Коммерческие IDS – StoneGate IPS, «ФОРПОСТ» версии 2.0, Cisco IPS 4240, IBM Proventia GX4004, StoneGate IPS 1060.
Системы Security Information and Event Management (SIEM) Система обеспечения информационной безопасности предприятия может включать в себя множество компонентов, это и антивирусные продукты, и сетевые системы предотвращения вторжений, межсетевые экраны, системы контроля доступа к внешним устройствам и портам, системы предотвращения утечек конфиденциальной информации, впрочем и операционная система тоже содержит в себе не один встроенный механизм обеспечения ИБ. Это не полный список средств ИБ, множество разнообразных программно аппаратных комплексов, находятся в постоянной активности "событие - действие - реакция"... И работают в полной, или частичной изоляции друг от друга. Security Information and Event Management (SIEM) - решения для сбора и анализа событий, генерируемых различными типами СЗИ.
Задачи систем SIEM
Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Бывают ситуации, когда инцидент увидели поздно, а события уже давно затерты или журналы событий почему-либо недоступны, и причины инцидента выявить фактически невозможно. Кроме того, соединение с каждым источником и просмотр событий займет уйму времени. В противном случае, без анализа событий, есть риск узнать об инциденте в вашей компании из новостных лент.
Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. Часть продуктов класса SIEM унифицирует события и делает их более читабельными, а интерфейс визуализирует только важные информационные события, акцентирует на них внимание, позволяет отфильтровывать некритические события.
Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — «login failed»: один случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытках подбора. В простейшем случае в SIEM правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе HelpDesk, а также своевременно информировать о событии.
SIEM способна выявлять:
сетевые атаки во внутреннем и внешнем периметрах;
вирусные эпидемии или отдельные вирусные заражения, не удаленные вирусы, бэкдоры и трояны;
попытки несанкционированного доступа к конфиденциальной информации;
ошибки конфигураций в средствах защиты и информационных системах.
Система SIEM универсальна за счет своей логики. Но для того чтобы возложенные на нее задачи решались — необходимы полезные источники и правила корреляции. Любое событие (например, если в определенной комнате открылась дверь) может быть подано на вход SIEM и использовано Источники выбираются на основании следующих факторов:
критичность системы (ценность, риски) и информации (обрабатываемой и хранимой);
достоверность и информативность источника событий;
покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети);
решение спектра задач ИТ и ИБ (обеспечение непрерывности, расследование инцидентов, соблюдение политик, предотвращение утечек информации и т. п.).
Основные источники SIEM
Access Control, Authentication — для мониторинга контроля доступа к информационным системам и использования привилегий.
Журналы событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
Сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика).
IDS\IPS. События о сетевых атаках, изменение конфигураций и доступ к устройствам.
Антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах.
Сканеры уязвимостей. Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
GRC-системы для учета рисков, критичности угрозы, определение приоритета инцидента.
Прочие системы защиты и контроля политик ИБ: DLP, антифрода, контроля устройств и т. п.
Системы инвентаризации и asset-management. С целью контроля активов в инфраструктуре и выявления новых.