Спецпроекты

Безопасность Цифровизация Бизнес-приложения Пользователю Новости поставщиков

Секреты ИБ: как добиться пользы от лог-файлов

Информация, циркулирующая в компании, оставляет следы. Системы безопасности аккуратно собирают гигабайты данных, складируют их в логах, а дальше... Обычно, дальше ничего не происходит, и пользы от всей этой ИБ-деятельности никакой. В такой ситуации на помощь приходят программные решения нового поколения - Security Information Event Management (SIEM). Пора с ними познакомиться поближе.

Затем, объединение данных. SIEM-решение позволяет объединять данные от различных источников, в том числе неоднородного формата, и хранить их в едином для просмотра виде. Кроме того, система выполняет работу по корреляции событий. Основная задача продуктов по управлению инцидентами безопасности – это автоматическое определение взаимосвязей между данными из разных источников. Другая важнейшая задача таких продуктов – оповещение сотрудников служб безопасности о возникновении потенциальных нарушений или инцидентов в соответствии с заданными приоритетами. И наконец, система предлагает оценку соответствия требованиям различных стандартов и регламентов по безопасности по многим техническим параметрам, например "пересылка пароля в открытом виде" или "блокирование доступа при неправильно введенном пароле".

А вендор кто?

Одним из представителей разработчиков SIEM-решений является американская компания Q1Labs, которая занимается разработкой средств защиты информации с 2001 года. Первоначально компания Q1 специализировалась на продуктах класса Log Management, которые позволяли централизованно хранить и управлять данными, полученными из лог-файлов. По мере изменения потребностей рынка компания Q1 сосредоточила свои усилия на продуктах, позволяющих управлять инцидентами информационной безопасности, а также соответствовать требованиям различных международных стандартов. Переход на новое направление произошел сравнительно легко, так как принцип работы всех SIEM-решений основан, прежде всего, на централизованном сборе и хранении логов. Сегодня ведущий продукт компании QRadar SIEM занимает серьезные позиции в сегменте управления событиями безопасности. Согласно аналитическому отчету компании Gartner в 2011 году QRadar входит в тройку лучших SIEM-решений в мире. Дистрибутором продуктов Q1Labs в России является компания headtechnology RU, которая бесплатно предоставляет на тестирование виртуальные образы и аппаратные сервера QRadar, а также оказывает поддержку при внедрении.

Работа SIEM-продуктов первого поколения основывалась на данных, полученных от ограниченного количества источников логов (обычно межсетевых экранов и систем обнаружения вторжений). В тоже время они позволяли выполнять корреляции типа "перед успешным входом в систему было пять неудачных попыток аутентификации", и таким образом определяли подозрительные инциденты. Корреляция событий – это важное и необходимое свойство для управления инцидентами безопасности, но недостаточное. Только коррелятивный подход позволяет получить примерное соотношение 100 тыс событий на 1 инцидент безопасности, что для компаний, имеющих несколько миллиардов записей в сутки, уже не подходит. Другой проблемой, связанной с ограниченным списком источников логов, является то, что если злоумышленник выключит или обойдет систему аудита средств защиты, то нарушение безопасности не отобразится в логах и останется незамеченным для SIEM-устройства.

Продукт QRadar SIEM компании Q1Labs относится к решениям нового поколения и позволяет избежать указанных проблем. Кроме традиционного сбора и хранения логов он может перехватывать сетевую активность устройств и пользователей как до возникновения нежелательного события, так и непосредственно после него. Для обнаружения инцидентов безопасности применяются новые технологии поведенческого и контентного анализа, а также корреляция событий, полученных от разных источников и перехваченного сетевого трафика. На основе обработанной информации QRadar создает "потенциальное нарушение", которое объединяет инциденты, ассоциированные с данными логов, сетевой активностью, важностью и уязвимостью цели воздействия. Каждое "потенциальное нарушение" имеет свой приоритет, который определяется многими параметрами, например критичностью актива, на которое происходит воздействие, его уязвимостью, периодичностью воздействия и вероятностью успешной атаки. Таким образом, количество критичных нарушений безопасности даже в больших распределенных сетях будет составлять не больше нескольких десятков, что позволяет сосредоточить внимание ответственных лиц только на наиболее важных инцидентах.

Решения линейки продуктов компании Q1Labs:
  1. Log Management. Устройства предназначены для централизованного сбора, хранения и управления данными логов и журналов событий, полученными от различных источников;
  2. All-In-One SIEM. Продукты типа "все в одном", которые включают функционал Log Management и возможность обработки потоков, полученных через SPAN или зеркальные порты активных сетевых устройств;

  3. Risk Management. Устройства, предназначенные для управления информационными рисками;

  4. Масштабируемые SIEM-продукты. Применяются в распределенных сетях, генерирующих большое количество событий в секунду (EPS) и имеющих значительные сетевые потоки;

  5. Отдельные устройства для мониторинга сетевой активности.

Управление всеми продуктами компании Q1Labs осуществляется через стандартный браузер, при этом обеспечивается ролевое разделение доступа. При входе в систему SIEM сразу отображается приоритезированный список нарушений безопасности, которые обнаружило устройство. Если перейти внутрь каждого нарушения, то можно получить детальную информацию по инцидентам, которые это нарушение сформировали, а также по потокам и источникам логов, откуда были получены исходные данные. Необходимо отметить, что решения типа SIEM работают только при наличии внешних входных данных. Если нет логов, нет журналов событий и нет перехваченного сетевого трафика, то любой SIEM-продукт не отобразит никакой полезной информации.

Итак, сегодня применение современных SIEM устройств позволяет получить эффективный рабочий инструмент сотрудников служб информационной безопасности и дает организациям следующие преимущества. В первую очередь, это безопасное хранение логов информационной системы на базе одного устройства. Затем, снижение трудозатрат на анализ и корреляцию лог-файлов и журналов событий. Кроме того, использование такого рода решений позволяет повысить общего уровня защищенности корпоративной инфраструктуры и увеличить эффективность вложений в средства защиты информации.

Виктор Демченко

Короткая ссылка