Система обработки событий безопасности

HP ArcSight – эффективный инструмент для мониторинга событий информационной безопасности

Виктор Сердюк, кандидат технических наук, CISSP,
Генеральный директор ЗАО «ДиалогНаука»

Журнал «InformationSecurity. Информационная безопасность» №1, 2013
www.itsec.ru

На сегодняшний день все больше компаний сталкивается с необходимостью обработки журналов событий, которые регистрируются в информационных системах, с целью выявления возможных атак. При этом даже в небольшой компании в журналах аудита может регистрироваться до нескольких десятков событий в секунду, что делает их анализ в ручном режиме длительным и крайне неэффективным. Для того, чтобы автоматизировать процесс сбора и анализа информации о событиях информационной безопасности могут использоваться специализированные системы мониторинга.

Понятие системы мониторинга информационной безопасности

Система мониторинга событий информационной безопасности (СМИБ) предназначена для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. В качестве таких источников могут выступать средства защиты информации, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др. СМИБ включает в себя следующие компоненты:

• программно-техническая часть – реализуется на основе продуктов по мониторингу событий безопасности класса SIEM (Security Information and Event Management);
• документационная часть — включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности;
• кадровая составляющая — подразумевает выделение сотрудников, ответственных за работу с СМИБ.

Программно-техническая часть СМИБ включает следующие компоненты:

• агенты мониторинга, предназначенные для сбора информации, поступающей от различных источников событий, включающих в себя средства защиты, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др.;
• сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;
• хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;
• консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Типовая структура системы мониторинга информационной безопасности отображена на рисунке.

Нажмите на картинку, чтобы ее увеличить

Структура системы мониторинга информационной безопасности

Документационная часть СМИБ предполагает разработку пакета нормативных документов по управлению инцидентами безопасности. Как правило, для этого формируется политика управления инцидентами ИБ, которая определяет классификацию инцидентов, общий порядок реагирования, ответственность за реализацию данного документа и др. На основе данной политики для каждого из видов инцидентов безопасности разрабатывается отдельный регламент, описывающий детальный порядок реагирования на различные виды инцидентов.

Кадровая составляющая СМИБ предполагает выделение различных ролей, ответственных за сопровождение центра. Как правило, выделяют следующие роли в составе СМИБ:

• системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения СМИБ;
• администратор безопасности, обеспечивающий управление настройку параметров функционирования СМИБ;
• оператор, выполняющий задачи просмотра результатов работы СМИБ и реализации базовых функций реагирования на типовые инциденты;
• аналитик, обеспечивающий анализ и реагирования на сложные виды инцидентов.

Основные этапы создания СМИБ

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие основные этапы:

• обследование автоматизированной системы. В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга информационной безопасности.
• разработка технического проекта, в котором описывается конфигурация оборудования и программного обеспечения, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;
• обучение сотрудников, которые будут отвечать за эксплуатацию системы мониторинга информационной безопасности;
• создание пилотного района для тестового внедрения системы мониторинга информационной безопасности. Если объектом мониторинга является территориально-распределённая система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте.
• промышленное внедрение системы мониторинга. Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;
• техническое сопровождение системы мониторинга информационной безопасности.

Как правило, на этапе создания СМИБ подразделение информационной безопасности старается подключить систему мониторинга к наибольшему количеству источников и получить от них максимальный объем информации. Однако необходимо принимать во внимание тот факт, что если включить все возможные режимы аудита, то это может привести к значительному увеличению нагрузки на серверы, с которых получается информация, и, как следствие, нарушению их работоспособности. Именно поэтому одной из задач на этапе обследования является поиск компромисса между желанием подразделения ИБ получать и обрабатывать максимальный объем информации и реальной возможностью подразделения ИТ предоставить данную информацию.

Еще одной важной задачей, которая должна решаться в процессе внедрения, является определение тех инцидентов, которые будут выявляться в процессе работы СМИБ. Для этого выполняются следующие действия:

• определение типов основных инцидентов ИБ;
• определение списка событий, которые ведут к инциденту ИБ;
• определение источника инцидента ИБ;
• определение и приоритезация рисков, связанных с инцидентами ИБ.

В настоящее время наибольшее распространение в России получило решение ArcSight компании Hewlett Packard.

