Security Vision 5.0: швейцарский нож в информационной безопасности
Данила Луцив, Security Vision
Мы продолжаем обзор возможностей новой версии платформы Security Vision, начатый ранее https://www.securityvision.ru/blog/obzor-novykh-vozmozhnostey-platformy-upravleniya-protsessami-info. . На этот раз мы хотели бы глубже осветить основные отличия нашего продукта от тех, что представлены на рынке, и те механизмы, которые лежат в основе платформы и позволяют оптимизировать практически любой процесс информационной безопасности и смежных областей.
Объектно ориентированный подход
Большинство IRP\SOAR систем сегодня сфокусированы вокруг одного единственного объекта: «инцидент». Для контроля активов лучшие практики советуют использовать CMDB, а для контроля уязвимостей — Vulnerability Management System. За учетные записи будет отвечать IDM, а за риски — GRC. Даже если все эти системы есть в компании и каждая из них справляется со своими задачами, для получения комплексной картины необходимо будет проделать немалую работу: выгрузить все интересующие результаты, привести их к единой модели данных и, на основе этих данных, сформировать нужную аналитику. В результате у вас никогда не бывает действительно актуальной картины происходящего — ситуация может поменяться кардинально сразу после того, как вы загрузили данные в Excel. Стоит ли говорить, что на все эти операции тратится огромное количество времени сотрудников ИТ и ИБ.
Когда счет идет на минуты, а иногда на секунды, у специалистов, отвечающих за реагирование на инциденты, просто нет времени для сводной аналитики из десятков различных источников, часть из которых доступна только по звонку «обладателю сакрального знания». Владелец системы ушел на обед — и вот уже Initial Access превращается в Lateral Movement.
А ведь список типов объектов контроля в ИБ совсем не ограничивается вышеперечисленным. Сертификаты, программное обеспечение и лицензии, внешние поставщики услуг, компании по осведомленности пользователей, учет оборудования и его устаревание, изменения, проекты, Shadow IT и многое другое. Все это требует учета и особого жизненного цикла, для успешного функционирования которого требуется слаженное взаимодействие сотрудников и систем. Именно по этой причине никаких ограничений на типы объектов контроля в нашем продукте нет, а создавать их стало просто и удобно.
Платформа Security Vision может поставляться с предустановленными модулями управления инцидентами, активами, уязвимостями, рисками, специализированными оценками соответствия, какими как КИИ, PCI DSS, SWIFT и т.д. Эти модули содержат в себе все необходимые объекты, справочники, рабочие процессы дашборды и отчеты.
Но даже самые лучшие аналитики не смогут продумать каждый нюанс инфраструктуры заказчика, учесть особенности внутренних процессов компании, требований регуляторов и бизнеса. По этой причине основный акцент нашего продукта сосредоточен на гибкости любого из элементов системы. И это гибкость доступна для рядового пользователя, без привлечения вендора или интеграторов. Без внешних скриптов, прямо в интерфейсе платформы в режиме NoCode или LowCode (в случае интеграций).
Как же эта гибкость выглядит в реальности? Рассмотрим несколько сценариев кастомизации.
Инциденты
Безусловно, главным драйвером в автоматизации ИБ становится неизменно растущее количество инцидентов. Процесс их обработки для аналитика должен быть максимально простым и понятным. У него нет времени вчитываться в вереницу свойств инцидента в надежде найти значимую информацию. В зависимости от типа инцидента фокус внимания должен быть нацелен на совершенно разные вводные. По этой причине различные типы инцидентов в платформе имеют в Security Vision абсолютно различные представления.
Источник
SIEM системы (Security Information and Event Management) — что это и зачем нужно?
Руслан Рахметов, Security Vision
Итак, в двух предыдущих статьях мы с вами ознакомились с основными концепциями информационной безопасности (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/) и с тем, что из себя представляет Центр SOC (https://www.securityvision.ru/blog/soc-chto-eto/). В этой статье мы поговорим уже более детально про разнообразные средства защиты информации, которыми пользуются специалисты по информационной безопасности, и особое внимание уделим системам управления информацией о безопасности и событиями информационной безопасности, т.е. SIEM (Security Information and Event Management). Начнем!
Как мы уже узнали ранее (https://www.securityvision.ru/blog/informatsionnaya-bezopasnost-chto-eto/), защищать информацию можно техническими, организационными, физическими мерами. Организационные меры — это выстраивание процессов информационной безопасности, таких как написание политик, регламентов, инструкций для безопасной обработки информации, подготовка правовой базы, управление и коммуникация по вопросам безопасности бизнес-процессов. Физические меры — это защита материальных активов, т.е. непосредственно серверов, компьютеров и даже сотрудников с помощью систем контроля и учета доступа (сокращенно — СКУД), систем сигнализации, пожаротушения, вентиляции, видеонаблюдения, прочих охранных систем. А технические средства — это как раз все те хитроумные системы, которые применяются экспертами по защите информации в SOC-Центрах (https://www.securityvision.ru/blog/soc-chto-eto/). О них мы поговорим подробнее.
