Системы управления информацией и событиями безопасности (Security Information and Event Management)

При разработке информационных систем, автоматизированных систем управления для компаний транспортной отрасли, для государственных предприятий, обеспечивающих работу общественного транспорта, для органов государственной власти, регулирующих деятельность транспортной отрасли, необходимо учитывать задачи по обеспечению информационной безопасности, этот факт уже не требует отдельного обоснования. Компонент обеспечения информационной безопасности призван решить задачи:

• Защита при межсетевом взаимодействии;
• Защита систем управления базами данных;
• Антивирусная защита;
• Обеспечение защиты информации при передаче, включая криптографическую защиту;
• Защита от несанкционированного доступа;
• Управление доступом и разграничение прав пользователей;
• Аудит действий пользователей;
• Защита персональных данных.

Приведен не полный список задач, для каждой конкретной системы его можно дополнить в соответствии со спецификой решаемых системой задач и индивидуально определенными угрозами безопасности информации и моделью вероятного нарушителя. Для выполнения указанных задач компоненту информационной безопасности необходимо проводить мониторинг всей системы, собирать данные о текущем состоянии защищенности от большого количества источников. Примером решения такого рода задач являются системы управления инцидентами информационной безопасности, если точнее: Системы управления информацией и событиями безопасности — Security Information and Event Management (SIEM). Далее в статье частично использован материал по SIEM автора Олеси Шелестовой, эксперта исследовательского центра Positive Research.

Система SIEM способна решить следующие задачи:

• Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Решение этой задачи предусмотрено многими стандартами информационной безопасности.  Особенно это становится актуально в ситуации, когда инцидент увидели поздно, проводится расследование, но лог-файлы с записью событий на локальном оборудовании уже стерты или недоступны, и выявить причины инцидента невозможно. Возможны ситуации, когда соединение с каждым источником и просмотр событий затруднен или требует много времени, в этом случае причины инцидента возможно в результате анализа информации из консолидированного журнала событий.
• Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. SIEM может унифицировать события, визуализировать только важные информационные события, отфильтровать некритические события.
• Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — неправильно введенный пароль, один такой случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытке подбора пароля. SIEM правила обработки и корреляции представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
• Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней контролирующей системе, а также своевременно информировать о событии.

SIEM способна выявлять:

• сетевые атаки во внутреннем и внешнем периметрах;
• вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны;
• попытки несанкционированного доступа к конфиденциальной информации;
• фрод и мошенничество;
• ошибки и сбои в работе информационных систем;
• уязвимости;
• ошибки конфигураций в средствах защиты и информационных системах.

Основные источники данных SIEM:

• Access Control, Authentication (контроль доступа, аутентификация пользователей) — для мониторинга контроля доступа к информационным системам и использования прав пользователей.
• Журналы событий серверов и рабочих станций — для контроля доступа, контроля  соблюдения политик информационной безопасности.
• Сетевое активное оборудование  — контроль изменений и счетчиков сетевого трафика.
• IDS\IPS – контроль сетевых атак, изменений конфигурации и доступа к устройствам.
• Антивирусная защита – контроль работоспособности программного обеспечения.
• Сканеры уязвимостей — инвентаризация сервисов, программного обеспечения, уязвимостей, формирование инвентаризационных данных и топологической структуры.
• GRC-системы для учета рисков – для определения критичности угрозы, определения приоритета инцидента.
• Прочие системы защиты и контроля политик ИБ: DLP, антифрод, контроль устройств.
• Системы инвентаризации, asset-management – инвентаризация оборудования в инфраструктуре и выявления новых устройств.
• Netflow, системы учета трафика – контроль трафика.

SIEM включает в себя, как правило, несколько компонентов:

• агенты, устанавливаемые на инспектируемую информационную систему (агент представляет собой резидентную программу-сервис, которая локально собирает журналы событий и по возможности передает их на сервер);
• коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы;
• серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников;
• сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции;
• сервер баз данных и хранилища, отвечающий за хранение журналов событий.

В заключении хотелось бы добавить, что добавление SIEM в состав информационной системы существенно увеличит её стоимость. Целесообразность применения системы SIEМ в рамках компонента обеспечения информационной безопасности определяется размером возможных потерь в результате взлома системы злоумышленниками.