Возможности HP ArcSight

Система мониторинга и корреляции событий HP ArcSight позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к инцидентам информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, которая хранится и обрабатывается в системе мониторинга информационной безопасности. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах встроенной экспертной системы. И, наконец, ArcSight выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

ArcSight позволяет администраторам безопасности сфокусироваться на реальных угрозах безопасности, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Информационные ресурсы интегрируются в систему мониторинга в качестве источников сообщений о событиях информационной безопасности с помощью так называемых коннекторов (агентов).

Для визуализации результатов работы системы используется консоль администратора, которая в реальном режиме времени позволяет проводить разделение событий по категориям, корреляцию событий, как по ресурсам, так и по злоумышленникам, а также осуществлять подробный анализ. С помощью карты нарушений безопасности можно получить представление об отклонениях в параметрах безопасности. Кроме того, консоль снабжена интуитивно понятным инструментальным интерфейсом и предоставляет непревзойденные возможности для подготовки табличных и графических отчетов о безопасности.

ArcSight позволяет осуществлять мониторинг информационной безопасности всех необходимых ресурсов в режиме реального времени, получая информацию как на уровне средств защиты, так и на уровне сетевых ресурсов, приложений и баз данных, что позволяет построить комплексную систему мониторинга и управления событиями информационной безопасности.

Еще одной особенностью системы ArcSight является возможность реализации процесса управления инцидентами информационной безопасности строго в соответствии с стандартом PCI DSS.

Заключение

На сегодняшний день всё больше и больше компаний приходят к пониманию того, что использование СМИБ позволяет значительно повысить эффективность процесса управления инцидентами информационной безопасности. Это обеспечивается за счет автоматизации процесса сбора и анализа информации, которая регистрируется в автоматизированной системе компании. При этом внедрение СМИБ также позволяет значительно повысить эффективность уже установленных в организации средств защиты и получить инструмент для оценки эффективности работы подразделения информационной безопасности.

Мониторинг информационной безопасности – решение ЗАО «ДиалогНаука»

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг в сфере мониторинга информационной безопасности на базе системы мониторинга информационной безопасности и корреляции событий информационной безопасности HP ArcSight. В случае появления вопросов или интереса к описанному решению по мониторингу информационной безопасности, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи на странице «Контакты».

Методы и средства, применяемые в SIEM-системах при мониторинге информационной безопасности. Введение. Часть 1

Наша очередная серия статей будет посвящена подробному рассмотрению технических и организационных принципов, методов и решений, применяемых при организации мониторинга компьютерных атак и инцидентов информационной безопасности (ИБ) с помощью SIEM-систем. Мы заглянем «под капот» и подробно рассмотрим технологии, применяемые в современных SIEM-системах. В заключительной части нашей серии постов мы постараемся провести объективный сравнительный анализ наиболее популярных SIEM-систем насколько это возможно сделать, являясь производителем платформы мониторинга информационной безопасности Visor.

Два принципиальных решения
Мониторинг ИБ можно выполнять с помощью:

• Технических решений
• Организационных решений

Технические решения – технологии обработки данных, реализованные в виде программных или программно-аппаратных комплексов с функционалом для выявления и реагирования на значимые события и инциденты.

Технические решения мониторинга ИБ представляют собой набор средств для сбора сведений об элементах/подсистемах ИБ, узлах ИТ-систем, а также средств воздействия на их поведение. Сбор сведений и воздействие на элементы осуществляется с целью обеспечения требуемого уровня функционирования узлов и подсистемы ИБ, представляя собой систему поддержки принятия решений по управлению состоянием ИБ.

На текущий момент особую распространенность имеют следующие два вида технических решений, применяемых в части ИБ:

• Системы мониторинга производительности и доступности;
• Системы управления событиями и инцидентами информационной безопасности (англ. SIEM – Security Information Event Management).

Организационные решения – это организация рабочих процессов взаимодействия людей, направленных на обеспечение требуемого уровня мониторинга ИТ-систем и подсистем ИБ. Современные тенденции заключаются в создании:

• Групп реагирования на инциденты, состоящих из экспертов различного уровня
• Операционных центров безопасности (от англ. SOC – Security Operations Center) или корпоративных/ведомственных Центров ГосСОПКА в Российской Федерации

Суть данных решений заключается в использовании определенных стандартов и методологий, регламентирующих последовательность действий, выполняемых людьми для выявления и реакции на значимые события и инциденты.

Практика показывает, что только совокупное применение технических и организационных решений позволяет достигнуть высокого качества мониторинга. Оба вида решений требуют отдельного рассмотрения.

