Информация о безопасности и управление событиями
Компьютерная безопасность

Управление информацией и событиями безопасности (SIEM) — это область компьютерной безопасности , которая объединяет управление информацией безопасности (SIM) и управление событиями безопасности (SEM) для обеспечения анализа оповещений безопасности в реальном времени, генерируемых приложениями и сетевым оборудованием. [1] [2] Системы SIEM играют центральную роль в центрах управления безопасностью (SOC), где они используются для обнаружения, расследования и реагирования на инциденты безопасности. [3] Технология SIEM собирает и объединяет данные из различных систем, позволяя организациям соблюдать требования соответствия и одновременно защищаться от угроз .

Инструменты SIEM могут быть реализованы как программное обеспечение, оборудование или управляемые сервисы. [4] Системы SIEM регистрируют события безопасности и создают отчеты для соответствия нормативным базам, таким как Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Стандарт безопасности данных индустрии платежных карт (PCI DSS). Интеграция SIM и SEM в SIEM предоставляет организациям централизованный подход к мониторингу событий безопасности и реагированию на угрозы в режиме реального времени.

Термин SIEM, впервые представленный аналитиками Gartner Марком Николеттом и Амритом Уильямсом в 2005 году, со временем стал включать в себя расширенные функции, такие как анализ угроз и поведенческая аналитика, которые позволяют решениям SIEM управлять сложными угрозами кибербезопасности, включая уязвимости нулевого дня и полиморфное вредоносное ПО .

В последние годы SIEM все чаще включается в национальные инициативы по кибербезопасности. Например, указ 14028, подписанный в 2021 году президентом США Джозефом Байденом, предписывает использование технологий SIEM для улучшения обнаружения инцидентов и отчетности о них в федеральных системах. Соблюдение этих требований дополнительно подкрепляется такими фреймворками, как NIST SP 800-92, в котором изложены лучшие практики управления журналами компьютерной безопасности. [2]

История

Первоначально системное ведение журнала использовалось в основном для устранения неполадок и отладки. Однако по мере усложнения операционных систем и сетей усложнялось и создание системных журналов. Мониторинг системных журналов также стал все более распространенным из-за роста числа сложных кибератак и необходимости соблюдения нормативных рамок, которые предписывают ведение журналов безопасности в рамках фреймворков управления рисками (RMF).

Начиная с конца 1970-х годов рабочие группы начали устанавливать критерии для управления программами аудита и мониторинга, закладывая основу для современных методов кибербезопасности, таких как обнаружение внутренних угроз и реагирование на инциденты. Ключевой публикацией в этот период была специальная публикация NIST 500-19. [5]

В 2005 году аналитики Gartner Марк Николетт и Амрит Уильямс ввели термин «SIEM» (Security Information and Event Management). Системы SIEM предоставляют единый интерфейс для сбора данных о безопасности из информационных систем и представления их в качестве оперативных данных. [6] Национальный институт стандартов и технологий дает следующее определение SIEM: «Приложение, которое обеспечивает возможность сбора данных о безопасности из компонентов информационной системы и представления этих данных в качестве оперативных данных через единый интерфейс». [2]  Кроме того, NIST разработал и внедрил федерально утвержденный RMF.

С внедрением RMF по всему миру аудит и мониторинг стали центральными элементами обеспечения и безопасности информации. Специалисты по кибербезопасности теперь полагаются на данные журналов для выполнения функций безопасности в реальном времени, основанных на моделях управления, которые включают эти процессы в аналитические задачи. По мере развития обеспечения информации в конце 1990-х и в 2000-х годах необходимость централизации системных журналов стала очевидной. Централизованное управление журналами упрощает надзор и координацию между сетевыми системами.

17 мая 2021 года президент США Джозеф Байден подписал указ 14028 «Улучшение кибербезопасности страны», который установил дополнительные требования к ведению журналов, включая ведение журналов аудита и защиту конечных точек, для улучшения возможностей реагирования на инциденты. [7] Этот указ стал ответом на рост числа атак с использованием программ-вымогателей, нацеленных на критическую инфраструктуру. Усиливая контроль за обеспечением информации в рамках RMF, приказ был направлен на обеспечение соответствия и гарантированное финансирование инициатив в области кибербезопасности.

