Руководство по SIEM (Security Information & Event Management)

Системы управления информацией и событиями безопасности (SIEM) являются неотъемлемой частью любого современного набора инструментов кибербезопасности, который помогает собирать, обнаруживать, исследовать и реагировать на внутренние и внешние киберугрозы. Этот критически важный инструмент помогает командам по кибербезопасности собирать, анализировать и выполнять операции по обеспечению безопасности, обеспечивая при этом быстрое и оптимальное реагирование на инциденты.

Мы рассматриваем много глоссариев по облачной безопасности , но SIEM — это сложная тема, достойная отдельной страницы. Читайте дальше, чтобы узнать больше о компонентах SIEM, лучших практиках, вариантах использования и тенденциях.

Введение в SIEM

SIEM — это инструмент, который собирает, агрегирует и анализирует информацию из других систем, связанных с кибербезопасностью. На заре Интернета инструменты SIEM не требовались, поскольку систем, подключенных к Интернету, было относительно мало. Простого межсетевого экрана для блокировки несанкционированных подключений было достаточно для защиты любых систем, которые должны были быть в сети. Обычно можно было с уверенностью предположить, что авторизованные пользователи будут подключаться изнутри организации, тогда как любые попытки удаленного доступа к ресурсам компании были несанкционированными. 

Однако по мере того, как люди и предприятия превращаются в цифровую среду, командам по кибербезопасности становится все сложнее отслеживать и защищать от внутренних и внешних угроз. В сочетании с расширением цифровой экосистемы, нехваткой навыков в отрасли кибербезопасности и увеличением зоны атак со стороны субъектов угроз как никогда важно предоставить командам по кибербезопасности инструменты и ресурсы для быстрого и эффективного устранения этих угроз.

В организации может быть несколько серверов, принимающих соединения через различные порты: от файловых серверов и баз данных до видеочатов, VPN и многого другого. Поскольку все больше данных хранится в цифровом формате, организациям приходится беспокоиться об угрозах как внутри, так и снаружи организации. 

SIEM развивался как способ мониторинга и управления огромным объемом информации, с которой ИТ-командам приходится иметь дело ежедневно. От обнаружения угроз до криминалистики и реагирования на инциденты — SIEM значительно упрощает борьбу с угрозами кибербезопасности .

Компоненты SIEM

SIEM предлагает способ сбора, обработки и анализа информации о событиях и инцидентах, связанных с безопасностью. В систему SIEM входит множество компонентов, но их можно разделить на две большие категории: 

• Управление информацией безопасности (SIM)
• Управление событиями безопасности (SEM)

SIM означает сбор файлов журналов и других данных в центральном хранилище, чтобы их можно было проанализировать позже. Более некрасиво это можно было бы назвать управлением журналами. Напротив, SEM относится к идее обработки информации и мониторинга событий и предупреждений. SIEM объединяет эти два процесса: данные берутся из множества различных источников, некоторые в режиме реального времени, а некоторые нет, и обрабатываются для выявления и лучшего понимания угроз или потенциальных проблем.

Системы SIEM могут объединять данные из журналов, систем обнаружения вторжений, систем инсайдерских угроз и других источников и принимать обоснованные решения о том, какие угрозы достаточно значительны, чтобы оправдать предупреждение системного администратора для ответа, а какие являются более обыденными действиями, не требующими немедленных действий. действие.

Внедрение SIEM-решений

Поскольку векторы угроз и поверхности атак увеличиваются, которые команды должны отслеживать и защищать, предприятиям повезло, что у них есть широкий спектр предложений SIEM для поддержки своих команд по кибербезопасности. Некоторые популярные поставщики SIEM:

• Splunk
• Crowdstrike
• Palo Alto
• VMware 
• Microsoft 
• Fortinet и другие 

При выборе решения SIEM важно учитывать существующую инфраструктуру. Некоторые инструменты разработаны с учетом конкретных операционных систем, серверов или сред. Следует учитывать, является ли решение облачной службой подписки или локальным решением на вашем собственном сервере. Кроме того, работает ли предлагаемый вами SIEM для мультиоблачных, гибридных и локальных приложений? 

Стоит внимательно читать лицензии. Некоторые решения могут взимать плату за сервер или взимать дополнительную плату за добавление определенных инструментов интеграции/аналитики, и это может стать довольно дорогостоящим, если вы используете большую/сложную систему.

Некоторые SIEM-решения заявляют о готовой поддержке сотен приложений/серверов от различных поставщиков, и это может оказаться неоценимым, если вы хотите быстро настроить свои SIEM-решения.

Если вы используете относительно старый или малоизвестный сервер и вам необходимо анализировать журналы в необычном формате, вы можете обнаружить, что современные инструменты не поддерживают эти журналы «из коробки». К счастью, у вас должна быть возможность вручную настроить синтаксический анализ с помощью большинства инструментов.

Некоторые инструменты имеют открытый исходный код или имеют уровни бесплатного пользования, которые могут хорошо подойти вам, если вам нужна свобода запуска решения на множестве серверов.

