SIEM: всё, что нужно знать о системах мониторинга ИБ

Подобные решения помогают организациям наблюдать за тем, что происходит внутри цифровой инфраструктуры: фиксировать действия пользователей, отслеживать изменения в работе серверов, анализировать сетевую активность и вовремя замечать подозрительные признаки. Когда данные поступают из десятков различных источников, человеку становится трудно увидеть общую картину, поэтому необходимы инструменты, которые объединяют информацию и помогают выявлять потенциальные угрозы. Подобные платформы используются для упрощения расследования инцидентов.

История развития систем управления безопасностью

Эволюция технологий защиты напрямую связана с усложнением цифровой инфраструктуры. По мере того как в организациях появлялось все больше серверов, рабочих станций, сетевых устройств и корпоративных приложений, контроль за происходящим становился значительно сложнее. Если раньше было достаточно защитить отдельный компьютер или небольшую локальную сеть, то со временем потребовался централизованный подход к наблюдению за всей ИТ-средой.

Сначала появились решения для ведения журналов, а позже – полноценные платформы анализа, известные сегодня как средства управления событиями в информационной безопасности (СИЕМ).

Ранние подходы к защите информации

Основная задача заключалась в том, чтобы ограничить доступ посторонних лиц к важным данным и предотвратить злоупотребление правами со стороны сотрудников.

В те годы кибербезопасность еще не рассматривалась как самостоятельная индустрия. Основные усилия были направлены на обеспечение устойчивой работы вычислительных систем и предотвращение несанкционированного доступа.

Так появились первые практики аудита – фиксации значимых действий пользователей и процессов. Эти методы еще не позволяли обнаруживать сложные атаки, однако заложили ключевой принцип современной безопасности: любые действия должны оставлять проверяемые следы.

Появление систем журналирования и мониторинга

По мере роста корпоративных сетей количество событий начало быстро увеличиваться. Серверы, приложения, сетевые устройства и средства защиты постоянно генерировали записи о своей работе.

Журналы перестали быть редким источником технической информации и превратились в непрерывный поток данных. В результате перед организациями возникла новая задача – не только хранить эти записи, но и использовать их для анализа происходящего в инфраструктуре.

Параллельно развивались инструменты наблюдения за состоянием инфраструктуры. Появилась потребность отслеживать активность не только после возникновения проблемы, но и в процессе работы. Если раньше журналы чаще анализировали постфактум, то позже их стали использовать как источник сигналов о возможных нарушениях.

Период до SIEM (до 2000-х годов)

В типичной ИТ-среде применялись разные средства защиты:

• межсетевые экраны отслеживали сетевой трафик и фильтровали соединения;
• антивирусные программы проверяли файлы на наличие вредоносного кода;
• операционные платформы и приложения фиксировали события в собственных журналах;
• специалисты анализировали данные вручную.

Подобная модель имела серьезные ограничения. Каждый инструмент фиксировал только свою часть происходящего и не обладал полной картиной активности.

Даже при корректном функционировании всех средств защиты целостного понимания происходящего часто не возникало. Из-за этого расследование инцидентов превращалось в длительную и трудоемкую задачу.

Такая работа занимала много времени, а вероятность пропустить важную связь оставалась высокой. Этот этап развития хорошо показывает, почему набора отдельных защитных инструментов оказалось недостаточно.

Возникновение систем корреляции событий

Их основная идея заключалась в том, что одно действие редко дает полное представление об угрозе. Гораздо важнее анализировать взаимосвязи между ними.

Например, единичная ошибка авторизации обычно не вызывает подозрений. Если за короткое время происходит серия неудачных попыток авторизации, затем фиксируется успешный вход с того же адреса, после чего запускается неизвестный процесс и начинается обращение к критичным данным, картина становится совсем иной. В совокупности эти действия могут указывать на попытку взлома.

Основные преимущества:

• автоматическое сопоставление сведений из разных источников;
• выявление подозрительных сценариев активности;
• снижение количества ручного анализа;
• ускорение расследования инцидентов.

Аналитика постепенно сместилась от простого хранения журналов к их интеллектуальной обработке. Технологии корреляции стали важным этапом эволюции и подготовили почву для появления более сложных платформ.

Рождение концепции СИЕМ

К середине 2000-х годов стало очевидно, что организациям требуется единый инструмент. На этом фоне сформировалась система мониторинга SIEM – такая технология, объединяющая принципы работы с информацией о безопасности и анализ событий в архитектуре ИТ-среды, что позволяет выявлять потенциальные угрозы.

Ранее одни продукты лучше справлялись с накоплением и анализом исторических данных, отчетностью и задачами аудита. Другие делали акцент на выявлении подозрительных сценариев и оперативных уведомлениях. Но на практике бизнесу не хотелось внедрять два разных класса продуктов и пытаться объединить их усилиями собственной команды. Нужна была единая платформа, которая умеет собирать, хранить, анализировать и сопоставлять действия, а также поддерживать процессы расследования.

Первые коммерческие SIEM-решения

Для компаний это означало переход от разрозненных консолей к единому инструменту наблюдения за ИТ-средой.

Первые коммерческие продукты доказали эффективность самой идеи. Они показали, что единый центр анализа помогает быстрее обнаруживать подозрительные цепочки событий и упрощает расследование инцидентов.

Развитие платформ (2010-е годы)

Инструменты стали производительнее, удобнее и функциональнее. Если раньше они использовались в основном крупными компаниями, то со временем стали применяться в организациях разного масштаба.

