Российские SIEM-системы: миф или реальность

Алексей Титов, к.т.н. Руководитель проекта SIEM ЗАО «НПО «Эшелон»

Что такое SIEM

2

Security Information and Event Management (SIEM)

Cистемы управления информацией и событиями в безопасности (СУИСБ)

Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия

Развитие технологии SIEM

3

Технология SIEM = SIM+ SEM

SIM («управление информацией

безопасности»)

сбор, хранение и анализ данных

(взятых из журналов)

подготовка отчетов по

соответствию нормативным требованиям

SEM («управление событиями

безопасности»)

мониторинг событий

безопасности в реальном времени

выявление и реагирование на

инциденты безопасности

Лидеры мирового рынка решений класса

SIEM по мнению Gartner (2015 год)

4

• IBM Security QRadar SIEM;

• HP ArcSight ;

• Splunk Enterprise;

• McAfee NitroSecurity;

• LogRhythm.

Задачи SIEM Пример из практики

5

Аномалия работы маршрутизатора Загрузка процессора 97%0 попыток входа на АРМ Нарушение регламента работы c почтовой системой Повышенный уровень привелегий работы процесса Нарушена доступность системы

6

Традиционное управление АС без SIEM

МЭ

Антивирусы

СОВ/СПВ (IDS/IPS)

СКУД, IAM, МДЗ

DLP

Стационарные АРМ

Мобильные АРМ

Серверы

Виртуальные машины

Коммутаторы, мосты, маршрутизаторы

Точки доступа

Средства защиты информации

Объекты АС

7

Система управления информацией и событиями в области безопасности

МЭ

Антивирусы

СОВ/СПВ (IDS/IPS)

СКУД, IAM, МДЗ

DLP

Стационарные АРМ

Мобильные АРМ

Серверы

Виртуальные машины

Коммутаторы, мосты, маршрутизаторы

Точки доступа

Средства защиты информации

Объекты АС

Источники информации об инцидентах

8

Операционные системы

СУБД Сетевое оборудование

Средства Защиты Информации

Системы Управления Контролем Доступа

и многое другое…

A.12.4 Logging and monitoring

A.16 Information security incident management

A.18 Compliance

A.9.2 User access management

A.9.4 System and application access control

A.8.1.2 Ownership of assets

A.8.2 Information classification

A.8.1.1 Inventory of assets

Нормативная база ISO 27001

9

10

Нормативная база СТО БР ИББС

П. 8.12 Требования к мониторингу информационной безопасности и контролю защитных мер П. 8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности П. 8.15. Требования к анализу функционирования системы обеспечения информационной безопасности

Структура мер по обеспечению защиты

11

I. Идентификация и аутентификация субъектов доступа и объектов доступа

(ИАФ)

II. Управление доступом субъектов доступа к объектам доступа

(УПД)

III. Ограничение программной среды

(ОПС)

IV. Защита машинных носителей информации

(ЗНИ)

V. Регистрация событий безопасности

(РСБ)

VI. Антивирусная защита

(АВЗ)

VII. Обнаружение вторжений

(СОВ)

VIII. Контроль (анализ) защищенности

информации (АНЗ)

IХ. Обеспечение целостности

информационной системы и персональных данных

(ОЦЛ)

X. Обеспечение доступности информации

(ОДТ)

XI. Защита среды виртуализации

(ЗСВ)

XII. Защита технических средств

(ЗТС)

XIII. Защита информационной системы, ее средств, систем связи и

передачи данных

(ЗИС)

XIV. Выявление инцидентов и реагирование на них

(ИНЦ)

XV. Управление конфигурацией

информационной системы и системы защиты

персональных данных

(УКФ)

П 21 ФСТЭК

П 17 ФСТЭК

V. Регистрация событий

безопасности

(РСБ)

XIV. Выявление инцидентов и

реагирование на них

(ИНЦ)

Практическое выполнение мер

12

П21 ПДН П17 ГИС

Мера Содержание мер по обеспечению безопасности информации 4 3 2 1 _4 _3 _2 _1

ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные

носители персональных данных ? ? ? ? ? ? + +

РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + + + + + +

РСБ.2 Определение состава и содержания информации о событиях безопасности,

подлежащих регистрации + + + + + + + +

РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение

установленного времени хранения + + + + + + + +

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные

и программные ошибки, сбои в механизмах сбора информации и достижение предела

или переполнения объема (емкости) памяти

? ? ? ? + + + +

РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и

реагирование на них ? ? + + + + + +

РСБ. 7 Защита информации о событиях безопасности + + + + + + + +

РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных

пользователей в информационной системе - - - - ? ? ? ?

ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом

вычислительных ресурсов (мощностей), в том числе по передаче информации - - - - ? ? + +

ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ? ? + + - - - -

ИНЦ.3

Своевременное информирование лиц, ответственных за выявление инцидентов и

реагирование на них, о возникновении инцидентов в информационной системе

пользователями и администраторами

? ? + + - - - -

ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения

инцидентов, а также оценка их последствий ? ? + + - - - -

ИНЦ. 5 Принятие мер по устранению последствий инцидентов ? ? + + - - - -

РСБ.1 Определение событий безопасности, подлежащих

регистрации, и сроков их хранения + + + + + + + +

Рынок SIEM в России

13

ТУ

• ArcSight ESM

• RSA enVISION

• RSA Security Analytics

• IBM Security Qradar

РД НДВ 4 и ТУ

• McAfee SIEM

• ПАК «Комрад» проходит сертификацию

Сертифицированные ФСТЭК SIEM-системы

Схема уровней внедрения SIEM

14

Инвентаризация

Анализ доступности

Мониторинг параметров

Корреляция событий

Построение схем

Сбор журналов и событий

Протоколы

15

Поддерживаемые протоколы и интерфейсы для передачи информации о событиях:

Syslog and Syslog-ng SNMPv2 and SNMPv3 HTTP, HTTPS SQL WMI FTP, SFTP SSH Rsync Samba

Уровни масштабирования

16

Уровни масштабирования

17

Сканирование портов

18

Информация о домене

19

#whois 85.202.231.172

inetnum: 85.202.224.0 - 85.202.239.255

netname: MTK-MOSINTER-NET

descr: ZAO MTK MOSINTER

country: RU

org: ORG-MMI5-RIPE

admin-c: BDV67-RIPE

tech-c: BDV67-RIPE

status: ASSIGNED PI

mnt-by: RIPE-NCC-END-MNT

mnt-by: MNT-MTK-MOSINTER

mnt-routes: MNT-MTK-MOSINTER

mnt-domains: MNT-MTK-MOSINTER

source: RIPE # Filtered

sponsoring-org: ORG-NA225-RIPE

Инвентаризация

20

Мониторинг доступности

21

Сканер уязвимостей

22

Отображение дампа трафика

23

Совместимость с открытым ПО

24

ИТ-инфраструктура:

– около 50 серверов, обслуживающих портал торговой площадки

– сложная архитектура: МЭ, СОВ, СУБД, веб-серверы, шлюзы безопасного доступа

– около 150 рабочих станций в офисной сети

– более 50 операторов торговой площадки

– более 1000 зарегистрированных пользователей торговой площадки

История успеха: высоконагруженное web-приложение (торговая площадка).

25

внедрение единого стандарта на сбор, хранение и обработку событий ИБ в обслуживаемой корпоративной сети Заказчика;

контроль параметров конфигурации и работы объектов ИТ-инфраструктуры в масштабе времени, близком к реальному;

оперативное оповещение администратора безопасности и обеспечение возможности реагирования на внутренние и внешние угрозы безопасности;

повышение эффективности управления событиями ИБ в ИТ-инфраструктуре за счёт автоматизации и упрощения процедур администрирования и периодического контроля журналов событий;

Результаты внедрения

26

Перспективы развития

27

Разработка модуля хранения ненормализованных событий с возможностью поиска и агрегации

Разработка модуля корреляции ненормализованных событий

Разработка модуля отказоустойчивой кластеризации

Контактная информация

107023, ул. Электрозаводская, д. 24

+7(495) 223-23-92

+7(495) 645-38-11

http://www.npo-echelon.ru

mail@npo-echelon.ru