Технические решения мониторинга информационной безопасности

Системы мониторинга производительности и доступности

Обеспечение доступности объекта защиты является неотъемлемой частью обеспечения ИБ, поэтому системы мониторинга производительности и доступности являются обязательным инструментом при осуществлении мониторинга ИБ в ИТ-системах.

Системы мониторинга производительности могут использоваться как отдельно, так и являться одним из источников событий для системы управления событиями (SIEM). Такие системы предназначены для отслеживания состояния функционирования разнообразных сервисов сети и ее узлов (серверов, сетевого оборудования, приложений и других), в том числе подсистем ИБ, на основе различных критериев производительности и доступности.

Вот решения по мониторингу производительности и доступности, имеющие наиболее широкий функционал и распространение по применению в мире:

В выше представленных решениях применяются следующие основные методы контроля функционирования с точки зрения обеспечения доступности систем:

• сбор и агрегация разнообразных данных, показателей и счетчиков об использовании аппаратных ресурсов системы, как правило посредством устанавливаемых агентов на контролируемых узлах или с использованием протокола SNMP (уровень потребления CPU, память, жестких дисков, сетевых адаптеров и других данных);
• анализ и корреляция собранных данных для определения или упреждения достижения пороговых значений показателей производительности и доступности с целью реагирования или предотвращения нештатных ситуаций функционирования систем;
• автоматизированное выполнение заранее запрограммированных тестов, выполняющих проверку функционирования различных параметров сервисов по заданному сценарию. Успешное выполнение таких тестовых сценариев позволяет подтверждать доступность сервисов и систем на различных уровнях;
• автоматизированное реагирование системы в виде выполнения заданных скриптов, программ или задач при выявлении значимых отклонений показателей на этапе корреляции;
• генерации оповещений (уведомлений) о выявленных отклонениях в производительности и доступности систем. Оповещение может, как выводиться на экран мониторинга интерфейса системы, так и направлено в различные каналы оповещений: по электронной почте, на GSM-шлюз, в системы обмена мгновенными сообщениями (например, jabber) и другие;
• визуализация собираемых данных в виде диаграмм, помогающих идентифицировать аномалии или значимые отклонения, отличные от стандартного поведения систем. Так же визуализация включает в себя представление данных в виде отчетов;
• хранение собранных данных в базе данных.

Так как целью нашей серии статей является описание методов мониторинга в части информационной безопасности, мы не будем подробно рассматривать данные системы мониторинга.

Решения по мониторингу производительности и доступности, являются неотъемлемой частью полноценной системы мониторинга ИБ. Такие решения должны применяться как для мониторинга ИТ-систем, обеспечивающих работу технологических процессов компании, так и для контроля функционирования подсистем ИБ, обеспечивающих защиту этих ИТ-систем с целью обеспечения доступности обоих.

Системы управления событиями и инцидентами информационной безопасности (SIEM)

Основным техническим решением по обеспечению контроля функционирования в части ИБ являются системы управления событиями и инцидентами ИБ. Общепринятое названия для данных систем – SIEM-системы (от англ. Security information and event management). Такие системы предназначены для анализа информации, поступающей от различных подсистем ИБ (управления доступом, антивирусной защиты, защиты межсетевого взаимодействия, анализа защищенности, систем обнаружения/предотвращения вторжений, контроля целостности и другие) и выявления отклонений состояния ИБ по различным критериям. В случае выявления отклонения в состоянии ИБ в системе управления событиями создается инцидент/уведомление, и оповещаются заинтересованные лица.

Системы управления событиями и инцидентами ИБ являются инструментом централизованного просмотра и обработки информации, регистрируемой на большом количестве источников за счет графического представления, фильтрации и группировки данных. Выявление отклонений позволяет своевременно и в автоматизированном режиме выявлять угрозы ИБ или предпосылки к их возникновению с учетом совокупности регистрируемых событий и собираемых данных.

События и данные, хранимые в базе данных, необходимы для проведения расследований инцидентов ИБ.

Статистический анализ данных в таких системах позволяет выявить тенденции нарушений ИБ, а также изменений состояния подсистем ИБ и ИБ инфраструктуры в целом.

Решения, имеющие наиболее широкий функционал и распространение в мире:

Ниже мы детально рассмотрим методы и средства, применяемые в выше представленных решениях, а также общих подход по корректному использованию таких систем.

