CC BY
10
Управление событиями информационной безопасности с помощью 81ЕМ-системы
С. М. Жаксыбай Казахский национальный университет имени аль-Фараби Алматы, Казахстан zhaksybaysanzhar@gmail.com
Аннотация. Деятельность любой организации зависит от получения и передачи информации. Информация является стратегически важным товаром. Потеря информационных ресурсов или приобретение конфиденциальной информации конкурентами нанесет значительный вред предприятию. В соответствии с современными требованиями концентрация больших объемов данных и увеличение процессов их обработки в масштабах одной технической системы требуют надежной защиты. Для обеспечения безопасности информационных ресурсов и рассмотрения возможных угроз применяются различные методы и инструменты. Один из таких инструментов — система управления событиями информационной безопасности.
Ключевые слова: информационная безопасность, обеспечение безопасности, раскрытия безопасности, обнаружение угроз, обнаружение атак.
Система управления информационной безопасностью и событиями безопасности (Security Information and Event Management, SIEM) представляет собой комплексное обеспечение безопасности, которое включает функции сбора, хранения и управления событиями безопасности в организации. SIEM-система позволяет централизованно собирать логи и события с различных источников в сети (например, серверов данных, систем антивирусной защиты и других средств безопасности). Основная цель SIEM-системы — обнаружение угроз безопасности и атак и реагирование на них в реальном времени. Путем анализа и корреляции данных SIEM-система способна выявлять необычные или опасные действия: несанкционированный доступ к ресурсам, посторонние приложения, утечку данных и т. д. [1].
Основные функции SIEM-системы включают в себя:
1. Сбор данных. SIEM-система собирает логи и данные о событиях с различных источников в сети, используя механизмы сетевого мониторинга или агенты, установленные на хостах.
2. Нормализация и агрегация. Собранные данные нормализуются и придерживаются единого формата, что соответствует их анализу и правилам. Данные агрегируются для различных шаблонов и трендов.
3. Корреляция и анализ. SIEM-система анализирует события и логики, применения различных алгоритмов и правил обнаружения аномалий, связей между событиями и угрозами. Это позволяет обнаруживать подключения безопасности и строить цепочку событий.
4. Предварительный просмотр и отчетность. SIEM-си-стема предоставляет пользовательский интерфейс, где администраторы безопасности размещают внешние данные.
5. Управление доступами. SIEM-система помогает в управлении информационными системами безопасности,
предоставляя возможность использовать процесс и регистрировать решения, определяя их приоритетность, назначать ответственных и учитывать их решения.
6. Правила и сигнатуры. SIEM-система позволяет накладывать правила и сигнатуры, которые обнаруживают опасную вредоносность.
7. Детектирование угрозы. SIEM-система использует различные методы и алгоритмы выявления угроз раскрытия безопасности. Это помогает обнаружить аномалии в поведении пользователей или сетевом трафике, распознать уязвимости и атаки, а также проводить анализ событий с обнаруженным нарушением политик безопасности.
8. Уведомления и исключения. SIEM-система способна проводить автоматизированный анализ коррелирующих событий и генерировать оповещения при обнаружении опасных событий или угроз безопасности. Администраторы запускают оповещение по электронной почте, SMS или другим каналам для оперативного реагирования.
9. Соответствие нормативным требованиям. SIEM-си-стема помогает организациям соблюдать нормативные требования в области информационной безопасности, такие как HIPAA, PCI DSS, GDPR и другие. Предоставляется возможность искать и анализировать данные, связанные с безопасностью, и генерировать отчеты, необходимые для соблюдения требований [2].
Рисунки 1 и 2 наглядно демонстрируют, в каких случаях может быть полезна SIEM-система.
