SIEM
Компании среднего размера привлекательны для злоумышленников: их масштаб деятельности уже позволяет хорошо нажиться, например, при проведении атак шифровальщиков-вымогателей (ransomware). С одной стороны — организация способна заплатить заметный выкуп. С другой, подход к информационной безопасности у такой организации часто остается старым, со времен, когда бизнес был еще небольшим. Злоумышленники могут разработать тактику обхода имеющейся базовой защиты и скомпрометировать сеть, не встретив особого противодействия.
Ущерб от подобных инцидентов в среднем составляет миллионы рублей. Нельзя забывать и про регуляторный аспект — число ведомств и законодательных актов, требующих от российской компании соблюдать регламенты кибербезопасности, постоянно растет. Бизнес эти угрозы часто понимает и готов выделить отделу информационной безопасности дополнительные ресурсы. Но как выстроить защиту следующего уровня на предприятии без чрезмерных затрат? Небольшой спойлер — ключевым элементом станет развертывание SIEM-системы, адаптированной под нужды и возможности компаний именно среднего размера.
Эшелонированная защита среднего бизнеса
Долгосрочной целью компании будет построение эшелонированной защиты, в которой различные инструменты и меры дополняют друг друга, значительно усложняя атаку на компанию и сужая возможности атакующих. Почти наверняка в компании численностью 250–1000 человек уже есть базовые инструменты и первый слой этой защиты: ограничение доступа к IT-ресурсам при помощи аутентификации и авторизации пользователей, защита конечных точек (в народе «антивирус») и серверов, в том числе почтового сервера, а также межсетевой экран.
Следующая задача — дополнить (не заменить!) этот арсенал более продвинутыми инструментами кибербезопасности:
- системой комплексного мониторинга и сопоставления событий ИБ из различных источников данных (компьютеры, серверы, приложения) в режиме реального времени в рамках всей инфраструктуры — это и есть SIEM;
- инструментами получения расширенной информации о возможных инцидентах или просто подозрительной активности и аномалиях;
- средствами реагирования на инциденты, позволяющими оперативно проводить разнообразные действия, — от расследования инцидентов согласно требованиям регуляторов до изоляции скомпрометированных хостов и учетных записей, устранения уязвимостей и тому подобное.
В некоторых отраслях эти действия явно регламентированы регуляторами.
Внедрение таких инструментов дает защитникам совершенно новые возможности. Системы мониторинга событий информационной безопасности позволят детектировать действия атакующих, выполняемые без вредоносного ПО, обнаруживать не только подозрительные объекты, но и подозрительное поведение, визуализировать и приоритизировать события в инфраструктуре. При этом грамотное внедрение SIEM может не повысить, а снизить нагрузку на отдел ИБ.
Как работает SIEM-система и сколько стоит
Для комплексного мониторинга в IT-инфраструктуре организации уже два десятка лет существуют решения SIEM (Security Information and Event Management, управление информацией и событиями безопасности). Принцип работы SIEM-систем таков. Они состоят из нескольких компонентов, решающих задачи сбора, хранения, систематизации и анализа телеметрии, а также позволяют реагировать на поступающие события. Благодаря SIEM сотрудник ИБ может получать большинство оповещений в единой консоли, легко связывать разные аспекты события (создание файлов, сетевую активность, вход в учетную запись и так далее) в единое целое, не заставляя оператора копаться в пяти разных источниках данных, а главное — быстро реагировать на такие события. Высокая степень автоматизации экономит команде ИБ очень много времени.
Раньше существенным барьером для применения SIEM в среднем бизнесе была высокая цена решений, они ориентировались исключительно на крупные компании. Но теперь это изменилось, например, на рынке появилось отечественное решение Kaspersky Smart I, лицензия на которое значительно дешевле лицензии на «корпоративную» SIEM.
Архитектура SIEM для среднего бизнеса
Архитектура разных систем SIEM может несколько отличаться, но основные элементы таковы:
Источники событий — формально они не являются частью SIEM, но поставляют необходимую информацию. Все, что способно создавать логи при работе, будь то операционная система, агент EDR, бизнес-приложение или сетевое устройство, может быть источником.
