Система автоматизации службы поддержки

2.3.8 Итоговые результаты сравнительного анализа SIEM

Итоговые результаты сравнительного анализа представлены на рисунке 2.8.

Рисунок 2.8 - Итоговый результат по всем параметрам

HP ArcSight поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Корреляционные возможности IBM QRadar за последнее время значительно возросли, но пока не дотягивают до возможностей ArcSight. У продукта появилось много нового, передового функционала, благодаря которому он оказался на лидирующих позициях отчёта Гартнер. QRadar имеет отличные возможности горизонтальной масштабируемости, присутствует функционал анализа сетевых потоков, а также возможность интеграции с множеством дополнительных модулей от IBM. Возможности тонкой отладки и кастомизации ограничены.

В продукте McAfee ESM реализован довольно удобный и понятный web-интерфейс, позволяющий быстро изменять представления данных при расследовании. Корреляционный функционал, реализованный в компоненте ERC, не отличается высокой гибкостью настройки. Существует также ACE - отдельное устройство, поддерживающее как real-time, так и историческую корреляцию и реализующее risk-based корреляцию. Возможности тонкой отладки и кастомизации ограничены.

Основная концепция продукта RSA Security Analytics основана на более тесном включении информации о сетевых потоках в стандартную логику работы SIEM. Продукт имеет удобный и понятный web-интерфейс, что облегчает его изучение. Корреляционный функционал ограничен, существует дополнительный корреляционный модуль. Продукт позиционируется вендором как решение для больших инсталляций, этому способствуют его богатая модульная структура и интеграция с высокоуровневыми продуктами RSA (Archer, ECAT, RSA Security Operations Management). Возможности тонкой отладки и кастомизации ограничены.

PT MaxPatrol SIEM - российский вендор, начинающий свой путь на рынке SIEM-решений, и этот продукт имеет все шансы прочно закрепиться на внутреннем рынке благодаря позициям вендора и тенденциям к импортозамещению. Продукт активно развивается, в нем уже реализована большая часть функционала современных SIEM-решений. Основной продукт - хорошо зарекомендовавший себя MaxPatrol, следовательно, интеграция SIEM-системы с функционалом управления уязвимостями и аудита систем максимальна.

Исходя из результатов сравнительного анализа, можно сделать вывод, что продукт HP ввиду его гибкости и богатого функционала, больше подходит крупным компаниям, с широким штатом сотрудников ИБ. Организациям не такого большого более подойдут решения от компаний MсAfee и IBM, поскольку имеют хорошую «базовую комплектацию» предустановленных настроек, правил и отчетов.

SIEM - весьма непростое решение для процесса управления «журналами событий», к тому же достаточно дорогостоящее для внедрения в малом и среднем бизнесе. Для его эксплуатации необходимо иметь как минимум одного квалифицированного сотрудника, который будет обеспечивать контроль непрерывности сбора событий, управлять правилами корреляции, корректировать и обновлять их с появлением новых угроз и в соответствии с изменениями в инфраструктуре. Установка SIEM в качестве «черного ящика» с активацией всех предустановленных правил корреляции без надлежащего контроля и управления приведет к растрате бюджета. Однако при успешном внедрении можно получить:

корреляцию и оценку влияния IТ- и ИБ-событий и процессов на бизнес;

SOC с анализом ситуации в инфраструктуре в режиме реального времени;

автоматизацию процессов обнаружения угроз и аномалий;

автоматизацию процессов регистрации и контроля инцидентов;

аудит политик и стандартов соответствия, контроль и отчетность;

задокументированное корректное реагирование на возникающие угрозы ИБ и ИТ в режиме реального времени с приоритизацией в зависимости от влияния угроз на бизнес-процессы;

возможность расследования инцидентов и аномалий, в том числе произошедших давно;

доказательную базу для судебных разбирательств;

отчетность и показатели (KPI, ROI, управление событиями, управление уязвимостями).

3. Рекомендации по построению SOC

Security Operation Center - это не только и не столько технические средства, это прежде всего команда, задача которой обнаруживать, анализировать, реагировать, уведомлять о возникновении и предотвращать инциденты ИБ. Чтобы персонал, вооруженный техническими средствами, понимал свои задачи, имел четкие инструкции и KPI, мог эффективно взаимодействовать внутри SOC и со смежными подразделениями, необходимо выстроить целый ряд процессов в зоне ответственности SOC, направленных на повышение защищенности ИТ-инфраструктуры.

