-
НГТУ, NVision Group
стажер-инженер
УДК 004.056.53
Традиционно под Security operation center (SOC) понимается некая система, построенная на базе продуктов класса SIEM (Security Information and Event Management), предназначенных для сбора и хранения лог-файлов устройств и приложений с целью их анализа и выявления инцидентов. Потребность в таких решениях возникла с усложнением ИТ-инфраструктуры, когда объем генерируемых ей логов стал превышать разумный предел, а, следовательно, и возможность ручного анализа. Кроме того, применение решений от различных вендоров в информационной архитектуре требует множества отдельных систем мониторинга, и зачастую отслеживание инцидентов ведется в десятках консолей. В итоге назрела необходимость в сборе и хранении лог-файлов в одном месте для их централизованного анализа, корреляции и выявления инцидентов. Результатом стало активное внедрение SOC на базе SIEM-решений. Эволюцию SOC можно представить своеобразным графиком (рис.1), по которому очевидна линейная зависимость функций от сложности систем защиты.
Рис.1 Эволюция SOC
Однако угрозы и атаки с каждым годом становятся все более сложными, сфокусированными и поэтому подобные целенаправленные действия чрезвычайно сложно обнаружить стандартными средствами защиты, такими как антивирусы, IPS. Например, для несанкционированного доступа к ресурсам определенной организации может быть разработан специальный код, отсутствующий в антивирусной базе, или проведена атака, сигнатура которой отсутствует в базе IPS. Чтобы выявить подобные действия, нужен максимально возможный объем данных для анализа. И в идеальном варианте следует анализировать не только логи, но и весь трафик с целью выявления аномальной активности и определения степени ущерба, причиненного компании. Т.е., для получения достоверной картины происходящего в сети теперь уже недостаточно одних только лог-файлов с устройств и приложений.
SIEM решения должны развиваться с опережением потребностей рынка, чтобы оставаться на лидирующих позициях и быть востребованными. В настоящее время классическое SIEM решение, сочетающие в себе только инструменты по работе с журналами событий, поступающих от компонентов ИТ-инфраструктуры (сбор, хранение, корреляция, проверка на соответствие требованиям, уведомление), является «устаревшим» и не может удовлетворить всех потребностей зрелой компании. При этом сами потребности рынка ИБ постоянно растут, процессы защиты информации требуют новых механизмов и технологий, которые способны выявлять, предотвращать и разрешать все более и более сложные инциденты ИБ. Рост данных потребностей, в первую очередь, обусловлен внешними факторами, а именно: резким увеличением количества методов реализации угроз ИБ, в том числе появлением «постоянных угроз повышенной сложности» (Advanced Persistent Threat), формированием рынка купли-продажи «уязвимостей нулевого дня» (0 days), а также популяризацией «Хактивизма» (Hacktivism) и активизацией правительств различных стран в области кибервойн. В складывающихся условиях выявить не санкционированную и/или злонамеренную активность по отдельным признакам становится практически невозможно, т.к. она очень качественно «завуалирована» под санкционированную или легальную деятельность. Это же подтверждается институтом SANS, в рамках восьмого ежегодного исследования «Log and Event Management Survey» (2012 г.): «Организации, занимающиеся лог-менеджментом, не способны отделить обычные или штатные данные от действительно важных или подозрительных, на которые следует обращать внимание».
Не упрощает ситуацию и непрерывный рост объема данных, обрабатываемых в информационных системах и циркулирующих в корпоративных сетях; увеличение количества событий, генерируемых компонентами ИТ-инфраструктуры, и уровень их детализации. В связи с этим ИБ и специалистам требуется комплексный ретроспективный анализ больших объемов данных, учитывающий поведенческий характер пользователей и различных процессов, проходящих в информационных системах и сети, для выявления аномалий и локализации проблем (NetworkBehavior & AnomalyDetection). А для этого необходимы высокопроизводительные и масштабируемые решения, интернирующиеся с большими хранилищами. При этом используемые «классическими» SIEM решениями технологии и механизмы остались на уровне 2000-х годов.