Общий подход к использованию систем управления событиями и инцидентами информационной безопасности
В мировой практике установлено, что большинство проектов по внедрению систем управления событиями и инцидентами заканчиваются безуспешно и не приводят к качественной организации мониторинга инцидентов информационной безопасности.

Основными ошибками и проблемами при внедрении и использовании таких систем являются:

1. Нечеткое определение перечня контролируемых ИТ-систем.
2. Отсутствие ранжирования уровня важности защищаемых узлов с точки зрения обеспечения функционирования технологических процессов организации.
3. Нечеткое определение перечня источников событий. Отсутствие необходимых данных в системе управления событиями и инцидентами не позволяет выявлять потенциальные значимые события и создавать полноценную «картину» функционирования защищаемой ИТ-системы.
4. Отсутствие понимания штатного, нормального функционирования защищаемых узлов.
5. Отсутствие понимания и установленной типовой конфигурации различных параметров защищаемых узлов.
6. Отсутствие слаженного и регламентированного взаимодействия людей в процессе выявления и реагирования на значимые события и инциденты, включая отсутствие создания комфортных условий для этого.

Ниже приведены основные этапы, выполнение которых позволит успешно внедрить и использовать системы управления событиями информационной безопасности.

1. Определение модели угроз и политик безопасности для ИТ-систем организации. В случае отсутствия таких базовых вещей, у команды мониторинга не будет четкого понимания, что является инцидентом ИБ, что важно, а что второстепенно.
2. Определение перечня и ранжирование по важности (с точки зрения технологических процессов компании) защищаемых ИТ-систем и источников событий.
3. Настройка на источниках временных меток, оставляемых на событиях. Время, проставляемое на событиях должно соответствовать действительности.
4. Организация хранения всех событий в едином месте, предоставляющем возможность работы с ними.
5. Определение штатного функционирования и конфигурации защищаемых узлов.
6. Определение и дальнейшая фильтрация событий, не несущих смысл, представляющих собой информационный «шум».
7. Определение значимых событий и инцидентов, которые отражают необычное поведение контролируемой среды (внесение изменений в конфигурации, ошибки работы, изменение статусов работы, события о доступах к данным и выполнении действий с привилегированными правами и другие).
8. При выявлении инцидентов, выполнять первичный анализ событий в прошлом и на текущий момент, воссоздать последовательность событий, повлекших инцидент.
9. Провести дополнительный анализ событий в других доступных журналах событий, по каким-либо причинам, не собранным в единое хранилище, для воссоздания полной «картины» инцидента.
10. Сделать теоретические предположения о причинах инцидента. Выполнить глубокий детальный анализ всех доступных событий для их подтверждения или опровержения.
11. Разработать и утвердить порядок действий группы реагирования при обнаружении различных типов инцидентов.
12. Выполнять ретроспективный анализ расследованных инцидентов. Определить действия для минимизации вероятности повторения в будущем для каждого инцидента.

Применение технических решений для обеспечения мониторинга ИТ-систем является лишь необходимым условием. Достаточным условием для создания качественного процесса функционирования ИТ-систем является применение организационных решений.

Методы и средства, применяемые в системах управления событиями информационной безопасности
Применяемые методы и средства в системах управления событиями ИБ можно разделить по функциональности на следующие основные группы:

• Сбор и агрегация
• Анализ и корреляция
• Оповещение
• Визуализация
• Хранение
• Экспертный анализ и поиск
• Вспомогательные методы и средства

Ниже в таблице перечислены наиболее распространенные методы и средства и их краткое описание.

Системы мониторинга событий безопасности

Системы сбора и анализа событий по информационной безопасности

Выбор средств защиты

Поиск

Подкатегории

Мнение

Описание и назначение

Мониторинга событий информационной безопасности — это процесс проверки всех событий безопасности, получаемых от различных источников. Источниками событий могут быть антивирусные системы, журналы операционных систем, сканеры анализа защищенности инфраструктуры, сетевое оборудование и другие источники, расположенные в инфраструктуре организации.