Однако, если вы выбираете бесплатное решение с открытым исходным кодом, обязательно изучите доступные варианты поддержки. Возможно, стоит заплатить за пакет поддержки премиум-класса, чтобы убедиться, что ваши системы мониторинга настроены правильно.

Стратегии интеграции для SIEM

Безопасность — сложная задача, и к SIEM не существует универсального подхода. Если вы хотите интегрировать существующие инструменты безопасности с вашим решением SIEM, начните с рассмотрения ваших вариантов использования и имеющихся у вас информационных слепых зон. Задайте себе следующие вопросы:

• Вы определили свои цели SIEM?
• Составили ли вы список потребностей, которые необходимо решить?
• Есть ли у вас список требований к данным?
• Какие данные вы уже регистрируете?
• Есть ли у вас список того, что вы не регистрируете, но следует регистрировать?
• Как настроить инструмент SIEM для удовлетворения ваших потребностей и обеспечить лучшее понимание проблем, с которыми вы сейчас сталкиваетесь?

Многие решения безопасности предлагают отчеты в режиме реального времени с помощью простого протокола управления сетью (SNMP). Они включают API или системы экспорта данных, которые могут помочь вам перенести данные из существующих инструментов на вашу платформу SIEM для анализа. При правильном использовании инструменты SIEM могут помочь вам выявлять аномалии и быстро и эффективно реагировать на нарушения безопасности. 

Однако если вы записываете слишком много данных или не знаете, как их обрабатывать, вы можете оказаться перегруженными данными. Очень важно понимать, на что вы смотрите, и иметь представление о том, каков ваш «базовый уровень», чтобы вы могли заметить изменения в нормальной деятельности.

Варианты использования SIEM

Некоторые распространенные примеры того, что можно использовать при развертывании SIEM, включают:

• Скомпрометированные учетные записи:  если сотрудник входит в систему в офисе, а затем входит в систему через 20 минут, находясь на расстоянии 400 миль, учетная запись, скорее всего, скомпрометирована.
• Внутренние угрозы:  системный администратор или сотрудник с привилегированными учетными данными, входящий в систему в нерабочее время, из дома, может попытаться украсть данные.
• Попытки грубого взлома:  традиционные попытки взлома, такие как перебор, Pass the Hash или Golden Ticket, обычно довольно четко выделяются в журналах.
• Попытки фишинга.  SIEM можно использовать для определения того, кто получил попытку фишинга и нажал ли кто-либо на фишинговую ссылку, предоставляя возможности для обучения или принятия мер по исправлению положения в случае взлома учетной записи.
• Исправление после нарушения:  если нарушение все же произошло, даже если оно произошло не по одному из вышеуказанных векторов, SIEM может предупредить администраторов об изменениях в конфигурации сервера или даже о неожиданных скачках использования памяти или процессора. Это может предупредить команду о том, что произошло нарушение, давая им время заблокировать системы, диагностировать проблему и принять меры по ее устранению.
• Вредоносное ПО:  SIEM можно использовать для отслеживания изменений файлов, выступая в качестве дополнительной линии защиты от программ-вымогателей, подавая сигнал тревоги, если заражение вредоносным ПО начинает шифровать файлы, к которым обычно нет доступа.

Роль SIEM в обеспечении соответствия требованиям

SIEM сочетает в себе ведение журнала и анализ, помогая компаниям защитить свои системы и соблюдать правила конфиденциальности . Уточним: SIEM сам по себе не является инструментом обеспечения соответствия. Однако информационные панели SIEM предупреждают администраторов об угрозах и проблемах, указывающих на несанкционированную или злонамеренную деятельность. Знания являются важной частью кибербезопасности, и SIEM вооружает администраторов знаниями, необходимыми для обеспечения надежной защиты.

Некоторые из наиболее распространенных принципов, которые компании должны соблюдать (в зависимости от отрасли):

• HIPAA: организациям здравоохранения могут грозить штрафы в размере от 100 до 50 000 долларов за нарушение, а одно нарушение безопасности может засчитываться как множественное нарушение.
• PCI-DSS:  финансовые организации должны соблюдать эти правила для обеспечения безопасности платежей и обработки данных. Штрафы могут составлять от 5000 до 100 000 долларов в месяц.
• GDPR: организации, ведущие бизнес в Европе и обрабатывающие персональные данные, обязаны соблюдать GDPR, а штрафы могут составлять до 20 миллионов евро или 4% от оборота компании, в зависимости от того, что больше.

Существуют также государственные или местные правила, такие как правила конфиденциальности Калифорнии и правила обработки данных ICO в Англии. Каждая компания сама должна определить, какие правила она должна соблюдать, и убедиться, что она работает в соответствии с этими правилами.

SIEM не может предотвратить взломы самостоятельно; однако он может предупредить организацию о взломе, помогая предотвратить дальнейший ущерб. Это также может служить ценной формой комплексной проверки. Рассмотрим следующий гипотетический сценарий.

