Предприятиям приходится постоянно защищаться от постоянно растущего числа кибератак, с которыми они сталкиваются каждый день. Управление информацией о безопасности и событиями (SIEM) - это система безопасности, широко применяемая различными предприятиями для защиты своих сетей от этих кибератак.
Решение SIEM состоит из различных компонентов, которые помогают командам безопасности обнаруживать нарушения данных и вредоносные действия путем постоянного мониторинга и анализа сетевых устройств и событий. В этой статье подробно рассказывается о различных компонентах архитектуры SIEM.
1. Агрегация данных
Этот компонент SIEM-решения отвечает за сбор данных журналов, генерируемых различными источниками в корпоративной сети, такими как серверы, базы данных, приложения, брандмауэры, маршрутизаторы, облачные системы и т. д. Эти журналы, которые содержат запись всех событий, произошедших на конкретном устройстве или приложении, собираются и хранятся в централизованном месте или хранилище данных.
Различные методы сбора журналов SIEM включают в себя:
- Сбор журналов на основе агентов:
В этом методе агент устанавливается на каждое сетевое устройство, которое генерирует журналы. Эти агенты отвечают за сбор журналов с устройств и передачу их на центральный сервер SIEM. Помимо этих обязанностей, они также могут фильтровать данные журналов на уровне устройства на основе заданных параметров, анализировать их и преобразовывать в подходящий формат перед отправкой. Такая настраиваемая техника сбора и пересылки журналов помогает оптимально использовать полосу пропускания.
Метод сбора журналов на основе агентов преимущественно используется в закрытых и защищенных зонах, где связь ограничена. - Безагентный сбор журналов:
Этот метод не предполагает развертывания агентов на каком-либо сетевом устройстве. Вместо этого необходимо внести изменения в конфигурацию устройства, чтобы оно могло отправлять все сгенерированные журналы на центральный сервер SIEM безопасным способом. В таких устройствах, как коммутаторы, маршрутизаторы, брандмауэры и т. д., установка сторонних инструментов для сбора журналов часто не поддерживается, поэтому сбор журнальных данных с помощью агента становится затруднительным. В таких случаях можно использовать технику сбора журналов без агента. Это также снижает нагрузку на сетевое устройство, поскольку нет необходимости в развертывании дополнительного агента. - Сбор журналов на основе API:
В этой технике журналы могут собираться непосредственно с сетевых устройств с помощью интерфейсов прикладного программирования (API). Программное обеспечение для виртуализации предоставляет API, которые позволяют SIEM-решению удаленно собирать журналы с виртуальных машин. Кроме того, когда компании переходят от локального программного обеспечения к облачным решениям, становится сложно напрямую передавать журналы в SIEM, поскольку сервисы не подключены к физической инфраструктуре. В таких случаях облачные SIEM-решения используют API в качестве посредника для сбора и запроса сетевых журналов.
2. Аналитика данных безопасности (отчеты и информационные панели)
Решения SIEM поставляются с компонентом аналитики безопасности, который преимущественно включает в себя живые панели, интуитивно представляющие данные о безопасности в виде графиков и диаграмм. Эти панели обновляются автоматически, помогая команде безопасности быстро выявлять вредоносные действия и решать проблемы безопасности. С помощью этих панелей аналитики безопасности могут обнаружить аномалии, корреляции, закономерности и тенденции, которые могут присутствовать в данных, и получить различные сведения о событиях, происходящих в реальном времени. SIEM-решения также предоставляют пользователям возможность создавать и настраивать свои собственные панели.
Еще одна сторона этого компонента аналитики безопасности - предопределенные отчеты. Часто SIEM-решения поставляются в комплекте с сотнями предопределенных отчетов, которые помогают обеспечить видимость событий безопасности, обнаружить угрозы и облегчить проведение аудита безопасности и соответствия нормативным требованиям. Эти отчеты, которые в основном строятся на основе известных индикаторов компрометации (IoCs), также могут быть настроены в соответствии с внутренними потребностями безопасности.