Информационное обеспечение

Опубликованное в сентябре 2006 года руководство NIST SP 800-92 по управлению журналами компьютерной безопасности служит ключевым документом в рамках NIST Risk Management Framework для руководства тем, что должно подвергаться аудиту. Как указано в отсутствии термина «SIEM», документ был выпущен до широкого внедрения технологий SIEM. [8] [9] Хотя руководство не является исчерпывающим из-за быстрых изменений в технологиях с момента его публикации, оно остается актуальным, предвосхищая рост отрасли. NIST — не единственный источник руководства по регулирующим механизмам аудита и мониторинга, и многим организациям рекомендуется внедрять решения SIEM, а не полагаться исключительно на проверки на основе хоста.

Несколько нормативных актов и стандартов ссылаются на руководство NIST по ведению журналов, включая Федеральный закон об управлении информационной безопасностью (FISMA), [10] Закон Грэма-Лича-Блайли (GLBA), [11] Закон о переносимости и подотчетности медицинского страхования (HIPAA), [12] Закон Сарбейнса-Оксли (SOX) 2002 года, [13] Стандарт безопасности данных индустрии платежных карт (PCI DSS) [14] и ISO 27001. [15] Государственные и частные организации часто ссылаются на документы NIST в своих политиках безопасности.

NIST SP 800-53 AU-2 Event Monitoring — это ключевой элемент управления безопасностью, который поддерживает системный аудит и обеспечивает непрерывный мониторинг для обеспечения информационной безопасности и операций по кибербезопасности. Решения SIEM обычно используются в качестве центральных инструментов для этих усилий. Федеральные системы, классифицированные на основе их влияния на конфиденциальность, целостность и доступность (CIA), имеют пять конкретных требований к ведению журнала (AU-2 ae), которые должны быть выполнены. [16] Хотя ведение журнала каждого действия возможно, это, как правило, не рекомендуется из-за объема журналов и необходимости в данных безопасности, дающих возможность действий. AU-2 обеспечивает основу для организаций для создания стратегии ведения журнала, которая согласуется с другими элементами управления.

NIST SP 800-53 SI-4 System Monitoring описывает требования к системам мониторинга, включая обнаружение несанкционированного доступа и отслеживание аномалий, вредоносного ПО и потенциальных атак. Этот контроль безопасности определяет как аппаратные, так и программные требования для обнаружения подозрительной активности. [17] Аналогичным образом, NIST SP 800-53 RA-10 Threat Hunting, добавленный в Revision 5, подчеркивает проактивную защиту сети путем выявления угроз, которые обходят традиционные элементы управления. Решения SIEM играют важную роль в агрегации информации о безопасности для групп по поиску угроз. [18]

Вместе AU-2, SI-4 и RA-10 демонстрируют, как элементы управления NIST интегрируются в комплексную стратегию безопасности. Эти элементы управления, поддерживаемые решениями SIEM, помогают обеспечить непрерывный мониторинг, оценку рисков и механизмы глубокой защиты в федеральных и частных сетях. [18]

Терминология

Аббревиатуры SEM , SIM и SIEM иногда используются как взаимозаменяемые [19], но обычно они указывают на различную основную направленность продуктов:

  • Управление журналами : сосредоточьтесь на простом сборе и хранении сообщений журнала и контрольных следов . [8]
  • Управление информацией о безопасности ( SIM ): долгосрочное хранение, а также анализ и предоставление отчетов по данным журнала. [20]
  • Менеджер событий безопасности ( SEM ): мониторинг в реальном времени, корреляция событий, уведомления и просмотры консоли.
  • Управление информацией о безопасности и событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ оповещений безопасности в реальном времени, генерируемых сетевым оборудованием и приложениями. [4] [ необходима цитата ]
  • Управляемая служба безопасности: ( MSS ) или поставщик управляемых услуг безопасности: (MSSP): наиболее распространенные управляемые услуги развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности, виртуализации и аварийного восстановления.
  • Безопасность как услуга ( SECaaS ) : эти услуги безопасности часто включают в себя аутентификацию , антивирусную защиту , защиту от вредоносных и шпионских программ, обнаружение вторжений , тестирование на проникновение и управление событиями безопасности, а также многое другое.