Злоумышленники от прямых атак переходят к более новым и изощренным методам. В настоящее время существует множество видов атак: фишинговые и поддельные веб-сайты, взлом аккаунтов, киберпреступность, взлом IoT-устройств, криптовалютные атаки, нарушение государственной тайны и корпоративной конфиденциальности, атаки искусственного интеллекта. Особую озабоченность организаций вызывают усовершенствованные постоянные угрозы (Advanced Persistent Threats, APT) и целевые атаки. Эти типы кибератак характеризуются высоким уровнем сложности и возможностью обойти традиционные меры безопасности. Основные принципы метода APT уже известны. Примером может служить использование социальной инженерии, когда пользователь открывает ссылку или вложенный файл, либо использует уязвимость для получения доступа к атакуемой системе. В то же время при анализе совокупности событий SIEM-системой можно было бы указать на нападение. SIEM выполняет такие функции, как обнаружение мелких атак, общий анализ аномалий и событий. Система SIEM различает законное использование и злонамеренную атаку в сложной инфраструктуре информационных технологий современных организаций. Для
Рис. 1. Ситуация, когда в организации нет SIEM-системы
Рис. 2. Ситуация, когда в организации установлена SIEM-система
этого потребуется автоматический мониторинг событий, их сбор, корреляция и формирование сообщений раннего предупреждения [3].
Система SIEM требует результатов и ресурсов. Вот некоторые аспекты, которые следует учитывать при внедрении и управлении системой SIEM:
1. Планирование и анализ защищенности. Перед внедрением SIEM-системы необходимо учитывать долю
планирования и анализа защищенности, определить, какие источники данных и типы событий необходимо включить в систему.
2. Интеграция совокупных систем. 8ГБМ-система должна быть объединена с уже известными системами безопасности в организации: системами мониторинга рисков, межсетевыми экранами, системами аутентификации и др.
3. Настройка правил и корреляции событий. Необходимо настроить правила и сигнатуры в SIEM-системе для выявления конкретных угроз и аномалий, характерных для организации, определить случайные события, которые требуют немедленной адаптации, и настроить систему соответствующим образом.
4. Мониторинг и анализ данных. Необходимость включения в штат аналитиков безопасности, которые будут отслеживать и анализировать данные SIEM-системы.
5. Обучение и обновление. Необходимо проводить постоянное обучение сотрудников по использованию и пониманию SIEM-системы, а также следить за обновлениями и новыми версиями SIEM-платформ, чтобы быть в курсе последних технологий и методов безопасности.
6. Регулярные аудиты и тестирование.
SIEM-система обнаружения атак использует различные
методы и технику. Одним из них является лог-анализ [4], при котором SIEM-система собирает и анализирует логи событий от различных источников данных, таких как серверы, сетевые устройства, системы баз данных и приложения. Анализируя логику, система выявляет подозрительные и аномальные проявления, которые могут являться нарушением безопасности.
В процессе лог-анализа SIEM-система выполняет следующие действия:
1. Сбор лог-файлов. SIEM-система получает лог-файлы от различных источников данных в организациях, таких как серверы, сетевые устройства, системы баз данных, межсетевые экраны и другие системы. Лог-файлы содержат записи о событиях, происходящих в системе, таких как входы в систему, доступ к файлам, сетевая активность и другие операции [5].
2. Нормализация и парсинг. SIEM-система выполняет нормализацию и парсинг лог-файлов. Это означает преобразование различных форматов лог-файлов в стандартизированный формат, что приводит к единообразной обработке и анализу данных.
3. Фильтрация и отбор. SIEM-система фильтрует и отбирает лог-события на основе заданных правил и параметров. Некоторые события могут быть исключены из анализа, если они не являются релевантными для безопасности.
4. Корреляция событий. SIEM-система анализирует и связывает различные события из лог-файлов для выявления связей и формирования полных собраний. Например, система может связать несколько событий, таких как несколько неудачных входов в систему и последующую передачу конфиденциальных данных [6].
5. Обнаружение аномалий. SIEM-система изменяет методы анализа поведения и модели статистики для определения нормального и аномального поведения пользователей, систем и трафика на основе данных из лог-файлов. Это позволяет выявить необычные и подозрительные проявления, которые могут проявляться при нарушении безопасности.
6. Уведомления и реагирование. Если SIEM-система обнаруживает подозрительные или аномальные события, она отправляет сигналы для аналитиков безопасности (например, уведомления по электронной почте). Аналитики могут принимать меры по предупреждению аварий [7].
Важно отметить, что эффективность лог-анализа SIEM-системы зависит от выбора релевантных лог-источников и определения правил и сигнатур для выявления угроз. Также важна регулярная настройка и обновление системы для адаптации к новым видам атак и угроз.