Большинство SIEM-решений также предоставляют пользователям возможности фильтрации, поиска и детализации отчетов, установки расписания создания отчетов в соответствии с потребностями пользователя, просмотра данных в виде таблиц и графиков, а также экспорта отчетов в различные форматы.
3. Корреляция и мониторинг событий безопасности
Механизм корреляции является одним из наиболее важных компонентов решения SIEM. Используя предопределенные или определенные пользователем правила корреляции, собранные данные журналов анализируются на предмет наличия взаимосвязей между различными сетевыми действиями, общих атрибутов или закономерностей, которые могут присутствовать. Системы корреляции способны объединять различные инциденты безопасности для получения целостного представления об атаках безопасности. Они способны обнаружить признаки подозрительной активности, компрометации или потенциального нарушения на ранней стадии в сети, и система SIEM будет генерировать предупреждения о таких действиях.
Пример правила корреляции:
"Если пользователь успешно вошел в систему после нескольких неудачных попыток входа за короткий промежуток времени, подайте сигнал тревоги".
Большинство SIEM-решений поставляются с предопределенными правилами корреляции, построенными на основе IoCs. Однако, поскольку злоумышленники постоянно используют более совершенные методы для взлома системы, правила необходимо регулярно изменять и совершенствовать, иначе они устареют. Построение правил корреляции требует глубокого понимания поведения и тактики злоумышленников.
4. Криминалистический анализ
Этот компонент решения SIEM используется для проведения анализа первопричины и создания отчета об инциденте, в котором содержится подробный анализ попытки атаки или продолжающейся атаки, что помогает предприятиям немедленно принять соответствующие меры по исправлению ситуации.
Несмотря на наличие лучших защитных механизмов, предприятие не всегда может предотвратить все кибератаки. Однако предприятие может провести криминалистический анализ, чтобы восстановить картину преступления и установить первопричину взлома. Поскольку данные журнала содержат запись всех событий, произошедших на конкретном устройстве или приложении, их можно проанализировать на предмет следов, оставленных злоумышленниками.
Системы SIEM помогают команде безопасности просматривать журналы, генерировать криминалистические отчеты и выявлять время, когда произошло конкретное нарушение безопасности, системы и данные, которые были скомпрометированы, хакеров, стоящих за злонамеренной деятельностью, а также точку проникновения.
Этот компонент также помогает предприятиям соответствовать определенным нормативным требованиям, например, хранить и архивировать данные журналов в течение длительного времени, а также проводить по ним криминалистические расследования.
5. Обнаружение и реагирование на инциденты
Обнаружение инцидентов
Этот модуль SIEM-решения занимается обнаружением инцидентов безопасности. Под инцидентом безопасности понимается попытка или успешный взлом данных в сети неавторизованной стороной или нарушение политики безопасности организации. Атаки типа "отказ в обслуживании", неправомерное использование данных и ресурсов, несанкционированное повышение привилегий и фишинговые атаки - вот некоторые распространенные примеры инцидентов безопасности. Эти инциденты необходимо выявлять и анализировать, а также предпринимать соответствующие действия для решения проблемы безопасности, обеспечивая при этом непрерывность бизнес-операций. Во время обнаружения инцидентов организации стремятся к тому, чтобы среднее время обнаружения (MTTD) было как можно меньше, чтобы уменьшить ущерб, нанесенный злоумышленниками.
Обнаружение инцидентов может осуществляться с помощью следующих методов:
- корреляция событий
- анализ угроз
- Анализ поведения пользователей и объектов (UEBA)
Реагирование на инцидент
Этот модуль SIEM-решения отвечает за корректирующие действия, которые предпринимаются для устранения инцидентов безопасности после их обнаружения. Поскольку предприятия ежедневно сталкиваются с тоннами проблем безопасности, а злоумышленники применяют все более изощренные методы, реагирование на инциденты становится сложной задачей. Сокращение среднего времени устранения инцидента (MTTR) является одним из основных приоритетов для каждого предприятия.
Некоторые методы реагирования на инциденты включают:
- автоматизация реагирования на инциденты с помощью рабочих процессов
- Проведение судебной экспертизы
6. Реагирование на события в режиме реального времени или консоль оповещения
Решения SIEM осуществляют сбор и корреляцию журналов в режиме реального времени; при обнаружении любой подозрительной активности мгновенно поднимается тревога, и группа реагирования на инциденты немедленно принимает меры для смягчения последствий атаки или ее предотвращения.