На практике многие продукты в этой области будут иметь смесь этих функций, поэтому часто будет некоторое совпадение, и многие коммерческие поставщики также продвигают свою собственную терминологию. [21] Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые, как правило, улучшают SIEM в целом. Управление журналами само по себе не обеспечивает понимания безопасности сети в реальном времени, SEM сам по себе не предоставит полных данных для глубокого анализа угроз. Когда SEM и управление журналами объединяются, SIEM получает больше информации для мониторинга.

Основное внимание уделяется мониторингу и помощи в управлении привилегиями пользователей и служб, службами каталогов и другими [ необходимо разъяснение ] изменениями конфигурации системы; а также обеспечению аудита и обзора журналов и реагирования на инциденты. [20]

Возможности

  • Агрегация данных: Управление журналами объединяет данные из многих источников, включая сети, безопасность, серверы, базы данных, приложения, предоставляя возможность консолидировать отслеживаемые данные, чтобы не пропустить важные события.
  • Корреляция: ищет общие атрибуты и связывает события в значимые пакеты. Эта технология обеспечивает возможность выполнения различных методов корреляции для интеграции различных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части Security Event Management полного решения SIEM. [22]
  • Оповещение: автоматизированный анализ коррелированных событий.
  • Панели мониторинга: инструменты могут брать данные о событиях и преобразовывать их в информационные диаграммы, помогающие выявлять закономерности или определять активность, которая не соответствует стандартной схеме.
  • Соответствие требованиям: приложения могут использоваться для автоматизации сбора данных о соответствии требованиям, создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита. [23]
  • Сохранение: использование долгосрочного хранения исторических данных для облегчения корреляции данных с течением времени и обеспечения сохранности, необходимой для соответствия требованиям. Долгосрочное сохранение данных журнала имеет решающее значение в криминалистических расследованиях, поскольку маловероятно, что обнаружение нарушения сети произойдет во время его возникновения. [24]
  • Криминалистический анализ: возможность поиска по журналам на разных узлах и в разные периоды времени на основе определенных критериев. Это уменьшает необходимость агрегировать информацию журнала в голове или искать среди тысяч и тысяч журналов. [23]

Компоненты

Базовая инфраструктура SIEM

Архитектуры SIEM могут различаться в зависимости от поставщика; однако, как правило, основные компоненты включают в себя движок SIEM. Основные компоненты SIEM следующие: [25]

  • Сборщик данных пересылает выбранные журналы аудита с хоста (агентская или хостовая потоковая передача журналов в индекс и точку агрегации) [26] [27]
  • Точка агрегации точек приема и индексации для анализа, корреляции и нормализации данных [28]
  • Узел поиска, который используется для визуализации, запросов, отчетов и оповещений (анализ выполняется на узле поиска) [29]

Базовая инфраструктура SIEM изображена на рисунке справа.

Варианты использования

Исследователь компьютерной безопасности Крис Кубецка выделил следующие варианты использования SIEM, представленные на хакерской конференции 28C3 ( Chaos Communication Congress ). [30]

  • Видимость SIEM и обнаружение аномалий могут помочь обнаружить нулевой день или полиморфный код . В первую очередь из-за низких показателей обнаружения антивирусами этого типа быстро меняющегося вредоносного ПО.
  • Анализ, нормализация и категоризация журналов могут выполняться автоматически, независимо от типа компьютера или сетевого устройства, если оно может отправлять журналы.
  • Визуализация с помощью SIEM, использующая события безопасности и сбои в журналах, может помочь в обнаружении закономерностей.
  • Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, можно выявить с помощью SIEM, используя обнаружение шаблонов, оповещения, базовые показатели и панели мониторинга.
  • Система SIEMS способна обнаруживать скрытые, вредоносные коммуникации и зашифрованные каналы.
  • Системы SIEM способны точно обнаруживать кибервойну , выявляя как злоумышленников, так и жертв.

