Оглавление
Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
Автор: Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
Например, наш SIEM Alertix [1] в дополнение к классическим возможностям класса решений для построения мониторинга ИБ в организациях предоставляет комплекс инструментов, таких как управление инцидентами, поведенческая аналитика, элементы TIP, средства совместной работы для аналитиков и ряд других модулей. Платформа собирает и обрабатывает данные из различных источников, автоматизирует выявление и учет инцидентов ИБ, обеспечивает поддержку процессов расследования инцидентов и принятия решений о реагировании на них. Доступны также: изменение модели данных, подключение внешних хранилищ, корреляция без нормализации и другие уникальные возможности. Несмотря на богатый функционал, мы поддерживаем десятки встроенных интеграций с наиболее популярными решениями классов IRP, SOAR, TIP, VM, ITAM, BI, UEBA, которые позволяют заказчику легко выходить за рамки возможностей нашей платформы, если этого требуют стоящие перед ним задачи.
Рис. Схема работы Alertix (SIEM)
Использование решений, обладающих набором дополнительных модулей, дает заказчикам преимущество в виде более плотной интеграции – не надо преодолевать сложности внедрения отдельных инструментов. Это более простой, с точки зрения реализации, проект по привлекательной стоимости на старте. Но все не так однозначно.
Когда дополнительных модулей становится недостаточно
Основной минус SIEM-систем, включающих множество дополнительных инструментов, это привносимые с каждым модулем сложность, архитектурные и лицензионные ограничения, которые становятся несовместимыми с потребностями клиентов. Кроме того, часто вендор предлагает дополнительные модули к основному продукту, но их функциональность, как правило, отстает от возможностей фокусных решений. А если нужно приобрести только один модуль, то приходится покупать и ядро (базовый продукт). Заменить потом такую систему очень сложно, ее трудно масштабировать, так как возрастающая на ядро нагрузка зависит от очень большого количества факторов.
От модуля к платформе на примере поведенческой аналитики
Несмотря на то, что вендоры закладывают в SIEM-решения набор правил выявления инцидентов, от специалистов ИБ все равно требуется постоянная проработка этих правил. В ИТ-инфраструктуре и во внешнем окружении постоянно происходят изменения – правила становятся неактуальными, их надо обновлять.
UEBA позволяет не тратить время и ресурсы на создание конкретных инструкций для поиска файлов, каталогов и т.д., а вместо прямых признаков учитывать набор косвенных, обнаруживаемых с помощью поведенческой аналитики. Имея в арсенале SIEM с функциями UEBA, ИБ-специалист может указывать только интересующие его аспекты, а также степень критичности для отклонений от нормального поведения по каждому из них. Так, модуль поведенческого анализа в Alertix дает возможность отслеживать около 50 типов аномалий, связанных с сетевым трафиком и пользовательской активностью. Инструмент обнаруживает аномалии, которые могут указывать на потенциальные угрозы, даже если они еще неизвестны специалистам по информационной безопасности.
Кроме того, фактор аномальности, обозначенный UEBA, можно использовать как контекст для снижения доли ложноположительных срабатываний правил SIEM.
Получается, что усиленное интегрированное решение ищет конкретные, уже известные вредоносные сущности с помощью SIEM, а UEBA позволяет находить угрозы и методы, которые еще неизвестны либо претерпели изменения. Благодаря этим преимуществам поведенческий анализ уже прочно вошел в арсенал средств защиты, а модули UEBA можно встретить во многих классах решений. Как правило, они предоставляют ограниченный набор профилей, подготовленных для узкого набора данных. Если бизнесу нужны средства поведенческого анализа с большей самостоятельностью и возможностями кастомизации, чем UEBA-модули используемых СЗИ, то стоит обратить внимание на платформенные решения.
Платформы имеют высокую автономность отдельных компонентов на архитектурном уровне и промежуточное программное обеспечение (middleware). Они дают возможность подключения внешних баз данных (даже собственных баз заказчиков) и других решений, предоставляя универсальный интерфейс для взаимодействия.