Системы SIEM являются важным инструментом для мониторинга и анализа инцидентов безопасности в организации. Они позволяют службам безопасности быстрее и эффективнее выявлять потенциальные угрозы и реагировать на них. Однако внедрение системы SIEM и управление ею
— сложный и трудоемкий процесс. Важно понимать, что безопасность — это непрерывный процесс, который требует постоянного мониторинга и анализа угроз. Систему SIEM следует внедрить как часть общего подхода к кибер-безопасности и постоянно совершенствовать, чтобы соответствовать меняющемуся ландшафту угроз. Хотя системы SIEM могут обеспечить значительные преимущества мониторинга безопасности, важно тщательно учитывать затраты и ресурсы, необходимые для внедрения и обслуживания такой системы.
Литература
1. Andress, J. The Basics of Information Security: Understanding the Fundamentals of Info Sec in Theory and Practice. — Oxford: Syngress, 2011. — 208 p.
2. Sanders, C. Applied Network Security Monitoring: Collection, Detection, and Analysis / C. Sanders, J. Smith. — Oxford: Syngress, 2013. — 496 p.
3. Muniz, J. Security Operations Center: Building, Operating, and Maintaining your SOC / J. Muniz, G. McIntyre, N. AlFardan. — Indianapolis (IN): Cisco Press, 2015. — 448 p.
4. Bejtlich, R. The Practice of Network Security Monitoring: Understanding Incident Detection and Response.
— San Francisco (CA): No Starch Press, 2013. — 376 p.
5. Security Information and Event Management (SIEM) Implementation / D. R. Miller, S. Harris, A. A. Harper, [et al.]. — New York: McGrawHill Professional, 2010. — 464 p.
6. Chuvakin, A. A. Logging and Log Management: The Authoritative Guide to Understanding the Concepts Surrounding Logging and Log Management / A. A. Chuvakin, K. J. Schmidt, C. Phillips. — Oxford: Syngress, 2012. — 460 p.
7. Blokdyk, G. Security Information and Event Management SIEM: A Complete Guide: Practical Tools for Self-Assessment.
— Plano (TX): 5STARCooks, 2021. — 324 p.
Information Security Event Management
Using SIEM System
S. M. Zhaksybay Al-Farabi Kazakh National University Almaty, Kazakhstan zhaksybaysanzhar@gmail.com
Abstract. The activities of any organization depend on receiving and transmitting information. Information is a strategically important commodity. The loss of information resources or the acquisition of confidential information by competitors will cause significant harm to the enterprise. In accordance with modern requirements, the concentration of large volumes of data and the increase in their processing on the scale of one technical system require reliable protection. To ensure the security of information resources and consider possible threats, various methods and tools are used. One such tool is an information security event management system.
Keywords: information security, security assurance, security disclosures, threat detection, attack detection.
References
1. Andress J. The Basics of Information Security: Understanding the Fundamentals of Info Sec in Theory and Practice. Oxford, Syngress, 2011, 208 p.
2. Sanders C., Smith J. Applied Network Security Monitoring: Collection, Detection, and Analysis. Oxford, Syngress, 2013, 496 p.
3. Muniz J., McIntyre G., AlFardan N. Security Operations Center: Building, Operating, and Maintaining your SOC. Indianapolis (IN), Cisco Press, 2015, 448 p.
4. Bejtlich R. The Practice of Network Security Monitoring: Understanding Incident Detection and Response. San Francisco (CA), No Starch Press, 2013, 376 p.
5. Miller D. R., Harris S., Harper A. A., et al. Security Information and Event Management (SIEM) Implementation. New York, McGrawHill Professional, 2010, 464 p.
6. Chuvakin A. A.,Schmidt K. J., Phillips C. Logging and Log Management: The Authoritative Guide to Understanding the Concepts Surrounding Logging and Log Management. Oxford: Syngress, 2012, 460 p.
7. Blokdyk G. Security Information and Event Management SIEM: A Complete Guide: Practical Tools for Self-Assessment. Plano (TX), 5STARCooks, 2021, 324 p.
