Искусственный интеллект на службе информационной безопасности в компании

Подробности

Создано 13.10.2013 01:05

Системы мониторинга событий информационной безопасности (SIEM) получили широкое распространение. Сейчас в большинстве крупных организаций внедрены средства централизованного анализа событий. Различные системы передают данные о происходящих в них событиях на серверы мониторинга для их обработки и хранения.

Особое место среди таких систем занимают средства сбора событий информационной безопасности. Они очень важны для специалистов по данному направлению, так как с их помощью можно находиться в курсе происходящего с ИТ-ресурсами.

SIEM сохраняет всю информацию события в единой базе данных и позволяет составлять правила корреляции, выявляя статистические закономерности. Опционально предоставляются средства генерации отчетов и автоматизации расследования инцидентов. Также в SIEM может также присутствовать возможность реагирования на события и интеграции с системами IPS (Intrusion Prevention System — Системы предотвращения вторжений).

По внедрению данных систем написано множество статей. Некоторое время назад я тоже делал сравнительный анализ SIEM-систем [1]. Однако большинство промышленных продуктов данного класса обладает расширенным функционалом, который не используют во многих компаниях из-за недостатка информации. Подробнее об этих возможностях пойдет речь в статье.

Но для начала еще раз определимся с проблематикой, в которой используются SIEM, а затем рассмотрим, как еще могут применяться данные решения.

Для чего нужны SIEM

Для того чтобы эффективно защищать корпоративные ресурсы, недостаточно только внедрить средства защиты, такие как антивирусы, межсетевые экраны или жесткие парольные политики. Необходимо также осуществлять регулярный мониторинг событий информационной безопасности в целях поиска нарушителей и предотвращения новых угроз. Для серверов и рабочих станций под управлением Windows все необходимые для этого данные сохраняются в журнале Event Log, для серверов под управлением UNIX-like OS и сетевого оборудования это Syslog. Их формат может быть различным: текстовые файлы, таблицы баз данных.

Следующий вопрос: «Что именно хранится в этих журналах?» Каждое приложение сохраняет характерные данные, межсетевой экран — информацию о попытках обращений на закрытые порты, антивирусные системы — обнаружение вирусов, система аутентификации — неверный ввод пароля....

В крупных организациях число устройств, мониторинг которых необходимо осуществлять, измеряется десятками, а то и сотнями. И количество сообщений может исчисляться десятками тысяч в сутки.Для автоматизации процесса поиска важных сообщений (например, о неудачном вводе пароля при входе в систему) можно использовать сценарии собственного написания, но для мониторинга в промышленных масштабах нужно более мощное и наглядное решение.

Также внедрение SOC (Security Operation Center) способствует повышению управляемости компании и выявлению «слабых мест» в системе защиты.

В статье [1] представлен сравнительный анализ нескольких SIEM-систем. Здесь я приведу в качестве примера наиболее мощную систему данного класса — HP ArcSight. Существуют как программные, так и аппаратные реализации этого решения.

Система ArcSight состоит из трех основных компонентов:

Manager— собственно ядро системы, осуществляющее обработку и корреляцию событий.

SmartConnectors— коннекторы, которые подключаются к устройствам и осуществляют сбор событий.

DataBase— база данных, в которой хранятся все события.

При установке ArcSight все три компонента можно установить на один сервер, но делать это крайне нежелательно. Как минимум необходимо разнести коннекторы с остальными модулями. Тогда, в случае выхода из строя менеджера (если не используется отказоустойчивая конфигурация), события станут кэшироваться на коннекторах и затем передаваться в базу данных, после чего будут обработаны менеджером при его включении. Впрочем, в аппаратных решениях существует исполнение «все в одном».

В качестве базы данных до недавнего времени использовалась СУБД Oracle, однако в вышедшей в прошлом году версии 6 вместо нее используется собственная СУБД, представляемая пользователю как «черный ящик». По всей видимости, разработчикам надоело решать проблемы с БД, создаваемые «умелыми» пользователями, которые пытаются самостоятельно оптимизировать базу данных. Кроме того, это позволяет усилить защищенность системы, так как СУБД Oracle довольно популярна и существует множество средств для ее взлома.

В целом большинство современных SIEM-систем имеет схожую структуру, поэтому все описываемое далее будет применимо и для них.