Примеры правил корреляции

Системы SIEM могут иметь сотни и тысячи правил корреляции. Некоторые из них простые, а некоторые более сложные. После срабатывания правила корреляции система может предпринять соответствующие шаги для смягчения кибератаки. Обычно это включает отправку уведомления пользователю, а затем возможное ограничение или даже отключение системы.

Обнаружение грубой силы

Обнаружение методом грубой силы относительно простое. Метод грубой силы относится к постоянным попыткам угадать переменную. Чаще всего это относится к попыткам кого-то постоянно угадывать ваш пароль — вручную или с помощью инструмента. Однако это может относиться к попыткам угадать URL-адреса или важные расположения файлов в вашей системе.

Автоматизированный метод подбора пароля легко обнаружить, поскольку попытка кого-то ввести пароль 60 раз в минуту невозможна.

Невозможное путешествие

Когда пользователь входит в систему, она, как правило, создает временную метку события. Наряду со временем система может часто записывать другую полезную информацию, такую ​​как используемое устройство, физическое местоположение, IP-адрес, неправильные попытки входа и т. д. Чем больше данных собрано, тем больше пользы можно извлечь из них. Для невозможного путешествия система смотрит на текущую и последнюю дату/время входа и разницу между записанными расстояниями. Если она считает, что это невозможно, например, проехать сотни миль за минуту, то она выдаст предупреждение.

Многие сотрудники и пользователи теперь используют VPN-сервисы, которые могут скрывать физическое местоположение. Это следует учитывать при настройке такого правила.

Чрезмерное копирование файлов

Среднестатистический пользователь обычно не копирует и не перемещает файлы в системе многократно. Таким образом, любое чрезмерное копирование файлов в системе может быть приписано злоумышленнику, желающему нанести вред организации. К сожалению, это не так просто, как заявить, что кто-то получил незаконный доступ к вашей сети и хочет украсть конфиденциальную информацию. Это также может быть сотрудник, желающий продать информацию компании, или он просто хочет забрать домой несколько файлов на выходные.

DDoS-атака

DDoS-атака (Distributed Denial of Service) может нанести значительный ущерб компании или организации. DDoS-атака может не только вывести веб-сайт из строя, но и ослабить систему. При наличии подходящих правил корреляции SIEM должна выдать предупреждение в начале атаки, чтобы компания могла принять необходимые меры предосторожности для защиты жизненно важных систем.

Изменение целостности файла

File Integrity and Change Monitoring (FIM) — это процесс мониторинга файлов в вашей системе. Неожиданные изменения в ваших системных файлах вызовут оповещение, поскольку это вероятный признак кибератаки.

Примеры оповещений

Некоторые примеры настраиваемых правил оповещения о событиях включают правила аутентификации пользователей, обнаруженные атаки и обнаруженные заражения. [31]