Таким образом, формула работающего SOC выглядит так: SOC = персонал + процессы + технические инструменты.

3.1 Цели и процессы SOC

Структура и порядок функционирования SOC в первую очередь определяются целями его создания. Эти цели должны быть определены в соответствии с бизнес целями организации и зафиксированы документально. Например, к целям SOC можно отнести:

регламентирование и систематизация деятельности по выявлению и реагированию на инциденты;

минимизация рисков, таких как: не своевременное обнаружение и оповещение об инциденте, неверная корреляция событий или инцидентов ИБ между собой, выбор недейственных процедур по блокировке распространения инцидента ИБ, утрата свидетельств инцидента и возможности его расследования в будущем;

снижение количества инцидентов ИБ и связанных с ними финансовых потерь;

снижение совокупных затрат на управление инцидентами ИБ;

повышение корпоративной дисциплины.

Эффективная реализация поставленных перед SOC целей возможна при грамотном подходе к организации его деятельности.

Для этого может быть использована успешно зарекомендовавшая себя модель обеспечения качества PDCA (Plan Do Check Act). Она используется международным институтом стандартов ISO как основа для формирования рекомендаций по различным направлениям обеспечения безопасности, в частности, в области управления инцидентами в стандарте ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management. Следуя PDCA, деятельность SOC можно разделить на следующие процессы.

Планирование и подготовка деятельности в SOC:

разработка политик и процедур SOC;

доработка существующих политик и процедур безопасности и управления рисками для обеспечения поддержки деятельности SOC;

создание и обеспечение деятельности SOC как организационной единицы;

повышение квалификации сотрудников SOC и осведомленности сотрудников организации по вопросам деятельности SOC;

обеспечение периодического тестирования функций SOC.

Использование SOC:

обнаружение и оповещение о возникших событиях ИБ;

сбор информации о произошедших событиях ИБ для выявления инцидентов ИБ;

реагирование на инциденты ИБ;

регистрация свидетельств инцидента ИБ для их последующего анализа;

устранение выявленных причин возникновения инцидента ИБ.

Анализ:

правовая экспертиза инцидента ИБ;

анализ инцидента и извлечение уроков;

определение необходимых улучшений системы безопасности;

определение необходимых улучшений деятельности SOC, в том числе на основе сформированных ключевых индикаторов эффективности.

Корректирующие воздействия для устранения выявленных несоответствий:

корректировка результатов анализа рисков безопасности и анализа менеджмента в организации;

пересмотр документации SOC и повышение эффективности программно технических средств SOC;

реализация улучшений в области безопасности, включая внедрение новых и (или) обновленных защитных мер.

Реализация указанных процессов осуществляется сотрудниками SOC и инфраструктурой, обеспечивающей их деятельность.

3.2 Компетенции сотрудников

Состав персонала, входящего в SOC, в зависимости от уровня развития центра и бизнеса компании, как правило, включает в себя первую и вторую линию операторов, 1-2 экспертов/аналитиков, менеджера инцидентов ИБ руководителя подразделения.

Первая и вторая линия операторов. Структура, аналогичная центру поддержки пользователей (Help Desk). Первая линия операторов занимается приемом, регистрацией и первичной оценкой событий информационной безопасности. Оператор первой линии, в случае его достаточной компетенции, может самостоятельно обработать и принять меры для решения. Более сложные или обладающие высокой степенью критичности инциденты эскалируются во вторую линию.

Эксперт/аналитик - специалист, обладающий передовыми знаниями в области информационной безопасности и отвечающий за расследование самых сложных инцидентов и оперативное противодействие направленным атакам. Также эксперт занимается поиском уязвимостей ИТ систем и может самостоятельно инициировать проведение расследований для выявления возможных нарушений.

Менеджер инцидентов ИБ. Менеджер процессов, обеспечивающий координацию участников реагирования на инциденты, контролирующий своевременность принятия мер противодействия распространению инцидентов и ущерба от них, обеспечивающий эскалацию инцидента и его расследование.

Руководитель подразделения - сотрудник, в обязанности которого входит общее руководство центром и ответственность за своевременное и качественное выполнение центром своих функций.

Необходимо отметить, что для полно ценного функционирования в работу SOC должны быть вовлечены не только его сотрудники, но и все работники защищаемой организации, ведь безопасность организации зависит и от их своевременных действий и соблюдения ими установленных процедур. Именно с них начинается организация защиты и именно благодаря их бдительности возможно обнаружение и информирование штатных сотрудников SOC о возможных событиях и уязвимостях в информационной безопасности. Общий успех и продуктивность работы центра невозможны без тесного сотрудничества с другими подразделениями организации: высшим руководством, департаментов рисков, юридическим департаментом, ИТ, владельцами активов, отделом кадров, департаментом внешних связей и др.