В настоящее время само понятие SIEM стало гораздо шире. Сейчас от SIEM решений требуются новые функции и механизмы, способные более быстро и точно (качественно) выявлять и предотвращать инциденты ИБ, при этом, не ограничиваясь анализом данных только из журналов событий. По сути, SIEM решения нового поколения становится «интеллектуальной платформой обеспечения информационной безопасности» (SecurityIntelligencePlatform). SIEM решение нового поколения тяготеет к тому, чтобы сочетать в себе «традиционный» SIEM, а также функции анализа сетевого трафика и управления рисками. По существу, такой «комбайн» уже выходит за рамки классического определения SIEM решения.
Некоторые SIEM решения способны записывать все сетевые соединения и переданные в них данные для последующего корреляционного анализа. Таким образом, к функциям SIEM решения нового поколения добавляются сетевая безопасность и управление большими объемами данных. Возросший объем обрабатываемых в процессе работы SIEM решений данных заставил разработчиков полностью отказаться от использования в качестве хранилищ собранных данных реляционных СУБД в пользу нереляционных решений, что позволило получить прирост скорости выполнения обращений к данным, а также в разы сократить объемы дискового пространства, требуемого для хранения данных. Также эта тенденция «заставила» вендоров вспомнить и о технологии Big Data. Первым SIEM решением, шагнувшим в сторону технологии Big Data, стало RSA Security Analytics.
Одной из черт SIEM решения нового поколения может стать «подъем» с сетевого уровня модели OSI, т.е. переход от «мышления» в терминологии IP адресов к «пользовательскому» уровню. При этом в анализе событий на первое место выходят не узлы сети, а пользовательские учетные данные, от имени которых совершаются действия. Такой подход уже демонстрируется отдельными вендорами, в частности, HP ArcSight. В табл. 1 приведен краткий сравнительный анализ современных SIEM-решений.
Таблица 1
Параметр |
RSA SecurityAnalytics |
IBM QRadar |
HP ArcSight |
McAfee ESM |
Функции классического SIEM-решения |
Да |
Да |
Да |
Да |
Работа с сетевыми потоками (NetFlow и др.) |
Да |
Да |
Да |
Да |
Технология Big Data |
Да |
Да (в связке с IBM InfoSphere Big Insights) |
Да (в связке с HP Autonomy IDOL) |
Да |
Реализация риск-ориентированного подхода (Risk-based) |
Да (отдельный модуль) |
Да (отдельный модуль) |
Да |
Да (отдельный модуль) |
Функции DPI/DLP/IPS или схожие |
Да |
Да (отдельный модуль) |
Да (отдельный модуль) |
Да (отдельный модуль) |
Как видно из таблицы, все лидирующие SIEM-решения способны решать примерно схожие задачи, что позволяет судить об общности тенденций развития SIEM. Выделить явного лидера на данный момент достаточно сложно, выбор для конечного заказчика будет зависеть исключительно от ИТ-инфраструктуры заказчика, целей внедрения SIEM и бюджета.
SIEM-решение нового поколения это не просто платформа, на которой необходимо произвести тысячи манипуляций, чтобы добиться видимого результата, он становится продуктом, который имеет предустановленные корреляционные правила и репутационные оценки, а также обновляет их на постоянной основе, опираясь на результаты работы различных центров компетенции и/или сообществ. По мере поступления событий и сетевого трафика с компонентов ИТ-инфраструктуры происходит обучение и адаптация SIEM под конкретную ИТ-инфраструктуру.
SIEM-решения нового поколения отличает хорошая масштабируемость. Все решения имеют гибкие модели внедрений и состоят из модулей (компонентов), которые позволяют начать с небольшого участка сети и/или не полного функционала, а в последующем вырасти до масштаба Enterprise. Такая модель хорошо зарекомендовала себя в классических SIEM решениях и является выгодной как для компаний заказчиков, так и для вендоров.
Несмотря на обозначившиеся тенденции развития в области SIEM-решений, SOC, построенный на традиционных SIEM-системах, продолжает оставаться эффективным средством обнаружения аномалий по конкретным правилам, установленным сотрудниками службы информационной безопасности. Однако отдавая дань современным требованиям, на смену им уже сегодня начинают появляться новые поколения SIEM-решений, оперирующие со значительно большими объемами информации, что позволяет аналитикам найти угрозы и аномалии, о которых они даже не подозревали. Таким образом, обеспечивается осведомленность и поддержка в принятии решений, необходимые для нейтрализации современных угроз.
Рецензии:
3.02.2014, 21:46 Назарова Ольга Петровна
Рецензия: Рекомендуется к печати.
Комментарии пользователей:
Оставить комментарий