Главной причиной изменений стал рост источников данных. В инфраструктуре появились:

• облачные сервисы;
• мобильные устройства;
• веб-приложения.

В этот период начали активно применяться:

• гибкие правила корреляции;
• расширенные панели наблюдения;
• инструменты визуализации.

Читайте также

Антивирусные программы: что это такое, как они работают и почему без них нельзя

Сегодня практически каждое устройство, будь то офисный компьютер, домашний ноутбук или смартфон, подключено к сети постоянно. Однако вместе с удобством растут риски: вымогатели, шпионские модули, фишинг и скрытые майнеры давно стали реальностью не только для крупных компаний, но и для обычных пользователей. В этой статье расскажем, что такое антивирусная программа, а также выясним, как работают средства для защиты информации от вредоносного ПО.

Читать статью →

Интеграция SIEM с операционный центром безопасности (SOC)

Работа с инцидентом обычно проходит несколько этапов:

• Поступает событие.
• Проводится фильтрация и корреляция.
• Формируется уведомление.
• Аналитик получает задачу для проверки.
• Выполняется расследование и реагирование.

В такой модели важно не только фиксировать действия, но и предоставлять аналитикам полный контекст: сведения об активе, учетных записях, истории активности и возможных рисках.

Тенденции развития СИЕМ-системы и ее преимущества

Основные изменения связаны с несколькими направлениями:

• Гибридные инфраструктуры. Компании одновременно используют локальные серверы, облака и удаленные рабочие места, поэтому инструменты мониторинга должны работать в разных средах.
• Рост объема данных. Количество событий постоянно увеличивается, что требует более интеллектуальной аналитики и автоматической обработки информации.
• Быстрое реагирование. Современные атаки активно развиваются, поэтому важно не только обнаружить угрозу, но и оперативно принять меры.

Наряду с развитием технологий становятся очевидными и преимущества использования SIEM в инфраструктуре организации.

Развитие экосистемы безопасности

Современная защита редко строится вокруг одного инструмента. Даже мощная СИЕМ обычно работает вместе с другими технологиями.

Анализ поведения пользователей и объектов (UEBA)

Такие инструменты выявляют отклонения от обычной активности, например:

• вход в необычное время;
• нестандартное местоположение;
• резкое изменение учетной записи;
• доступ к нетипичным данным.

Автоматизация реагирования (SOAR)

Эти платформы помогают ускорить обработку инцидентов:

• запускают сценарии проверки;
• взаимодействуют с другими средствами защиты;
• блокируют подозрительные действия;
• создают задачи для специалистов.

Вместе SIEM-система, UEBA и SOAR формируют более зрелую экосистему киберзащиты, где каждая технология выполняет свою роль – это становится понятнее после расшифровки инструментов и рассмотрения их типовых функций на примерах.

Российские СИЕМ и рынок информационной безопасности

Если раньше многие компании ориентировались на зарубежные продукты, то сейчас внимание все чаще смещается в сторону российских разработок. Отечественные решения создаются с учетом местных регуляторных требований и задач интеграции с внутренними процессами.

Сегодня рынок уже нельзя назвать формирующимся. На нем присутствуют зрелые продукты с различными возможностями аналитики и собственными технологическими экосистемами.

MaxPatrol SIEM от Positive Technologies: для чего нужен

Один из наиболее известных российских продуктов этого класса.

Ключевые особенности:

• сбор событий из большого количества источников;
• учет контекста активов и уязвимостей;
• готовые правила обнаружения угроз.

Платформа помогает специалистам не только фиксировать действия, но и понимать их значение для конкретной инфраструктуры. Благодаря этому повышается эффективность выявления инцидентов.

MaxPatrol часто применяется в организациях, где развивается центр мониторинга безопасности. В таких условиях важны масштабируемость и большое количество поддерживаемых источников данных.

KOMRAD Enterprise SIEM-система (Эшелон Технологии): для чего используется

Российское решение, ориентированное на корпоративную инфраструктуру и требования отечественного рынка. Инструмент предназначен для выявления подозрительной активности.

Инструмент позволяет выстраивать собственные сценарии обнаружения угроз и адаптировать их под особенности организации. При этом внедрение не требует чрезмерно сложной настройки.

RuSIEM и ее применение в корпоративных средах

Его главная особенность – модульная архитектура.

Такой подход позволяет внедрять платформу поэтапно:

• централизованный сбор событий;
• нормализация и базовая корреляция;
• расширенная аналитика;
• интеграция с другими инструментами.

Это удобно для компаний, где процессы киберзащиты развиваются постепенно. RuSIEM часто используют организации, которые:

• последовательно внедряют механизмы реагирования на инциденты;
• создают собственный центр отслеживания.

Возможность масштабирования делают продукт удобным для долгосрочного использования в корпоративной среде.

Читайте также

Технический канал утечки информации: что это такое - простыми словами о скрытых угрозах

Любой современный бизнес работает с цифровых объектами: базы клиентов, переписка, договоры, платежные документы, исходный код, отчеты руководства. В этой статье мы расскажем, что такое технический канал утечки конфиденциальной информации, а также разберем их виды в системе.

Читать статью →

Заключение

В этой статье рассказали, что такое СИЕМ-система в информационной безопасности (ИБ), а также разобрали, что входит в SIEM. Подобные платформы сегодня являются важным элементом современной защиты. Они помогают объединять сведения из различных источников, анализировать происходящие события и своевременно выявлять потенциальные угрозы.