Коллектор — как правило, это отдельный сервис, получающий логи с источников телеметрии для обработки в SIEM.
Нормализатор и хранилище логов — это уже части SIEM-платформы. Получая логи из коллекторов, нормализатор преобразует их и адаптирует для того, чтобы они были пригодны для использования, поиска и анализа. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.
Механизм корреляции событий — это «сердце» системы SIEM. Именно здесь происходит самое важное, когда разрозненные события из разных логов сопоставляются между собой, объединяются, если оказывается, что они относятся к одной и той же активности или разным этапам активности, а также приоритизируются. В установке приоритетов играет важную роль имеющаяся у защитников информация об угрозах (threat intelligence) — именно на ее основе можно написать правило, которое не будет беспокоить команду ИБ по поводу каждого запуска powershell, но поднимет тревогу, если powershell запускается с характерными для целевой атаки параметрами.
Дашборды и предупреждения — это чисто интерфейсная, но важная часть системы, позволяющая осмыслять тонны информации, легко находить нужное, быстро «закапываться вглубь» данных по нужному инциденту и вовремя узнавать о проблемах или подозрительных событиях.
Пример взаимодействия компонентов SIEM-системы
EDR: реагируем на подозрительные события
Предупреждения о подозрительной активности — это, конечно, хорошо, но они требуют подробного изучения. Здесь незаменимую помощь защитникам окажет EDR (Endpoint Protection and Response, защита и реагирование на конечных точках). Он развился из систем защиты конечных точек (EPP) и помогает собирать нужную детальную информацию со всех хостов (включая серверы и все рабочие компьютеры), а также применять нужные меры реагирования по команде от ИБ-специалиста. Под реагированием здесь понимается не только блокировка или удаление вредоносных файлов, но и просто запрос более глубокой информации вроде дампов памяти или конкретных логов, откат каких-то файлов к предыдущей версии, запуск специализированных программ и утилит, перевод компьютера в группу более строгих ограничений и ИБ-политик, блокировка учетной записи и так далее.
Применение EDR и связь с EPP
EDR не заменяет собой EPP, а дополняет. В то время как основная цель обычной защиты компьютеров — предотвратить запуск однозначно вредоносной активности (исполнение ВПО, открытие фишинговых сайтов и так далее), EDR работает с более сложными случаями, собирая детальную телеметрию, включая обычные «не подозрительные» события, и позволяя детектировать аномалии на каждом компьютере и в сети в целом. EPP и EDR работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на ИБ-команду.
EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Он незаменим для проактивного поиска угроз (threat hunting), когда признаки компрометации, замеченные в атаках на другие организации или обнаруженные на одном из компьютеров компании, нужно поискать во всей инфраструктуре. Например, в российской EDR-системе Kaspersky EDR Expert для этого имеются такие инструменты, как Yara-правила и гибкий конструктор поисковых запросов. Комбинируя возможности SIEM и EDR, можно визуализировать события на уровне конечных точек, найти похожую активность на различных компьютерах в сети и, конечно, отреагировать по шаблону на всех компьютерах, где обнаружились неприятные находки.
Победное комбо: SIEM+EDR
Эффективно внедрить комбинацию из российских SIEM и EDR и защитить компанию от сложных киберугроз можно при помощи решения Kaspersky SMART II, объединяющего Kaspersky Unified Monitoring and Analysis Platform и Kaspersky EDR Expert. Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.
Этапы внедрения SIEM-системы
Выбор решения SIEM. Этот вопрос очень прост, поскольку нужно выбрать либо одно из немногих коммерческих решений, доступных на рынке в России, ориентированных именно на средний бизнес и имеющих низкую стоимость лицензии, либо «бесплатный» open source. Слово «бесплатный» мы берем в кавычки, потому что, хотя лицензия не будет стоить денег, организация потратит на внедрение значительные ресурсы, и в первую очередь время ИБ-команды. Его потребуется кратно больше как при запуске решения, так и при дальнейшей эксплуатации. Не углубляясь в этот аспект, отметим, что полноценной «коробки» SIEM в open source нет и ее нужно самостоятельно собрать из компонентов, подгоняя их друг к другу: хранилище из ELK stack или OpenSearch, коллекторы и агенты на базе одного или нескольких инструментов OSSEC/Snort/Suricata, инструменты анализа и реагирования (Mozdef) и так далее. Популярные проекты OSSIM и Prelude тоже являются подобной компиляцией инструментов, поэтому их поддержка ничуть не проще, а возможности масштабирования сильно упираются в наличие времени и специфических навыков у команды IT/ИБ.
