Embed Size (px)
DESCRIPTION
Citation preview
SIEM-системы: комплексный мониторинг и контроль
информационной безопасности
Докладчики:
Алексей Марков,
Андрей Фадин.
НПО Эшелон, [email protected]
План выступления
Использование SIEM
Международный рынок SIEM Перспективы SIEM в России SIEM Комрад
Преимущества SIEM-систем
Методы и технологии SIEM Отличия SIEM от СОВ Оценка эффективности на
примере
Технологии SIEM-систем
Определение SIEM Задачи решаемые SIEM Место SIEM в АС
Актуальность темы
Тенденции в области угроз безопасности Проблемы традиционного подхода к защите АС
АКТУАЛЬНОСТЬ ТЕМЫ
Насколько сегодня эффективен традиционный подход к настройке и контролю защищенности АС?
Тенденция №1. Рост скорости распространения угроз ИБ
Кибервойны
Кибертерроризм и группы «хактивистов»
Сетевые черви и ботсети, нацеленные на объекты критичной инфраструктуры (АСУ ТП, SCADA)
Инсайдеры
Тенденция №2. Рост сложности автоматизированных систем
Рост числа сегментов сетей и количества узлов АС
Рост числа типов платформ (гетерогенные сети)
Рост количества виртуальных узлов и топологий (VPN, VRF, VLAN)
Рост требований к квалификации персонала
Традиционное управление АС без SIEM
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
Средства защиты информации
Объекты АС
Проблемы традиционного подхода к безопасности АС
Настройка и контроль работы СЗИ в «ручном режиме» • Конфигурации и журналы работы антивирусных средств, МЭ, СОВ, DLP, МДЗ, СКУД и
IAM просматриваются отдельно для каждого средства
• Точно так же отдельно изучаются параметры их конфигурации
Локальный контроль настроек и журналов узлов сети • Администратор проверяет настройки и журналы АРМ, сетевого оборудования и
серверов, по отдельности подключаясь к каждому из узлов сети
Управление СЗИ и узлами сети не консолидировано • Немногочисленные исключения:
• групповые политики ОС в доменах
• консоли администратора для СЗИ от одного вендора
Нерегулярность операций контроля защищенности • Аудит безопасности проводится:
• либо нерегулярной основе (когда вспомнят)
• либо не проводится вообще
Нет оперативного оповещения о проблемах и угрозах • Администратор безопасности неделями не заглядывает в журналы работы СЗИ
• Обычно администратор узнаёт о проблеме либо от пользователей, либо уже после инцидента
Система управления информацией и событиями в области безопасности
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
Средства защиты информации
Объекты АС
Security Information and Event Management
ТЕХНОЛОГИЯ SIEM-СИСТЕМ
Что собой представляют системы управления информацией и событиями в области безопасности? Насколько они эффективны?
Что такое SIEM?
Security Information and Event Management (SIEM)
Cистемы управления информацией и событиями в безопасности (СУИСБ)
Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия
Развитие технологии SIEM
Технология SIEM = SIM+ SEM
SIM («управление информацией
безопасности»)
сбор, хранение и
анализ данных (взятых из журналов)
подготовка отчетов по
соответствию нормативным требованиям
SEM («управление событиями
безопасности»)
мониторинг событий
безопасности в реальном
времени
выявление и реагирование на инциденты безопасности
Основной функционал SIEM-систем
Сбор и объединение данных
Централизованное хранение журналов
Интеллектуальный анализ данных (Корреляция событий)
Оповещение об инцидентах
Оценка соответствия АС требованиям стандартов и регламентов
Компоненты SIEM-систем
Центр управления SIEM
• Варианты исполнения:
• 1U/2U/3U стойка
• Виртуальная машина
• Дистрибутив ПО
Сенсоры
• Присутствует в каждом сегменте сети
• Агрегирует события из разных источников
Хранилище журналов
• Производительные
• СУБД
• СХД
• Syslog and Syslog-ng
• SNMPv2 and SNMPv3
• Opsec
• HTTP, HTTPS
• SQL, ODBC
• WMI, WBEM (CIM)
• FTP, SFTP
• Socket Unix
• Plain log
• SSH
• Rsync
• Samba
• NFS
• SDEE, RDEP
• OPSEC, CPMI
Основные протоколы и интерфейсы:
• максимально высокий уровень интеграции между СЗИ и другими компонентами АС
• сбор как максимально детальной информации для корреляция событий
Основной принципы сбора событий:
SIEM: методы сбора событий
Центр управления SIEM
Сенсоры
Хранилище журналов
ПРЕИМУЩЕСТВА SIEM-СИСТЕМ
Чем SIEM отличается от IDS (СОВ) и других «традиционных» СЗИ?