Итак, для технического обеспечения информационной безопасности есть два принципиально разных подхода: превентивный и детективный. Превентивный способ защиты информации направлен на недопущение нарушения состояния информационной безопасности актива, например, блокирование запуска вредоносного файла антивирусом или запрет на входящее несанкционированное подключение межсетевым экраном. Таким образом, угрозы информационной безопасности пресекаются в зародыше — всё направлено на сохранение информации с помощью превентивных (предотвращающих) средств.
Зачем же применяют еще и второй подход, детективный? Суть детективного подхода заключается в том, чтобы собрать как можно больше информации о неком событии или действии, при условии, что мы точно не знаем, являются ли эти события или действия легитимными или нет. Например, сотрудник отправляет коллеге по электронной почте зашифрованный файл, а антивирусная система не может проверить его — он не открывается без ввода пароля. Что делать в таком случае? Блокировать отправку? А вдруг это важное и срочное сообщение, а файл — годовой финансовый отчет, запароленный для большей надежности? А если это на самом деле вирус, который сам себя распространяет по сети компании, избегая обнаружения таким вот образом? Задача детектирующих (обнаруживающих) средств — собрать о данном событии как можно больше информации и отправить специалисту по информационной безопасности для того, чтобы он принял решение. Возможно, потребуется телефонный звонок отправителю сообщения для получения дополнительной информации или согласование такой отправки у руководителя.
Одним из ярких примеров таких обнаруживающих систем является система управления информацией о безопасности и событиями информационной безопасности — SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна? По сути SIEM — это система, накапливающая в себе все данные (журналы работы или, как говорят спецы, логи) от других средств защиты, умеющая понимать многие «форматы» логов из разных источников — средств защиты, быстро искать нужную информацию в этих логах, долгое время их хранить. Кроме этого, SIEM-система должна уметь выполнять ряд дополнительных действий: осуществлять таксономию (распределять поступающие данные по типам и категориям) и корреляцию (т.е. связывать казалось бы разрозненные события между собой), отправлять уведомления ответственным лицам о выявленных подозрительных событиях в журналах, предоставлять дополнительную информацию по каждому из событий и устройств в сети.
Но как же выглядит работа системы SIEM на практике? Чтобы ответить на эти вопросы, сначала представим себе компанию среднего размера, т.е. с числом сотрудников около 1000, каждый из которых работает за ПК, а важная информация и бизнес-системы хранятся и работают на серверах. В такой компании общее число типов технических систем защиты, как превентивных, так и детектирующих, легко может перевалить за десяток. Давайте перечислим распространенные типы средств защиты информации:
1. Антивирусы предотвращают выполнение вредоносного кода и деятельность вредоносного программного обеспечения на конечных точках (рабочих станциях и серверах), в локальном и веб-трафике, в электронной почте.
2. Средства антиэксплойт защиты позволяют обнаруживать и предотвращать вредоносное воздействие эксплойтов, т.е. программ или набора команд, использующих уязвимости установленного прикладного или системного программного обеспечения.
3. Системы контроля и управления учетными записями осуществляют централизованное управление учетными записями пользователей и администраторов ИТ-систем.
4. Средства предотвращения утечек данных предназначены для защиты от несанкционированной передачи ценной информации в нарушение установленных в компании правил — например, копирование рабочей информации на флешку или отправка на личную почту.
5. Межсетевые экраны (синоним брандмауэра или файерволла) контролируют входящий и исходящий сетевой трафик и в локальной сети, и в интернет. Цель контроля — разрешать нужный трафик легитимным приложениям и запрещать потенциально опасным.
6. Системы обнаружения и/или предотвращения сетевых вторжений предназначены для анализа сетевого трафика и поиска в нем признаков того, что устройство пытаются атаковать через сеть с применением эксплойтов. Как следует из названия, системы обнаружения вторжений только оповещают о возможной атаке, а системы предотвращения вторжений автоматически блокируют подозрительный трафик.
7. «Песочницы», или, по-научному, средства изолированного выполнения программ позволяют запускать подозрительный файл в изолированной виртуальной среде, которая специально предназначена для поиска аномалий или потенциально вредоносного поведения исследуемого файла.
8. Сканеры уязвимостей предназначены для проведения анализа уязвимостей различных ИТ-систем путем получения данных об используемых версиях ПО и сравнением данной информации с каталогами известных уязвимостей, применимых к данным версиям.