Пример зачаточной SIEM-системы на базе компонентов open source
Кроме прямых затрат на программное решение и человекочасов, надо учесть и аппаратную составляющую. Почти все SIEM достаточно требовательны к оборудованию, и придется приобретать или арендовать сервер специально под запуск.
У отечественных компаний среднего бизнеса есть отличный выход — решение Kaspersky Smart I. В него входит российский SIEM, платформа Kaspersky Unified Monitoring and Analysis (KUMA), имеющая рекордную в своем классе производительность. Ее отличает невысокая требовательность к аппаратным ресурсам и возможность развертывания в виртуальной среде. По необходимости решение может быть как развернуто на единственном сервере, так и распределено сообразно структуре организации, например, в каждом филиале может быть запущен свой коллектор.
Определение источников данных SIEM. Совместно с бизнесом нужно определить, что следует мониторить с использованием решения SIEM. Вопрос не так тривиален, поскольку при помощи SIEM можно не только ловить злоумышленников, но и отслеживать другие события, например избыточную нагрузку на серверы или даже какие-то параметры функционирования бизнеса вроде скорости выпуска товара со склада. Поставщиками информации могут быть сетевые устройства, серверы, обычные компьютеры и приложения. Детальное планирование источников данных дает уверенность, что решение SIEM настроено правильно и может контролировать все критически важные активы. При этом EDR, как правило, является источником номер один, поскольку дает детальную и хорошо структурированную для целей ИБ информацию о происходящем на серверах и рабочих станциях, но создает мало «шума», нерелевантных оповещений. Например, Kaspersky EDR Expert, входящий в Kaspersky Smart II, способен отправлять в SIEM не только «сырые» события, но и обнаружения угроз, относящиеся к сложным атакам.
Настройка решения SIEM. Когда источники данных утверждены, потребуется настроить решение SIEM для сбора и анализа данных о безопасности из этих источников. Это включает установку агентов сбора данных и настройку правил корреляции для идентификации потенциальных угроз безопасности. «Из коробки» почти все SIEM снабжены базовыми правилами корреляции, но они обязательно требуют адаптации к реалиям компании. После начальной настройки какие-то правила потребуют исправления, следует подробно проверить ситуации как избытка, так и дефицита оповещений.
Благодаря живому сообществу пользователей для решений Kaspersky существует не только официальная документация, но и неофициальные видеоруководства по установке и настройке SIEM.
Обучение специалистов. Решения SIEM требуют обученного персонала для эффективного управления и мониторинга. Команда ИБ в небольших компаниях — это обычно универсалы, мастера на все руки. Поэтому желательно, чтобы основными приемами работы с SIEM владели все специалисты отдела. Благо, SIEM позволяет им экономить время на рутинной работе вроде поиска приложений с сохраненными устаревшими паролями или расчистки рабочего e-mail от оповещений, поэтому все будут мотивированы применять новый инструмент.
Поддержка и развитие SIEM. SIEM — это живой инструмент, его настройки и правила нужно регулярно поддерживать и корректировать по мере роста и развития организации. Слишком «шумные» и малоэффективные правила надо понижать в приоритете или отключать, но также следует тестировать дополнительные правила корреляции для идентификации новых угроз.
Востребованность систем анализа и управления ИБ-событиями, а также EDR-решений растет, поскольку даже не очень большим компаниям теперь нужно реагировать на киберугрозы и инциденты ИБ более качественно, быстро и при этом затрачивать меньше усилий. Идеально подходящий для этого комплекс инструментов уровня enterprise благодаря Kaspersky Smart теперь доступен всем нуждающимся в нем бизнесам.
