Аналитика угроз на лету

Обзор товарного предложения на рынке ПАК мониторинга и корреляции событий

Яков Шпунт,

научный редактор Intelligent Enterprise Корпоративные системы

Данная статья посвящена системам мониторинга и корреляции событий (SIEM, от Security Information and Event Management, дословно — управление информацией и событиями в области безопасности). Это четвертый материал в серии публикаций, посвященных ПАК обеспечения информационной безопасности (ИБ), в этом году[1].

Этот класс систем существует уже довольно давно, и занимает заметную долю в общем объеме рынка средств ИБ. Как ожидается, по оценке Frost&Sullivan, в уходящем 2014 г. продажи SIEM-систем достигнут знаковой величины в 1 млрд долл.

С помощью таких систем можно выявлять сетевые атаки, вирусные эпидемии или отдельные вирусные заражения, попытки несанкционированного доступа к информации, фрод и мошенничество, ошибки и сбои в работе информационных систем, всяческого рода уязвимости, ошибки конфигурирования средств защиты и информационных систем. Как видно, эти системы закрывают довольно широкий спектр задач, относящихся не только к информационной безопасности, но и к управлению ИТ.

Однако стоит иметь в виду, что данные системы не предназначены для предотвращения злонамеренной активности. Их можно сравнить с микроскопом, который позволяет увидеть болезнетворный микроорганизм, но при этом не предназначен для того, чтобы устранить заразу.

Нет смысла долго останавливаться на том, что сложность информационных систем даже в относительно небольших компаниях достигла такого уровня, что поток сообщений от различных устройств и ПО может достигать нескольких десятков в секунду. Их анализ оператором в ручном режиме просто невозможен, а об эффективности этого процесса говорить и вовсе не приходится. Да, многие события заносятся в журналы, или логи. Задача их сбора была решена уже давно, но сейчас объем логов может достигать очень больших размеров. Только у IDS/IPS-систем журнал событий за рабочий день в компании среднего размера составляет нескольких гигабайт. И системы предотвращения вторжений — далеко не единственный источник сведений о работе разных критичных информационных систем, таковых в одной компании может быть несколько десятков.

Заметим, что данные в этих журналах понятны только специалистам, причем содержащаяся в них информация, как она есть, не является юридически значимым доказательством. Но необходимость в том, чтобы выявлять подозрительную активность в целом очевидна, так как это может свидетельствовать о начале атаки или быть симптомом разного рода неисправностей или ошибок в программах. Этого прямо требуют и многие стандарты, как национальные, так и международные. Да и самому распространению SIEM-систем в свое время немало способствовали требования американского акта SoX, принятого в начале 2000-ных годов и направленного против искажения отчетности в компаниях, чьи акции выставлены на американских фондовых биржах. Одним из требований данного закона стала необходимость принятия мер, призванных обеспечить расследование возможных инцидентов в этой области.

Усложнились и угрозы. Первым «звонком» стал червь Slammer с чрезвычайно высокой скоростью распространения: он заражал до 10 тыс. сетевых узлов в минуту. К середине 2000-ных годов основным классом вредоносного ПО стали троянские программы и ботнеты, которые были направлены в том числе и на кражу информации из компаний. Начали появляться и целевые атаки, направленные против конкретной компании, для осуществления которых использовалось заказное вредоносное ПО, которое в принципе не может быть обезврежено массовыми антивирусными средствами.

Так что уже к 2000 г. появились первые SIEM-системы, которые решали следующие задачи:

консолидация и хранение журналов событий от различных источников;

предоставление инструментов для анализа событий и разбора инцидентов;

корреляция и обработка событий по правилам;

автоматическое оповещение и инцидент-менеджмент.

От первого поколения ко второму и дальше

Любая SIEM-система состоит из следующих компонентов:

агенты сбора данных из различных источников;

серверы-коллекторы приема информации, поступившей от агентов;

сервер баз данных;

сервер корреляции и анализа информации.