Отличие SIEM от «традиционных» СЗИ (проблемы безопасности)
Антивирус:
на компьютере C запущен вредоносный код отдельным процессом X, похожий на известный тип червя
Система обнаружения вторжений:
обнаружена атака типа NETBIOS DCERPC LSASS на узел Y
SIEM-система: в АС обнаружена активность червя «Sasser Worm», были зафиксированы атаки на узлы A,B,C, на узле C червь смог получить системные привилегии и там продолжил своё распространение. Рекомендуем обновить старое ПО на узлах D и E, выключить узел C и временно отключить сегмент сети Z от общей АС ВН до выяснения обстоятельств инцидента.
Системы обнаружения вторжения (IDS)
Задачи СОВ:
•обнаружение вторжений (атак)
Основные методы работы СОВ:
•сбор и анализ сетевого трафика
•преимущественно сигнатурный подход для обнаружения вторжений
Основные принципы работы СОВ:
•ограниченное использование внешних источников событий
•«плоская» модель событий
•фактически отсутствует анализ топологии, конфигурации АС и сопоставление её модели с внешними требованиями
Системы управления информацией и событиями в безопасности (SIEM)
Задачи SIEM:
•контроль выполнения АС требований нормативных документов и регламентов
•оперативное обнаружение и мониторинг инцидентов
Основные методы работы SIEM:
•сбор, нормализация и анализ событий из внешних источников
•сопоставление информации о топологии АС и конфигурации её компонентов с требованиями регламентов
Основные принципы работы SIEM:
•широкое использование внешних источников информации (методы как пассивного, так и активного анализа)
•древовидная модель событий, корреляция новых высокоуровневых событий (вторжение хакера, действия инсайдера, атака трояна) на основе правил из более простых событий (срабатывание сигнатур СОВ и антивирусов, ошибки МЭ, неверные пароли в СКД)
•обработка данных за большие периоды времени
Отличия SIEM от IDS
Место SIEM в АС
Инфраструктура АС
Сетевое оборудование
•маршрутизаторы
•коммутаторы
Серверы
•СПО
•ОС
•гипервизоры
•ППП
•сетевые сервисы АРМы
• СПО
• ОС
• ППП
сенсоры SIEM-
систем
Средства защиты информации
МЭ
СОВ (IDS)
DLP
антивирусы
МДЗ
криптошлюзы
сканеры защищенности сенсоры SIEM-
системы
АРМ ИБ, ситуационный центр (SOC)
Консоль управления
SIEM
Отличие SIEM от «традиционных» СЗИ (инфраструктурные проблемы)
Рядовой пользователь: мой компьютер тормозит, веб-сайты не открываются! Вирус? А может я лишние программы поставил?
Системный администратор: В сети по данным коммутатора - большой широковещательный трафик и главный шлюз не отвечает: Червь? Или я что-то не так вчера настроил?
SIEM-система: По данным журнала анализатора arpwatch, в сети пытаются провести (пока безуспешно) атаку arp-poisoning.
MAC-адрес злоумышленника: 8E-49-E8-3F-9E-34
По данным базы локальной топологии – это компьютер Сидорова из 3-его отдела. Кстати, с этим пользователем уже были инциденты: 2 месяца назад и ещё один – в прошлом году.