Системы мониторинга событий можно разделить на следующие категории:

• SIEM — системы для управления событиями, полученными из различных источников, позволяющие анализировать события в режиме реального времени.
• UBA — системы, осуществляющие сбор и анализ действий пользователей для поиска возможных внутренних угроз и атак.
• UEBA — системы с функцией поиска аномалий в поведении сотрудников и различных систем.
• Системы контроля эффективности сотрудников, позволяющие анализировать действия пользователей на рабочем месте и контролировать их действия при работе с конфиденциальной информацией.
• Системы поиска и обнаружения атак, которые направлены на повышение уровня защищенности инфраструктуры организации.

Системы мониторинга событий позволяют проводить инвентаризацию ресурсов автоматизированными средствами, анализировать сетевые приложения, оборудование и веб-сервисы, сокращать затраты на проведение аудита, автоматизировать процесс управления уязвимостями и обеспечивать контроль соответствия политикам информационной безопасности, принятым в организации.

Системы мониторинга событий, как правило, состоят из четырех компонентов:

• Программные агенты. Такие агенты необходимы для обеспечения сбора информации, которая поступает от источников (программное обеспечение, средства защиты информации, аппаратные компоненты инфраструктуры).
• Сервер. Этот модуль позволяет выполнять обработку событий безопасности централизованно. Сервер аккумулирует информацию, которая поступает от программных агентов, и обрабатывает поступающие события на основе политик и правил, которые были настроены администраторами безопасности компании.
• Хранилище данных. Все события безопасности, которые поступают от агентов, передаются на хранение в хранилище данных. У администратора безопасности всегда есть возможность обратиться к событиям, которые были зарегистрированы в последние несколько недель, месяцев (в зависимости от размеров хранилища данных).
• Консоль управления. Для того чтобы настраивать параметры обработки поступающих событий безопасности, администратору безопасности предоставляется инструмент настройки — консоль централизованного управления. В ней же он может просматривать события информационной безопасности и обращаться к хранилищу данных.

Чтобы корректно настроить мониторинг событий, необходимо определить некоторые параметры и выполнить следующее:

• определить, что считать инцидентом информационной безопасности, и то, какие типы инцидентов могут быть присущи конкретной организации;
• определить, какие события могут предшествовать инциденту информационной безопасности;
• определить, что будет являться источником инцидента информационной безопасности;
• определить, какие риски могут быть связаны с выбранными инцидентами, и выстроить все риски в соответствии с их приоритетом и важностью в организации.

При выборе системы мониторинга событий необходимо учитывать количество источников событий, которые могут обрабатываться системой мониторинга, возможности анализа событий выбранной системы мониторинга, удобство пользования системой мониторинга (возможности консоли управления, детализация параметров настройки системы мониторинга), а также возможности системы мониторинга по визуализации данных и построению отчетов.

Система сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform

Внедрение Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform обеспечивает существенное повышение эффективности процессов системы информационной безопасности и снижение рисков информационной безопасности критически важных корпоративных ресурсов организаций в условиях роста количества и разнообразия угроз для ИТ-инфраструктуры.

Система сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform, разработанная и внедряемая НТЦ «Вулкан», является инструментом поддержки решения таких задач организации-заказчика, как:

• обеспечение единой точки сбора, хранения и анализа информации о событиях ИБ, генерируемых ИТ-инфраструктурой и средствами защиты информации,
• получение «фактуры» для расследования инцидентов, когда требуется обеспечить глубокую ретроспективу лого» (годы, месяцы),
• оперативное выявление аварийных ситуаций и инцидентов ИБ по данным корреляционного анализа событий,
• автоматизация процессов оценки соответствия требованиям (Compliance),
• внедрение/совершенствование процессов управления ИТ на основе ITSM,
• создание центра оперативного управления ИБ (SOC).

Внедрение Системы сбора, анализа и обработки событий безопасности, реализованной на платформе IBM QRadar Security Intelligence Platform позволяет заказчику:

• Обеспечить централизацию сбора информации и накопления статистики инцидентов.
• Осуществлять мониторинг и анализ вредоносного ПО.
• Заблаговременно выявлять предпосылки к авариям и инцидентам.
• Выявлять внутренние угрозы информационной безопасности.
• Расследовать и оперативно реагировать на инциденты информационной безопасности.
• Контролировать и управлять уязвимостями и рисками ИТ-инфраструктуры.
• Обеспечить автоматизацию процедур оценки соответствия требованиям.
• Реализовать проактивный подход к обеспечению информационной безопасности.