Агенты представляют собой ПО, которое собирает локальные журналы событий и передает их на сервер системы. Роль коллекторов сводится к тому, чтобы свести эти данные к общему знаменателю. Не секрет, что в разных системах одно и то же событие может называться по-разному. Так, межсетевой экран одного производителя может записывать в отчет deny, другого — в discard, а третьего — в drop, хотя событие одно и тоже. Для наших условий дополнительной задачей является сведение к общему знаменателю и разных кодировок кириллицы.

К настоящему времени SIEM-системы принято делить на два поколения. Самые первые образцы могли анализировать относительно небольшой набор источников для выявления подозрительных событий, из которых оператор мог выделить явные угрозы и нарушения. Фактически речь шла только об анализе информации с систем безопасности и серверов.

Системы второго поколения обладают уже вполне развитым интеллектом на основе поведенческого анализа, и они позволяют обращать внимание на явные нарушения уже без участия человека. Существенно расширился и круг источников информации:

• данные контроля доступа и аутентификации — для мониторинга контроля доступа к информационным системам и использования привилегий;
• журналы событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик ИБ;
• сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика);
• средства обнаружения и предотвращения вторжений (IDS/IPS) — события о сетевых атаках, изменение конфигураций и доступ к устройствам;
• антивирусная защита — события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах;
• сканеры уязвимостей — инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры;
• системы для учета рисков, критичности угрозы, приоритизации инцидента;
• прочие системы защиты и контроля политик ИБ: DLP, мониторинга фрода, контроля устройств;
• системы инвентаризации и управления активами — для выявления новых устройств и ПО, в том числе установленных не санкционированно;
• системы учета трафика.

В итоге такие системы позволяют выявлять минимум на 25% больше потенциально опасных инцидентов, чем системы первого поколения, в которых отсутствовал анализ поведения. Обратной стороной стало то, что наиболее продвинутые интеллектуальные механизмы работы SIEM-систем дают довольно много ложных срабатываний. Да и процедура настройки типичной SIEM-системы является весьма непростой. Раньше их обычно приходилось программировать с использованием специальных и часто довольно специфичных языков. Затем появились более дружественные визуальные средства конфигурирования, но их применение требует хорошего знания сетевой инфраструктуры предприятия. Все это требовало высокой квалификации исполнителя. При этом, как показывает опыт реальных проектов, лишь не более 20% правил, разработанных для одной компании, можно использовать при внедрении в другой. Таким образом, внедрение SIEM-системы относится к разряду довольно сложных проектов.

В результате значительная часть заказчиков ограничивалась использованием настроек «из коробки». Видя это, вендоры стали предлагать программно-аппаратные комплексы (ПАК), которые требовали лишь установки и настройки агентов сбора данных, и то не всегда. При этом сильно понижалась как стоимость решения, так и временные затраты на его внедрение. Появились и решения, ориентированные на относительно небольшие компании и филиалы, причем отдельные вендоры, в частности, LogLogic, а затем и купившая эту компанию Tibco, даже стали ориентироваться именно на эту категорию пользователей.

В настоящий момент начинают появляться системы, которые можно с полным правом отнести к третьему поколению, такие системы базируются на средствах анализа больших данных (Big Data). Пока на рынке представлена подобная система только от компании RSA (входит в корпорации EMC), причем существующая исключительно как программное средство. Однако стоит ожидать появления SIEM-систем нового поколения от всех основных вендоров, причем в самом ближайшем будущем. И предпосылкой к тому является продолжение роста объемов данных, которые приходится обрабатывать. Например, в компании HP (до ее разделения) количество событий, которые обрабатывала SIEM-система, составляло 5 млрд за рабочий день. И это, надо сказать, не самый большой объем. В таких условиях странно то, что решение на базе реляционной СУБД вообще как-то работает.

Причем переход к технологиям Big Data в SIEM-системах может дать нечто большее, чем просто замену движка для работы с базами данных. Тут может поменяться вся концепция работы такого рода систем и не только их, поскольку средства аналитики на основе больших данных позволяют оперативно выявлять практически любые аномалии, за которыми неизбежно стоит какая-либо проблема, например, нарушение политик в области безопасности или неисправность. Да и расстановка сил на рынке может существенно поменяться.