Преимущества SIEM-систем
Оперативный контроль защищенности
одновременно на всех уровнях АС ВН:
На уровне сетевых событий (МЭ, СОВ)
На уровне рабочих станций (СКД, ЗОС)
На физическом уровне (охранные системы,
сигнализации)
Не требует высокой технической
квалификации оператора системы
Предоставляет высокоуровневую
информацию о событии и общем состоянии защищенности АС
Выявляет инциденты на основе корреляции данных из нескольких источников (интеграция СЗИ разных
производителей)
ИСПОЛЬЗОВАНИЕ SIEM-СИСТЕМ
Нормативное регулирование требований к SIEM-системам. Состояние рынка SIEM-систем в России и за рубежом.
Анализ рынка: Gartner Magic Quadrant
Ключевые характеристики SIEM
Масштабируемость и гибкость развертывания
Сбор событий в реальном времени
Нормализация и категорирование событий
Мониторинг в реальном времени
Профилировка поведения
Расследование угроз
Управление журналами и отчёты по соответствию требованиям
Аналитика
Поддержка управления инцидентами
Мониторинг доступа к данным и активности пользователей
Мониторинг приложений
Простота развертывания и поддержки
Игроки рынка SIEM
Управление журналами (Log management)
AlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management)
• Open-source, интеграция
CorreLog (Server, Tracker, Agent)
• Кастомизация, z/OS, нет интеграции DLP, DAM, прилож.
eIQnetworks (SecureVue)
• Масштабируемость, больше на security configuration management
HP (ArcSight)
• Известность, цена, сложность
IBM (Qradar)
• NetFlow, развертывание
Tibco Software LogLogic
• Поддержка БД, вопросы к масштабируемости
LogRhythm
• Быстрое развертывание, вопросы кастомизации
McAfee (NitroSecurity)
• высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событий
Novell (NetIQ)
• SEM-focused, крупные развертывания, ненативные варианты аудита, неудобный мониторинг
Игроки рынка SIEM
Управление журналами (Log management)
Prism Microsystems (Event Tracker)
•Легкость развертывания и поддержки, большая база алертов, корреляций, отчетов, слабый мониторинг и интеграция с IAM
RSA, EMC (enVision, NetWitness)
•Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов, переходный период
S21sec (Bitacora)
•SIEM+Endpoint+расслед. Инцидентов, узкая региональная направленность
Sensage
•Масштабируемость, интеграция с ERP, цена высока
SolarWinds (Log and Event Manager)
•для небольших организаций, слабая кастомизация
Splunk (App for Enterprise Security)
•Быстрая и качественая аналитика по большим объемам данных от большого числа источников, сложность внедрения, из БД в основном Oracle
Symantec (SSIM, SEP)
•Технологично, интеграция feed с расслед. угроз DeepSight, проблемы интеграции с некоторыми IAM, медленное развитие
Tenable Network Security (SecurityCenter, LCE)
•Тесная интеграция с Nessus, хорошее покрытие compliance PCI, FISMA,большое количество своих СЗИ, нет маршрутизации логов, интеграции с IAM, тикетами и ActiveDirectory
Tier-3 (Huntsman)
•огранич по региону, небольшой набор источников событий и IAM для интеграции
Trustwave SIEM OE
•Большая база источников, масштабируемость и хорошая кастомизация, медленное развитие
Мировая нормативная база по применению SIEM SANS Institute
• Implementing the 20 Critical Controls with Security Information and Event Management (SIEM) Systems
• Successful SIEM and Log Management Strategies for Audit and Compliance
• Benchmarking Security Information Event Management (SIEM)
National Institute of Standards and Technology
• NIST 800-53 Recommended Security Controls for Federal Information Systems and Organizations
• NIST 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS)
• NIST 800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations
Другие стандарты и публикации связанные с использованием SIEM
• Common Criteria: Trustwave SIEM LP Software and SIEM Operations Edition Security Target
• Cisco: Security Information Event management Deployment Guide
• TNS: Real-Time FISMA Compliance Monitoring
• PCI DSS: Log Review Procedures
• ISA: Reconciling Compliance and Operation with Real Security in Nuclear Power Plants
Общее состояние SIEM в России
• HP (ArcSight)
• известность, высокая цена и сложность внедрения
• RSA, EMC (enVision, NetWitness)
• медленная обработка запросов аналитики, переходный период в плане объединения функционала enVision и NetWitness
Наиболее распространённые решения
• Нет отечественных полнофункциональных SIEM-решений
• Минобороны России
• Нет сертифицированных полноценных SIEM-решений
• ФСТЭК России
• «RSA enVISION», версия 4.0 Service Pack 3
• Сертифицировали 50 экз. на соответствие ТУ…
Сертификация продуктов
КОМРАД: новое SIEM-решение для АС СН
• централизованный сбор и анализ данных журналов событий:
• СЗИ, АРМ, серверов и сетевого оборудования
• удаленный контроль параметров конфигурации и работы АРМ с помощью инсталлированного программного агента (Windows, Astra Linux, ОС МСВС)
• оперативное оповещение и реагирование на внутренние и внешние угрозы безопасности АС
• контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности АС в любые моменты времени.