При внедрении Системы сбора, анализа и обработки событий безопасности на платформе IBM QRadar Security Intelligence Platform НТЦ «Вулкан» выполняет:

• Анализ ИТ-инфраструктуры и систем ИБ заказчика, выявление потребностей в их контроле.
• Идентификацию источников событий Системы (средства защиты информации, серверы и рабочие станции, ОС, СУБД, приложения, сетевое и периферийное оборудование и т.п.).
• Селекцию событий для обработки, определение технологии доступа.
• Оценку потока событий.
• Документирование требований к Системе, разработку ТЗ.
• Разработку и ввод в действие процедур управления событиями.
• Развертывание программного обеспечения.
• Подключение источников событий к Системе, в том числе – штатно не поддерживаемых платформой.
• Настройку правил корреляции.
• Разработку и кастомизацию информационных панелей и шаблонов отчетов.
• Тестирование Системы и передачу в эксплуатацию.

Согласно Gartner, на сегодняшний день IBM QRadar Security Intelligence Platform одна из самых популярных платформ для создания систем класса SIEM. Используется более чем на 1 600 предприятиях различных отраслей по всему миру.

IBM QRadar Security Intelligence Platform обладает рядом существенных преимуществ в своем классе:

• Штатно поддерживает сбор и анализ данных из различных источников.
• Обеспечивает возможность контроля угроз, логов и соответствия политикам в режиме реального времени.
• Содержит средства эффективного управления данными.
• Поддерживает управления угрозами.
• Включает средства для видимости приложений и обнаружения сетевых аномалий.
• Обеспечивает полную видимость виртуальной среды.
• Позволяет профилировать уязвимости на стороне клиента.
• Позволяет управлять соответствием.
• Обладает гибкими возможностями настройки информационных панелей и отчетов.
• Масштабируема и отказоустойчива.
• Позволяет осуществлять интеграцию и поддержку свыше 200 продуктов сторонних производителей – ведущих вендоров решений в сфере ИБ и ИТ.

Возможности IBM QRadar Security Intelligence Platform по обработке событий:

• Отображение и анализ потока сообщений о событиях в режиме, близком к реальному времени.
• Обработка сетевого трафика на Layer4 (транспортный уровень).
• Обработка сетевого трафика на Layer7 (уровень приложений) с использованием технологии DPI (Deep Packet Inspection).
• Выявление и приоритизация угроз на основе постоянно обновляемых встроенных правил, а также возможность создавать собственные правила на всевозможные сценарии атак и несанкционированных действий.
• Работа с атаками, растянутыми во времени, которые легко могут затеряться в «шуме» миллионов событий.

Отличия IBM QRadar Security Intelligence Platform от прочих платформ:

• Простота и скорость развертывания.
• Интуитивно-понятный интерфейс.
• Простота подключения неподдерживаемых источников событий.
• Возможность приоритизации и добавления дополнительной информации об активах, автоматическое обнаружение активов, управление уязвимостями (встроенный и внешние сканеры уязвимости).
• Оптимизация хранения и индексации метаданных (по умолчанию индексируется только необходимый минимум).
• Широкие возможности для масштабирования, в том числе возможность подключения внешнего хранилища любого производителя.
• Возможность исторической корреляции событий (тестирование правил на уже полученных данных).

Основные бизнес-результаты внедрения Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform для заказчика:

• Оптимизация операционных затрат на ИБ.
• Минимизация рисков ИБ и связанных рисков.
• Обеспечение соответствия требованиям законодательства и нормативных актов в сфере ИБ.

Система обработки событий безопасности

Обеспечение информационной безопасности (ИБ) является важной задачей для различных организаций. Выполнение этой нетривиальной задачи требует значительных финансовых и трудовых затрат. Важно понимать, что эти затраты сделаны впустую, если система защиты информации при этом действует недостаточно быстро и продуктивно. Поэтому в последнее время все актуальнее становится проблема мониторинга событий ИБ (далее – событий), а также обнаружение и обработка возникающих инцидентов ИБ (далее – инцидентов) в минимальные сроки.

Ключевым понятием в рассматриваемой области является «событие информационной безопасности», для которого в современном законодательстве принято следующее определение:

Событие – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [1, 2].

Мониторинг событий производится на основе данных, полученных из различных источников, к которым относятся:

• средства антивирусной защиты;

Количество источников событий возрастает с ростом организации, то есть с ростом числа серверов, автоматизированных рабочих мест, сетевого оборудования и прочих объектов инфраструктуры. Информация из различных источников хранится раздельно, имеет разные форматы, и, как следствие, никак не связана между собой. Для крупных организаций затруднительно обрабатывать достаточно быстро и эффективно такой поток событий ограниченным персоналом подразделения, ответственного за мониторинг. Это проявляется в низкой скорости выполнения анализа событий, его качестве и невыявлении взаимосвязей между событиями, являющихся симптомами инцидента.

