco Loglogic и Splunk, приходится доля всего в несколько процентов.
Gartner Quadrant
Магический квадрант Gartner в сегменте SIEM-систем. 2012 год.  
 
Необходимо отметить, что долгое время SIEM-системы были доступны только для крупных предприятий с внушительным ИТ-бюджетом. Однако в последние годы появились «коробочные» SIEM-системы класса all-in-one. В подобных решениях механизмы сбора, хранения, поиска, нормализации и корреляции информации реализованы в рамках одного цельного продукта. Такие продукты как HP ArcSight express, Tibco Loglogic MX, McAfee Nitro ESM, QRadar 2100 All-In-One Appliance, предоставляют функциональность SIEM, исходя из потребностей небольших и средних по величине компаний.


Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
SIEM системы: найти иголку в стогу сена.
28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
SIEM системы: найти иголку в стогу сена.
28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
SIEM системы: найти иголку в стогу сена.
30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
SIEM системы: найти иголку в стогу сена.
30 ноября 2013 В отличие от межсетевых экранов, которые функционируют на базе заранее определенных политик, IDS служат для мониторинга и выявления подозрительной активности. Таким образом, IDS можно назвать важным дополнением для инфраструктуры сетевой безопасности. Именно с помощью системы обнаружения вторжений администратор сможет детектировать неавторизованный доступ (вторжение или сетевую атаку) в компьютерную систему или сеть, и предпринять шаги по предотвращению атаки.
SIEM системы: найти иголку в стогу сена.
Blue Coat  | SnapGear  | Sidewinder G2  | GFI languard, webmonitor  | Фильтрация Web трафика  | Zdisk  | StrongDisk  | DriveCrypt  | защита файлов PGP  | Защита папок Zserver  | Zbackup  | Zlock  | LanAgent  | PGP Desktop Email  | электронный ключ iKey (электронные ключи)  | Шифрование жесткого диска  | Смарт-карт считыватели (ридеры)  | WatchGuard Firebox firewall  | смарт-карты  | McAfee  | Защита информации (информационная безопасность)  | Цена(купить)  | Захист інформації  | SIEM