КОМРАД – комплекс оперативного мониторинга реагирования и анализа данных
КОМРАД: интеграция и интероперабельность
• AlienVault OSSIM
• OSSEC
• nagios
• nmap,
• OpenVAS
• w3af
• tcpdump и т.п.
Интеграция на базе открытых SIEM-технологий
w3af
КОМРАД – новое SIEM-решение, оперативная эффективность
Автоматизация и упрощение процедуры администрирования и периодического контроля журналов событий СЗИ, АРМ, серверов и сетевого оборудования, используемого в АС
Автоматизация и упрощение процедуры контроля соответствия АС заданным требованиям по безопасности информации, проводимой в рамках инспекционного контроля, технического надзора, экспертиз, пересертификации и других периодических процедур
Увеличение вероятности оперативного обнаружения ПАВ и других внутренних и внешних угроз АС за счет механизма корреляции событий полученных от различных СЗИ. Правила корреляция могут обновлять как администратором безопасности, так и поставщиком SIEM в рамках сертифицированных обновлений
Построение отчетов с выборочной детализацией
События, тревоги
Инциденты и связанные с ними точки контроля
Заключения из данных
Уязвимости АС
• Инфраструктура
• Сеть
• Доступность
• Использование ресурсов
Ресурсы АС
Анализ рисков
Поисковые возможности
Мониторинг доступности активов и наличия ресурсов
Оперативный контроль
Анализ и оценка соответствия требованиям
ТТХ SIEM-системы КОМРАД
• Аппаратная (1U/2U сетевая стойка)
• Программная (на базе ОС СН Astra Linux), virtual appliance сможет функционировать на других современных ЗОС: (МСВС 5, Alt Linux, ROSA 2012)
Варианты исполнения
• Уже реализовано взаимодействие с:
• ЗОС МСВС и Astra Linux
• Межсетевые экраны и СОВ: Рубикон
• Средства контроля защищенности: Сканер-ВС, XSpider
• Планируется к реализации интеграция с:
• DrWeb, Ключ Л2, SecretNet и др. отечественными СЗИ (адапитруемся под запросы заказчиков)
Варианты интеграции SIEM «Комрад»
• Обработка до 5000 EPS (событий в секунду) на одном узле сети
• 32/64 битная архитектура ЦП (Intel X86-64)
Параметры
Сертификация SIEM-системы КОМРАД
• Минобороны России
• ФСТЭК России
Идёт сертификация СЗИ в системах:
• на соответствие требованиям руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. – по второму уровню контроля
• требованиям по соответствию реальных и декларируемых в документации функциональных возможностей (ТУ).
Детали сертификации
Выводы Достигнут технологический потолок в развитии большинства типов СЗИ, дальнейший рост эффективности СЗИ в АС невозможен без централизации управления информационной безопасностью (ИБ)
SIEM – класс продуктов, которые способны решить задачу централизации управления ИБ как для оперативной обработки событий, так и для их комплексного анализа
Для эффективного использования SIEM-систем необходима их сопрягаемость со всеми элементами АС и корректная настройка правил корреляции и оповещения
Рынок SIEM в России – в начальной фазе, пока доступно небольшое число решений, одно из перспективных – КОМРАД на базе OSSIM SIEM
40
Контакты докладчика:
Спасибо за внимание!
Вопросы?