Проблемы мониторинга событий негативно влияют на выявление инцидентов.

Инцидент – появление одного или нескольких нежелательных или неожиданных событий, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ [1].

Инцидент – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность [2].

Инцидент – событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:

• нарушение или возможное нарушение работы средств защиты информации в составе СОИБ организации БС РФ;

• нарушение или возможное нарушение требований законодательства РФ, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение или возможное нарушение в выполнении процессов СОИБ организации БС РФ;

• нарушение или возможное нарушение в выполнении банковских технологических процессов организации БС РФ;

• нанесение или возможное нанесение ущерба организации БС РФ и (или) ее клиентам [3].

Определения выше различаются, но все они, так или иначе, указывают на причинение негативных последствий процессу, информационной системе, организации в результате возникновения инцидента. Таким образом, своевременное выявление инцидента минимизирует потери организации.

В условиях децентрализации информации о событиях из многих источников обнаружение инцидента становится сложной и не всегда решаемой задачей. После выявления инцидента необходимо идентифицировать пострадавшие активы, понять причины инцидента, оценить его степень тяжести, приоритет, предпринять меры по реагированию. При выполнении этих операций исполнители зачастую сталкиваются с той же проблемой разрозненности источников информации. Это проявляется в ненадлежащем реагировании или его отсутствии, что влечёт за собой убытки организации.

SIEM-система позволяет избежать указанных выше проблем. Она решает задачи по сбору и хранению информации из различных источников, анализу поступающих событий, их корреляции и обработке по правилам, обнаружению инцидентов, их приоритезации и автоматическому оповещению. Кроме того, SIEM-системы часто имеют возможность проведения проверки на соответствие стандартам.

Типовая структура SIEM-систем:

• агенты – устанавливаются на информационную систему и передают данные с нее на сервер, в состав агентов могут включаться модули для преобразования данных;

• сервер-коллектор – собирает события от множества источников;

• сервер-коррелятор – собирает и обрабатывает информацию от коллекторов и агентов;

• сервер баз данных – хранит журналы событий.

SIEM-система собирает информацию из различных источников с помощью агентов и серверов-коллекторов в централизованное хранилище данных, что позволяет впоследствии анализировать события в целом. Также это позволяет избежать разрозненной и, в подавляющем числе случаев, неконтролируемой конфигурации средств анализа событий. Негативным моментом такого построения системы является возрастание нагрузки на сеть организации.

После сбора информации SIEM-система начинает анализ событий ИБ, требующийся для обнаружения инцидента. Для этого применяются 2 основных метода корреляции: сигнатурный (т.е. на основе правил) и бессигнатурный, определяющий аномальное поведение информационной системы. По результатам анализа SIEM-система показывает выявленные инциденты ИБ.

Для того чтобы SIEM-система эффективно выполняла свои задачи в конкретной организации, требуется правильная конфигурация корреляционных механизмов и постоянная их модификация. Вследствие этого SIEM-системы начинают окупать себя значительно позже ее внедрения, особенно при применении бессигнатурных методов корреляции, которые требуют накопления статистических данных. Настройкой SIEM-системы организации, как правило, занимается эксперт, прошедший специальные курсы и имеющий определённый опыт в этой области.

Кроме основной задачи по мониторингу событий и обнаружению инцидентов на основе данных о критичности активов организации и опасности угрозы SIEM-системы могут приоритезировать инциденты, автоматически оповещать об инциденте, выдавать заранее подготовленные рекомендации по немедленному реагированию на инцидент, хранить данные об инциденте для последующего расследования.

На данный момент на рынке SIEM-систем можно выделить следующие продукты:

• RSA Security Analytic;

Применение SIEM-системы не является обязательным при построении комплексной системы защиты информации и во многих случаях нецелесообразно. Основным заказчиком таких систем являются крупные организации, в которых требуется непрерывный контроль за обеспечением ИБ и журналирование связанных с этим событий.

В заключение хотелось бы отметить, что SIEM-системы – это развивающийся продукт, функциональные возможности которого со временем расширяются.