Ваш инструмент SIEM предупреждает вас о необычном входе на давно забытый сервер. Ваши системные администраторы исследуют этот логин, обнаруживают нарушение и исправляют его, одновременно проверяя, что злоумышленники не получили доступ к каким-либо конфиденциальным данным, что избавляет вас от значительных штрафов и плохого пиара. Без раннего предупреждения от инструмента SIEM у хакеров могли быть недели или месяцы для изучения скомпрометированных систем, потенциального обнаружения других уязвимостей и возможности нанести реальный ущерб, получив доступ к привилегированным данным.

Лучшие практики SIEM

Чтобы получить максимальную отдачу от вашего SIEM, крайне важно настроить вашу реализацию в соответствии с вашими уникальными требованиями. Это включает в себя определение того, что вы будете регистрировать и как вы преобразуете эти данные в формат, подходящий для чтения на вашей информационной панели. Кроме того, подумайте, как автоматизировать системы, чтобы не перегружать команду SOC. Вот несколько полезных рекомендаций, которые стоит учитывать:

• Четко определите свои цели.
• Имейте централизованное хранилище данных для ваших журналов и оптимизированную систему для консолидации этих данных.
• Убедитесь, что вы регистрируете необходимые данные из всех ваших инструментов и приложений, связанных с безопасностью.
• Четко определите политику хранения журналов, чтобы у вас были достаточно давние данные, позволяющие выявлять закономерности.
• Убедитесь, что ваши журналы и аудит достаточны для соблюдения любых правил, которые вы обязаны соблюдать.
• По возможности автоматизируйте свои рабочие процессы, чтобы сэкономить время персонала и снизить вероятность ошибок.
• Воспользуйтесь преимуществами API или других интеграций, чтобы упростить подключение инструментов SIEM к вашей инфраструктуре безопасности.
• Проинформируйте всех соответствующих сотрудников о ваших системах реагирования на инциденты.
• Регулярно переоценивайте свои системы и политики безопасности.

Чтобы SIEM работал хорошо, он должен отслеживать правильные вещи, а качество проходящих через него данных должно быть высоким. Если ваша SIEM-система регулярно выдает ложные оповещения, ваша служба безопасности может начать ее игнорировать. Цель SIEM — отфильтровать шум и сэкономить время вашей команды SOC. Для точной настройки системы может потребоваться некоторое время, но в долгосрочной перспективе инвестиции окупятся. 

Эволюция и будущие тенденции в SIEM

SIEM развивается так же, как развиваются и другие части ИТ-экосистемы. Инструменты искусственного интеллекта и машинного обучения помогают улучшить решения SIEM, особенно с точки зрения автоматического и быстрого обнаружения угроз. Поскольку все больше организаций переходят в облако, современные инструменты безопасности должны иметь возможность эффективно работать в гибридных и мультиоблачных средах.

Кроме того, поскольку процессоры становятся быстрее, а хранилище становится дешевле, обрабатывать большие объемы данных становится проще. Озера облачных данных и сложные инструменты отчетности, способные анализировать большие объемы неструктурированных данных, позволяют инструментам SIEM анализировать данные, которые ранее могли быть отброшены как «слишком шумные». Теперь эти большие объемы данных можно использовать для лучшего профилирования пользователей и выявления подозрительных моделей использования, что упрощает выявление скомпрометированных учетных записей.

Администраторы могут использовать управление доступом на основе ролей и профили пользователей, чтобы ограничить ущерб, который может нанести скомпрометированная учетная запись пользователя. Инструменты SIEM можно использовать вместе с межсетевыми экранами, средствами обнаружения вторжений, безопасности конечных точек и инструментами мониторинга внутренних угроз, чтобы обеспечить комплексное решение безопасности. Такая мощность и гибкость необходимы в средах, где удаленная/гибридная работа является обычным явлением или где действуют политики использования собственных устройств (BYOD).

Раскройте потенциал SIEM

SIEM — это мощная концепция мониторинга, оценки и анализа угроз безопасности. Инструменты SIEM следующего поколения, использующие методы глубокого обучения, повышают безопасность, автоматически обнаруживая и идентифицируя аномальное поведение сети. Используя интерактивные информационные панели, эти инструменты предоставляют информацию о вредоносных действиях в режиме реального времени, позволяя администраторам оперативно принимать меры по исправлению ситуации.

SIEM — это ключевой инструмент в вашем арсенале для обнаружения и предотвращения попыток киберпреступников скомпрометировать ваши системы.

Хотя SIEM является важной частью превентивной защиты от киберугроз, не менее важно иметь запасной вариант на случай успеха кибератаки. Чтобы не стать жертвой, вам следует убедиться, что вы храните и поддерживаете неизменяемые резервные копии, которые являются безопасными и надежными.

Если вы хотите узнать больше о том, как Veeam может помочь вам в защите ваших данных, свяжитесь с нами сегодня, чтобы заказать консультацию или получить пробную версию нашего программного обеспечения.