9. Системы ресурсов-приманок для злоумышленников (англ. honeypots и honeynets) представляют собой заранее созданные «муляжи» информационных систем, похожих на реальные системы компании, но не содержащих никаких ценных данных. Атакующие, попав в такую ловушку, попробуют применить свой инструментарий для проведения атаки, а в этот момент их действия будут тщательно журналироваться и затем изучаться специалистами по защите информации.
10. Средства управления портативными устройствами (англ. MDM – Mobile Device Management) представляют собой программы для контроля и защиты портативных устройств сотрудников организации. Установив такое средство на своё устройство, сотрудник может получить контролируемый и безопасный удаленный доступ к ИТ-ресурсам организации, например, подключив себе на смартфон рабочую почту.
Разумеется, кроме описанных средств существуют и другие, менее распространенные, такие как системы защиты от DDoS-атак, системы защиты электронной почты, системы криптографической защиты информации, средства контроля баз данных, системы контроля действий пользователей, системы инвентаризации, классификации и учета активов, системы анализа и поиска актуальных угроз, системы защиты облачных сервисов. В следующих публикациях мы поговорим также о системах IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), SOAR (Security Orchestration, Automation and Response, системы управления, автоматизации и реагирования на инциденты), SGRC (Security Governance, Risk-management and Compliance, системы управления информационной безопасностью, рисками и соответствия законодательству).
Но, однако же, вернемся к системам SIEM. После того, как мы увидели, какими многообразными бывают системы защиты в нашей воображаемой компании, давайте подумаем, как можно получить данные со всех таких систем, обработать их и сделать пригодными для того, чтобы они помогли специалисту по ИБ расследовать инцидент информационной безопасности. Иначе говоря, как же работают SIEM системы? Что именно делает SIEM-система, в чем польза от её применения, какие функции выполняет SIEM? Ответим по порядку.Первая задача SIEM — получить данные от источника. Это может быть как «активный» источник, который сам умеет передавать данные в SIEM и ему достаточно указать сетевой адрес приемника, так и «пассивный», к которому SIEM-система должна обратиться сама. Получив от источника данные, SIEM-система преобразует их в единообразный, пригодный для дальнейшего использования формат — это называется нормализацией. Сравним это с большой компанией людей из разных стран: все говорят на своих языках, а SIEM-система всех слушает и нормализует, т.е. переводит всё на английский, чтобы потом можно было просмотреть всю беседу на едином, понятном языке.
Далее SIEM-система выполняет таксономию, т.е. классифицирует уже нормализованные сообщения в зависимости от их содержания: какое событие говорит об успешной сетевой коммуникации, какое — о входе пользователя на ПК, а какое — о срабатывании антивируса. Таким образом, мы получаем уже не просто набор записей, а последовательность событий с определенным смыслом и временем наступления. Значит, что мы уже можем понять, в какой последовательности шли события и какая может быть связь между ними. Тут в игру вступает основной механизм SIEM-систем: корреляция. Корреляция в SIEM — это соотнесение между собой событий, удовлетворяющих тем или иным условиям (правилам корреляции). Пример правила корреляции: если на двух и более ПК в течение 5-ти минут сработал антивирус, то это может свидетельствовать о вирусной атаке на компанию. Более сложное правило: если в течение 24 часов были зафиксированы чьи-то попытки удаленно зайти на сервер, которые в конце концов увенчались успехом, а затем с этого сервера началось копирование данных на внешний файлообменник, то это может свидетельствовать о том, что злоумышленники подобрали пароль к учетной записи, зашли внутрь сервера и крадут важные данные. По итогам срабатывания правил корреляции в SIEM-системе формируется инцидент информационной безопасности (в некоторых системах, например, в SIEM IBM QRadar инцидент называется Offense). При этом специалист по ИБ при работе с SIEM должен иметь возможность быстрого поиска по хранящимся в SIEM-системе предыдущим инцидентам и событиям на случай, если ему потребуется узнать какие-либо дополнительные технические подробности для расследования атаки.
Итак, основные задачи SIEM-систем таковы:
1. Получение журналов с разнообразных средств защиты
2. Нормализация полученных данных
3. Таксономия нормализованных данных
4. Корреляция классифицированных событий
5. Создание инцидента, предоставление инструментов для проведения расследования
6. Хранение информации о событиях и инцидентах в течение длительного времени (от 6 месяцев)
7. Быстрый поиск по хранящимся в SIEM данным
Кроме указанного функционала, SIEM-системы могут также оснащаться дополнительными функциями, такими как управление рисками и уязвимостями, инвентаризация ИТ-активов, построение отчетов и диаграмм и т.д. Автоматизированное реагирование на инцидент также можно настроить, для этого используются системы IRP (Incident Response Platform, платформы реагирования на инциденты информационной безопасности), которые могут без участия человека, например, заблокировать взломанную учетную запись или отключить инфицированный ПК от сети.
Источник