ПравилоЦельКурокИсточники событий
Повторная атака-источник входаРаннее предупреждение об атаках методом подбора пароля, подборе паролей и неправильно настроенных приложениях.Оповещение о 3 и более неудачных попытках входа в систему за 1 минуту с одного хоста.Active Directory, Syslog (хосты Unix, коммутаторы, маршрутизаторы, VPN), RADIUS, TACACS, контролируемые приложения.
Повторная атака-брандмауэрРаннее предупреждение о сканировании, распространении червей и т. д.Оповещение о 15 или более событиях сброса/отклонения/запрета брандмауэра с одного IP-адреса за одну минуту.Межсетевые экраны, маршрутизаторы и коммутаторы.
Система предотвращения повторных атак и вторжений в сетьРаннее предупреждение о сканировании, распространении червей и т. д.Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минутуУстройства обнаружения и предотвращения сетевых вторжений
Система предотвращения повторных атак на хостНайдите хосты, которые могут быть инфицированы или скомпрометированы
(демонстрирующие инфекционное поведение)		Оповещение о 3 и более событиях с одного IP-адреса за 10 минутОповещения системы предотвращения вторжений на хост
Обнаружение/удаление вирусовОповещение при обнаружении вируса, шпионского ПО или другого вредоносного ПО на хостеОповещение, когда один хост обнаруживает идентифицируемый фрагмент вредоносного ПОАнтивирус, HIPS, детекторы аномалий поведения сети/системы
Обнаружен вирус или шпионское ПО, но его не удалось очиститьОповещение, если с момента обнаружения вредоносного ПО в источнике прошло более 1 часа, а соответствующий вирус не был успешно удаленОповещение, если один хост не может автоматически очистить вредоносное ПО в течение 1 часа с момента обнаруженияБрандмауэр, NIPS, антивирус, HIPS, события неудачного входа в систему