Ситуация на рынке SIEM-систем

На старте своего развития на рынке SIEM систем доминировали относительно небольшие фирмы из разряда «компаний одного продукта». Единственным решением от крупной корпорации долгое время был только продукт Symantec SSIM. Помимо Symantec, наиболее серьезными игроками на рассматриваемом рынке были такие компании, как[2] ArcSight, Envision, LogLogic, NitroSecurity, Q1 Labs. На их продукцию приходилось около 95% рынка. Также определенную долю получило решение с открытым кодом OSSIM с нулевой стоимостью лицензирования.

Однако в начале 2010-х годов ситуация изменилась вследствие того, что вендоров SIEM-систем начали активно скупать более крупные компании. Сначала в 2009 г. компания RSA купила Envision. В 2011 г. HP приобрела ArcSight, IBM — Q1 Labs, Tibco — LogLogic, а McAfee — NitroSecurity. Следует отметить, что покупки часто способствовали активизации технологического развития решений. Например, компании HP и IBM, в арсенале которых имеются мощные решения для автоматизации управления ИТ, активизировали интеграцию их с SIEM-системами, что было хорошо встречено потребителями, особенно крупными. В результате при обнаружении инцидента данные о нем могли автоматически быть занесены в систему ServiceDesk. В свою очередь, компания RSA объединила два продукта, которые оказались в ее распоряжении (Envision и NetWitness) в один, что позволило существенно поднять функциональность решения за счет средств интеллектуального анализа сетевого трафика. Кроме того, поскольку EMC является одним из лидеров рынка аналитики больших данных, это позволило RSA создать первое SIEM-решение на данной технологической базе.

В России, по оценке портала Анти-Мальваре.ру, представлены все основные мировые вендоры (в алфавитном порядке): HP, IBM, McAfee, OSSIM, RSA, Symantec, Tibco. Среди российских компаний отмечено только НПО «Эшелон», чей продукт КОМРАД ориентирован на защиту систем, которые обрабатывают информацию, содержащую государственную или военную тайну. Спецификой нашего рынка SIEM-систем является высокий уровень его концентрации в руках крупнейших игроков. Так, на долю тройки лидеров — HP, IBM и Symantec — приходится без малого 80% всего рынка.

ПАК с функцией SIEM в настоящий момент предлагают HP, IBM, McAfee, Symantec и Tibco (см. таблицу). Системы от RSA и НПО «Эшелон» в момент написания этих строк были представлены исключительно как программные средства, и по этой причине оказались вне данного обзора. Их внедрение в любом случае представляет собой интеграционный проект и представляет собой довольно сложную задачу.

Таблица. ПАК мониторинга и корреляции событий (SIEM).

Быстродействие

Ключевой технической характеристикой, которая позволяет оценить функциональные возможности SIEM-системы, является количество событий, которое устройство может обработать за секунду. Среди устройств, представленных в таблице, эта величина колеблется от 250 до 300000. Для оборудования высшего уровня данная характеристика и вовсе может являться единственной, так как отсутствуют лицензионные ограничения, которые налагаются на программную компоненту устройств начального и среднего уровня. Могут влиять и ограничения, связанные с тем, что при превышении определенной критической массы устройств или правил аппаратные ресурсы ПАК просто не будут справляться с их обработкой. Ведь среди них есть системы с довольно скромными ресурсами, например, младшие Tibco.

Однако стоит иметь в виду, что практически все производители, кроме McAfee, политика которой уже давно предусматривает максимально широкое использование программно-аппаратных решений для любых сегментов, ограничивают свои ПАК масштабами относительно небольших компаний и филиалов. Это, скорее всего, связано с желанием избегать внутренней конкуренции с программными системами при реализации проектов для крупных компаний. Так что «потолок» у оборудования большинства производителей редко превышает 15 тыс. событий в секунду.

Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.