3.3 Подготовка и сведения инфраструктуры

В основе инфраструктуры SOC лежат современные ИТ технологии, список которых может быть очень обширным. Остановимся на самом необходимом наборе программно технических средств SOC, обеспечивающих автоматизацию его деятельности.

Основой для автоматизированного сбора, хранения и анализа, а также для вы деления событий информационной безопасности из событий, генерируемых всеми ИТ системами компании, является SIEM (

Эта система - основа для выявления событий ИБ, проведения как оперативного, так и ретроспективного расследования инцидентов ИБ. Также она предоставляет инструментарий для выявления практически любых действий злоумышленника или причин технического сбоя, произошедших в сети компании.

Для обнаружения уязвимостей в SOC используются специализированные сканеры и системы анализа конфигураций. Например, они позволяют автоматизировать контроль соответствия настроек сетевого оборудования заданным корпоративным политикам, инвентаризацию защищаемых активов и выявление уязвимых версий ПО. Собранные ими данные должны находиться в оперативном доступе для сотрудников SOC, как для адекватной оценки возможных последствий и сценариев развития атак и нарушений безопасности, так и для определения и устранения их причин. Обозначенные системы - это так называемый набор “must have”. Но и он может корректироваться в зависимости от зрелости компании или уровня развития центра оперативного реагирования. Из дополнительного инструментария можно выделить такие системы, как:

системы предотвращения утечек конфиденциальной информации;

системы расследования инцидентов и сбора доказательств;

системы предотвращения атак типа “отказ в обслуживании”.

Реалии современного информационного мира предъявляют к инструментарию центра дополнительные требования.

Первое - это так называемая инфраструктура больших данных (Big Data). Объем информации, генерируемой всеми системами компании, уже давно легко перешагивает терабайты данных, представляя собой плохо структурированную разрозненную массу.

Сейчас недостаточно просто собрать определенные события с ограниченного набора устройств. Например, с межсетевых экранов и систем предотвращения вторжений. Реалии таковы, что защищаться и, соответственно, обнаруживать злонамеренную или аномальную активность нужно не только на периметре, но и непосредственно внутри корпоративной сети, на ресурсах, тесно или косвенно связанных с активами. Парадигма выявления уже сместилась от поиска известного к поиску неизвестного. Поэтому важно собрать, проанализировать и сохранить огромное количество разнородной и, казалось бы, несвязанной информации. До начала обнаружения инцидента трудно предсказать, какие данные понадобятся для его расследования. Например, возможно, будет необходимо: восстановить связанные сетевые сессии - вплоть до их содержимого и переданных файлов; найти связанные записи систем видеонаблюдения, используя выявленные этими системами события; сопоставить информацию от СКД и других систем физической безопасности и многое другое.

Таким образом, технический инструментарий центра должен уметь проводить анализ этих больших данных, превращаясь в единый инструмент мониторинга и расследования, который объединяет все различие технологии и позволяет выявлять атаки или злонамеренную деятельность по косвенным признакам, собранным по крупицам с различного оборудования и информационных систем. В результате получается беспрецедентное по функционалу комплексное решение для углубленного исследования информации о безопасности и корпоративных данных, сочетающее интеллектуальный мониторинг и оповещение со средствами анализа угроз и рисков.

Такое решение объединяет возможности корреляционного анализа в реальном времени для получения актуальных знаний об угрозах безопасности, функции специализированной аналитики больших массивов структурированных данных (например, оповещений о событиях безопасности устройств, регистрационные журналы ОС, транзакции DNS серверов и информационные потоки в сети) и неструктурированных данных (сообщения электронной почты, контент социальных медиа, полная информация о пакетах данных и бизнес транзакции), а также экспертные возможности для сбора доказательств нарушений безопасности. Такое сочетание помогает организациям решать наиболее сложные проблемы безопасности, включая самые разноплановые угрозы - кибератаки, мошенничество и инсайдерские угрозы.

Вторым пунктом можно представить оценку зрелости процессов системы ИБ компании по методике CMMI, которая характеризуется 5 уровнями, изображенными на рисунке 3.1.