Смотрите также

Ссылки

  1. ^ "Что такое SIEM". IBM . 2024 . Получено 25 января 2024 .
  2. ^ abc Джонсон, Арнольд; Демпси, Келли; Росс, Рон; Гупта, Сарбари; Бейли, Деннис (10 октября 2019 г.). "Руководство по управлению конфигурацией информационных систем, ориентированному на безопасность" (PDF) . Национальный институт стандартов и технологий . doi :10.6028/nist.sp.800-128. S2CID  63907907 . Получено 23 января 2024 г. .
  3. ^ Чинкве, Марчелло; Котронео, Доменико; Печчиа, Антонио (2018). Проблемы и направления в области управления информацией и событиями безопасности (SIEM). стр.  95–99 . doi :10.1109/ISSREW.2018.00-24. ISBN 978-1-5386-9443-5. Получено 2024-02-02 .
  4. ^ ab "SIEM: A Market Snapshot". Журнал доктора Добба. 5 февраля 2007 г.
  5. ^ Рутберг, Зелла; Маккензи, Роберт (1 октября 1977 г.). Аудит и оценка компьютерной безопасности. Министерство торговли США . doi :10.6028/NBS.SP.500-19 . Получено 23 января 2024 г.
  6. ^ Уильямс, Амрит (2005-05-02). "Улучшение ИТ-безопасности с помощью управления уязвимостями" . Получено 2016-04-09 . Управление информацией о безопасности и событиями (SIEM)
  7. ^ «Улучшение кибербезопасности нации». Федеральный реестр . 2021-05-17 . Получено 2021-07-28 .
  8. ^ ab Кент, Карен; Суппая, Муруджиа (13 сентября 2006 г.). «Руководство по управлению журналами компьютерной безопасности». Национальный институт стандартов и технологий . doi :10.6028/NIST.SP.800-92. S2CID  221183642 . Получено 24 января 2024 г. .
  9. ^ "NIST Risk Management Framework". Национальный институт стандартов и технологий . 7 ноября 2024 г. Получено 25 января 2024 г.
  10. ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (2016-11-30). "Структура управления рисками NIST | CSRC | CSRC". CSRC | NIST . Получено 2021-07-23 .
  11. ^ «Понимание структуры кибербезопасности NIST». Федеральная торговая комиссия . 2018-10-05 . Получено 2021-07-23 .
  12. ^ Права (OCR), Office for Civil (2009-11-20). "Краткое изложение правил безопасности HIPAA". HHS.gov . Получено 2021-07-23 .
  13. ^ "Роль информационной безопасности в соблюдении закона Сарбейнса-Оксли". Issues in Information Systems . 2005. doi : 10.48009/2_iis_2005_124-130 . ISSN  1529-7314.
  14. ^ «Сопоставление PCI DSS v3_2_1 с NIST Cybersecurity Framework v1_1» (PDF) . Июль 2019 г.
  15. ^ "NIST SP 800-53, Revision 5 Control Mappings to ISO/IEC 27001". 10 декабря 2020 г.
  16. ^ "Структура управления рисками для информационных систем и организаций" (PDF) . Национальный институт стандартов и технологий . Декабрь 2018 г. doi :10.6028/nist.sp.800-37r2 . Получено 24 января 2024 г. .
  17. ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (2016-11-30). "Поиск релиза - Структура управления рисками NIST | CSRC | CSRC". CSRC | NIST . Получено 2021-07-19 .
  18. ^ ab "Security and Privacy Controls for Information Systems and Organizations" (PDF) . Национальный институт стандартов и технологий . 12 октября 2020 г. doi :10.6028/NIST.SP.800-53r5 . Получено 24 января 2024 г. .
  19. ^ Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM, автоматическая идентификация угроз» (PDF) . Институт SANS . стр. 3 . Получено 14 мая 2014 г. . ...аббревиатура SIEM будет использоваться в общем смысле для обозначения...
  20. ^ ab Jamil, Amir (29 марта 2010 г.). «Разница между SEM, SIM и SIEM».
  21. ^ Бхатт, С.; Манадхата, П.К.; Зомлот, Л. (2014). «Оперативная роль систем управления информацией и событиями безопасности». IEEE Security & Privacy . 12 (5): 35– 41. doi :10.1109/MSP.2014.103. S2CID  16419710.
  22. ^ Корреляция Архивировано 2014-10-19 в Wayback Machine
  23. ^ ab "Управление соответствием и автоматизация соответствия – как и насколько эффективно, часть 1". accelops.net . Архивировано из оригинала 2011-07-23 . Получено 2018-05-02 .
  24. ^ "Отчет о расследовании утечек данных за 2018 год | Verizon Enterprise Solutions". Verizon Enterprise Solutions . Получено 2018-05-02 .
  25. ^ Котенко, Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации хранилища данных SIEM». Международная конференция IEEE по экологичным вычислениям и коммуникациям 2012 г. Безансон, Франция: IEEE. стр.  761– 766. doi :10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1. S2CID  18920083.
  26. ^ Котенко, Игорь; Чечулин, Андрей (ноябрь 2012 г.). «Общая структура для моделирования атак и оценки безопасности в системах SIEM». Международная конференция IEEE по экологичным вычислениям и коммуникациям 2012 г. С.  94–101 . doi :10.1109/GreenCom.2012.24. ISBN 978-1-4673-5146-1. S2CID  15834187.
  27. ^ Karl-Bridge-Microsoft. "Eventlog Key - Win32 apps". docs.microsoft.com . Получено 2021-07-18 .
  28. ^ Котенко, Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации хранилища данных SIEM». Международная конференция IEEE по экологичным вычислениям и коммуникациям 2012 г. С.  761–766 . doi :10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1. S2CID  18920083.
  29. ^ Азоди, Амир; Джегер, Дэвид; Ченг, Фэн; Майнель, Кристоф (декабрь 2013 г.). «Расширение границ нормализации событий для улучшения обнаружения атак в системах IDS/SIEM». Международная конференция 2013 г. по передовым облачным технологиям и большим данным . С.  69–76 . doi :10.1109/CBD.2013.27. ISBN 978-1-4799-3261-0. S2CID  1066886.
  30. ^ "28c3: Визуализация журнала безопасности с помощью корреляционного механизма". YouTube . 29 декабря 2011 г. Архивировано из оригинала 2021-12-15 . Получено 4 ноября 2017 г.
  31. ^ Свифт, Дэвид (2010). «Успешные стратегии управления SIEM и журналами для аудита и соответствия». Институт SANS .
  • Основные правила корреляции SIEM для обеспечения соответствия.
Взято с "https://en.wikipedia.org/w/index.php?title=Информация_о_безопасности_и_управлении_событиями&oldid=1258454546"