Уведомления о тревоге могут также отправляться по электронной почте или SMS в режиме реального времени и могут быть распределены по категориям на основе присвоенных им приоритетов: высокий, средний или низкий. Инцидентам безопасности можно назначать рабочие процессы, поэтому при возникновении тревоги соответствующий рабочий процесс будет выполняться автоматически.
7. Разведка угроз (Threat intelligence)
Анализ угроз предоставляет контекстную информацию, необходимую для выявления различных типов угроз кибербезопасности и принятия соответствующих мер по их предотвращению, устранению или смягчению. Понимая источник атаки, ее мотивы, стратегии и методы, использованные для ее осуществления, а также признаки компрометации, организации могут лучше понять угрозу, оценить риски и принять обоснованные решения.
Чтобы добавить контекстную информацию, компании могут либо получать данные об угрозах от сторонних поставщиков, либо составлять и использовать открытые источники данных об угрозах, доступные в формате STIX/TAXII. Тип угрозы может быть определен немедленно, и может быть начато устранение последствий, что сокращает MTTR.
Этот компонент также помогает администраторам безопасности осуществлять поиск угроз - процесс активного поиска по всей сети любых угроз или IOC, которые могут ускользать от системы безопасности.
8. Аналитика поведения пользователей и объектов (UEBA)
Этот компонент помогает в обнаружении инцидентов безопасности. Поскольку злоумышленники постоянно разрабатывают новые методы взлома сетей, традиционные системы безопасности быстро устаревают. Однако организации могут защитить себя от любого типа киберугроз с помощью методов машинного обучения.
Компоненты UEBA используют методы машинного обучения для разработки модели поведения, основанной на нормальном поведении пользователей и машин на предприятии. Эта модель поведения разрабатывается для каждого пользователя и объекта путем обработки большого количества данных, полученных от различных сетевых устройств. Любое событие, отклоняющееся от этой модели поведения, будет рассматриваться как аномалия и подвергаться дальнейшей оценке на предмет потенциальных угроз. Пользователю или организации будет присвоен балл риска; чем выше балл риска, тем больше подозрений. На основе оценки риска проводится оценка риска и предпринимаются меры по исправлению ситуации.
Кто-то может спросить, в чем разница между системой корреляции и UEBA. Если первый представляет собой систему на основе правил, используемую для обнаружения инцидентов и угроз, то второй, как видно из названия, выявляет подозрительные события на основе поведенческого анализа. Чтобы эффективно противостоять атакам, предприятие должно опираться как на традиционный механизм, основанный на правилах, так и на современную поведенческую аналитику.
9. Управление соответствием требованиям ИТ
Когда речь заходит о защите и безопасности данных, обычно от компании ожидается соблюдение требуемых стандартов, правил и рекомендаций, установленных различными регулирующими органами. Эти нормативные требования различны для разных компаний в зависимости от типа отрасли и региона, в котором они работают. Если компания не соблюдает эти требования, к ней будут применены штрафные санкции.
Чтобы обеспечить выполнение организацией всех требований, установленных правительством для защиты конфиденциальных данных, SIEM-решения включают компонент управления соответствием. Для защиты конфиденциальных данных от компрометации также необходимо принимать проактивные меры, такие как использование различных методов выявления аномалий, закономерностей и киберугроз.
Решения SIEM имеют возможность хранить и архивировать данные журналов в течение длительного периода времени, чтобы аудиторы могли проверить журналы аудита. Они также могут генерировать отчеты о соответствии требованиям к примеру ISO 27001 путем сбора и анализа журналов, а также отчеты "из коробки" в соответствии с конкретными требованиями.
Заключение
Все эти компоненты SIEM работают вместе, чтобы помочь команде безопасности, предоставляя информацию о различных видах угроз, шаблонах их атак и вредоносной деятельности, которая может происходить в сети, а также о необходимых действиях, которые следует предпринять для решения любых проблем безопасности.