Рисунок 3.1 - Уровни зрелости CMM

Третье - это оперативная аналитика. Следующим естественным шагом после сбора и контроля данных является предоставление инструмента для выявления и качественного расследования потенциальных и новых угроз:

выявление сложных взаимосвязей между, казалось бы, не связанными между собой событиями;

выявление только зарождающегося инцидента, что ведет к предотвращению финансовых потерь;

качественное расследование уже произошедших инцидентов для выработки контрмер для предотвращения их повторения в дальнейшем.

В четвертых - это дополнение собранных данных интеллектуальными знаниями. Помощь в понимании, что именно искать, и дополнение собранных данных экспертными знаниями - контекстом. Это может быть информация об угрозах, описывающая их признаки или методы поведения, благодаря которым их можно выявить. Это парсеры, расширяющие поддержку в обработке новых источников. Это так называемый контекст, добавляющий в собранную информацию полезные знания. Например, автоматическое дополнение записей о действиях сотрудника или клиента информацией о конкретном субъекте, вместо сведений об учетной записи.

Заключение

Внедрение и системное использование СМИИБ позволяет уменьшить негативное воздействие инцидентов ИБ на бизнес, усилить акцент на их предупреждение, улучшить качество результатов оценки и управления рисками ИБ, что в итоге позволяет повысить общий уровень ИБ компании.

Помимо повышения защиты бизнеса, построение процесса управления инцидентами зачастую преследует цель соответствия требованиям различных отраслевых и международных стандартов, большинство из которых содержат требования, касающиеся непосредственно не только мониторинга обращений к критичным данным, но и процедуры работы с инцидентами ИБ.

Полученные результаты анализа требований стандартов менеджмента ИБ, позволили выявить общий организационный процесс выявления инцидентов ИБ в компании.

Исходя из результатов сравнительного анализа мощного технического средства SIEM, были сделаны выводы о применимости исследуемых продуктов в различных компаниях. Например, продукт HP ввиду его гибкости и богатого функционала, больше подходит крупным компаниям, с широким штатом сотрудников ИБ. Организациям с небольшой командой ИБ более подойдут решения от компаний MсAfee и IBM, поскольку имеют хорошую «базовую комплектацию» предустановленных настроек, правил и отчетов.

Развитие SIEM систем идет в сторону расширения функций и поглощения решений, бывшими самостоятельными до этого. Таким образом, сложность выбора в пользу того или иного способа реализации SOC постоянно растет, как и растет уровень компетенций, который необходим сотрудникам служб ИБ для построения SOC.

Список использованных источников

1. ISO/IEC 27001:2013 «Information security management system» и ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»

2. ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management» и ГОСТ Р ИСО/МЭК ТО 18044-2007. «Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»

3. NIST SP 800-61 «Computer security incident handling guide»

4. Аксенов В. Руководство по обработке инцидентов компьютерной безопасности [Электронный ресурс] //Itsec http://itsec.by/rukovodstvo-po-obrabotke-incidentov-kompyuternoj-bezopasnosti-nist-sp-800-61-r2/ (дата обращения 12.05.2016).

5. CMU/SEI-2004-TR-015 «Defining incident management processes for CSIRT»

6. Безмалый В. Реагирование на инциденты информационной безопасности Add-Ons [Электронный ресурс] //It-community https://www.it-community.in.ua/2014/07/reagirovanie-na-intsidenty-informatsionnoj-bezopasnosti.html/ (дата обращения 12.05.2016).

7. СТО БР ИББС - 1.0 - 2014. «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения».

8. РС БР ИББС - 2.5 - 2014. «Менеджмент инцидентов информационной безопасности».

9. ISO/IEC 27035:2011 «Информационные технологии. Метод обеспечения безопасности. Управление случайностями в системе информационной безопасности»

10. SIEM Add-Ons [Электронный ресурс] //McAfee http://www.mcafee.com/us/products/siem/index.aspx (дата обращения 02.05.2016).

11. Продуктовая линейка HP ArcSight [Электронный ресурс] // ArcSight http://arcsight-russia.ru/products-hp-arcsight/products-hp-arcsight (дата обращения 02.05.2016).

12. http://www.ptsecurity.ru/products/mpsiem/

13. http://russia.emc.com/security/security-analytics/security-analytics.htm

14. http://www-03.ibm.com/software/products/ru/qradar-siem

15. http://www.jetinfo.ru/jetinfo_arhiv/soc-kak-chasovoj-mekhanizm/sravnenie-siem-reshenij-dlya-postroeniya-soc/2015

16. https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market#

Приложение

Таблица А.1 - Расчетная таблица сравнительного анализа

Размещено на Allbest.ru