Опросы

 

Аббревиатура SIEM означает «Система Сбора и Корреляции Событий». Как можно судить по названию, сами по себе такие системы не способны что-либо предотвращать или защищать. Их задача в другом — анализировать информацию, поступающую от различных систем, таких как антивирусы, DLP, IDS,  маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент. Стоит отметить, что в основе работы SIEM лежат, в основном, статистические и математические технологии, сродни тем, что используются, например, в BI-системах. 

 

В переносном смысле можно сказать, что продукты SIEM предназначены для «поиска иголки в стоге сена». То есть, среди множества записей в системных журналах SIEM-решение обнаруживает следы неких подозрительных действий. 

Кстати, SIEM-система не только автоматизирует анализ различных системных событий. Немаловажно, что с ее помощью можно выявить действия, которые внешне выглядят вполне безобидными, но в совокупности представляют угрозу. Например, если доверенный пользователь отправляет конфиденциальные данные на email-адрес, который лежит вне обычного круга адресатов, то DLP-система не всегда отлавливает такие действия, однако SIEM сгенерирует инцидент на базе накопленной статистики.

 

Диапазон задач, которые способна решить SIEM-система, действительно очень широкий. Во-первых, о чем уже упоминалось ранее, это автоматизация мониторинга и анализа всех событий, которые происходят в многочисленных системах защиты. Вторая важная задача, целей, ради которой используются SIEM-технологии: в случае инцидента SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Третье важное предназначение — SIEM помогает проводить аудиты на соответствие различным отраслевым стандартам. 

 

Стоит отметить, что SIEM можно назвать инструментом не только отдела ИБ, но и ИТ-департамента в целом. Ведь благодаря мощным корреляционным механизмам появляется возможность обеспечивать непрерывность работы IТ-сервисов, выявлять сбои в работе информационных и операционных систем, а также аппаратного обеспечения. Тем самым, можно обеспечить непрерывность бизнеса в целом. Простой пример, актуальный для большинства корпоративных сетей: конфликт IP-адресов. За счет простейшего правила можно узнать об инциденте задолго до звонка пользователя. При этом устранение причины требует гораздо меньше времени, а следовательно, уменьшаются возможные финансовые потери бизнеса.

 

На сегодня главным потребителем SIEM-продуктов является финансовый сектор. Причин тому несколько. Во-первых, банки работают с конфиденциальной информацией, поэтому в случае возникновения инцидентов важно знать, кто и когда допустил утечку, была ли она умышленной или случайной и т. д. Во-вторых, банкам необходимо регулярно проводить аудиты соответствия. В-третьих, внешние аудиторы иногда рассматривают наличие внедренной SIEM-системы как дополнительный плюс.

 

Еще одна категория потребителей — крупные предприятия, в которых ежедневно генерируется множество событий различного свойства, отследить которые просто физически невозможно. Поэтому руководство хочет «держать руку на пульсе», чтобы более оперативно отреагировать на возможные проблемы. 

 

Большее число источников данных означает более полный и тщательный охват всех событий, регистрируемых в ИТ-инфраструктуре предприятия. Для выполнения своей задачи современные SIEM-системы используют следующие источники информации:

 

Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.

 

DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа.

 

IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.

 

Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.

 

Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

 

Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем. 

 

Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика.

 

Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, ПО, уязвимостей, поставка инвентаризационных данных и топологической структуры.

 

Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых.

 

Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

 

 

Для сбора данных SIEM-системы используют несколько различных компонентов. Среди них: агенты, устанавливаемые на инспектируемую информационную систему; коллекторы на агентах, которые предназначены для «понимания» конкретного журнала событий или системы; серверы-коллекторы, предварительно аккумулирующие события от множества источников; сервер баз данных и хранилища, отвечающий за хранение журналов событий.

 

 

Кроме того, данные о событиях собираются не только с помощью установленных на источниках агентах, но и удаленно — при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP. Однако в этом случае возникает значительная нагрузка на сеть и сам источник, поскольку некоторые системы не могут передать только ту часть журнала событий, который еще не был передан, а отправляют в сторону SIEM весь лог, нередко составляющий сотни мегабайт. 

 

 

 

Согласно отчету аналитического агентства Frost & Sullivan за 2011 год, мировой рынок SIEM-решений с 2009 по 2015 год возрастет практически вдвое. Аналитики уверены, что SIEM-системы все более становятся значимыми ИТ-инструментами современных предприятий. В немалой степени на их популярность влияют такие важные ИТ-тренды как консолидация и виртуализация. Ведь SIEM позволяют централизировать хранение информации о событиях, происходящих в ИТ-инфраструктуре.

 

Рост рынка привел к его частичному переформатированию, вызванному множеством громких слияний. В 2010 году компания HP объявила о приобретении Arcsight, инвестируя значительные ресурсы в продукты этого вендора. На смену устаревшей линейке IBM Tivoli пришел продукт Q1 Radar. McAfee в 2011 году поглотила Nitro Security и усилила свои SIEM-продуктов функционалом SEM. Производитель Tibco приобрел Loglogic, внеся в функционал SIEM новые аналитические возможности.

 

На сегодня лидерами рынка являются HP с линейкой продуктов ArcSight, IBM Q1 Radar, Symantec с продуктом Security Information Manager, McAfee Nitro и RSA Envision.  На других производителей, включая Tibco Loglogic и Splunk, приходится доля всего в несколько процентов.

 

Необходимо отметить, что долгое время SIEM-системы были доступны только для крупных предприятий с внушительным ИТ-бюджетом. Однако в последние годы появились «коробочные» SIEM-системы класса all-in-one. В подобных решениях механизмы сбора, хранения, поиска, нормализации и корреляции информации реализованы в рамках одного цельного продукта. Такие продукты как HP ArcSight express, Tibco Loglogic MX, McAfee Nitro ESM, QRadar 2100 All-In-One Appliance, предоставляют функциональность SIEM, исходя из потребностей небольших и средних по величине компаний.