Слой приема информации и последующего хранения
В каждой SIEM и UEBA существует слой приема информации и последующего хранения. Неважно, как организован процесс обработки данных, их необходимо собрать и сохранить, а также можно распарсить, обогатить и нормализовать. С ними предстоит работать и после: искать (вручную или автоматизировано), визуализировать, составлять отчеты и т.д. Для хранения информации используются различные системы управления базами данных, каждая из которых имеет свои особенности, поэтому выбор конкретной СУБД для продукта определяет как возможности, так и ограничения.
В наших платформах Alertix (SIEM) и Dataplan [2] (UEBA) мы применяем NoSQL (нереляционные) СУБД. Они созданы для хорошей масштабируемости, возможности хранения неструктурированных данных, использования различных типов хранилищ. В платформе Alertix мы применяем schemaless-СУБД, что позволяет не приводить всю информацию к единой схеме данных, если в этом нет необходимости. Такая гибкость не всегда доступна в других SIEM. Иногда заказчику приходится писать инструкции строгого парсинга в используемую вендором модель данных, чтобы получить возможность поиска. Такие NoSQL-СУБД более требовательны к ресурсам. Для оптимизации потребления в Dataplan (UEBA) мы используем колоночную СУБД. Этот подход позволяет сэкономить на ресурсах подсистемы хранения и/или вычислительных мощностях.
Слой управления
Наиболее трудоемким для разработчика является слой управления – чем больше различных модулей, приложений и СУБД поддерживает платформа, тем сложнее он будет. Он охватывает и нефункциональные возможности, такие как управление, контроль состояния, выполнение регулярных операций и т.д. А также играет роль моста между слоем приема и хранения, слоем прикладной логики. Все процессы и процедуры стандартизированы, при этом midleware должен поддерживать большой спектр различных технологий и иметь коннектор к каждой из них. Причем, он должен быть универсальным и не ограничивать возможности системы.
Прикладные приложения
В самом верхнем слое находятся прикладные приложения, которые работают с хранимой информацией как в режиме близком к реальному времени, так и с историческими данными. Эти приложения должны взаимодействовать только с промежуточным ПО и получать данные доступным методом в зависимости от конфигурации выбранных СУБД. Платформы, благодаря своей гибкой архитектуре, открывают путь к формированию концепции маркетплейса, в котором даже сторонние разработчики смогут создавать собственные модули. При наличии стандартных интерфейсов и безопасного доступа к данным, угрозы для функционирования платформы не будет.
Особенности интеграции и развития платформ
Часто в компании уже реализовано решение, которое в ряду прочих имеется в продукте разработчика. Например, если у заказчика уже организован процесс LM (Log Management), то внедрение SIEM почти наверняка приведет к дублированию информации и, следовательно, к неэффективному использованию ресурсов. Еще хуже, если SIEM не сможет взаимодействовать с имеющимся хранилищем логов, тогда придется дублировать отправку информации на самих источниках событий, что увеличит нагрузку на них.
При использовании платформ такие ситуации обычно исключаются. Платформа позволяет использовать сторонние решения, которые выполняют необходимые функции, выступая в роли шины взаимодействия с ними. Например, в платформе Alertix (SIEM) мы можем подключать базы данных Elasticsearch или OpenSearch в качестве внешнего хранилища событий. Это дает возможность заказчику не дублировать информацию и не производить замену существующих систем, а использовать в качестве фундамента то, что у него уже есть.
Модульность платформ позволяет исключить эффект архитектурных тисков: каждый компонент является автономным и взаимодействует с другими компонентами и со слоем хранения через промежуточное ПО. Такой подход дает возможность разработчикам развивать отдельные компоненты, а не весь продукт целиком, избегая многомесячного регрессионного тестирования. Изолированные компоненты, взаимодействующие через промежуточное ПО, устраняют риск того, что изменения в одном приложении могут негативно повлиять на работоспособность других модулей.
Платформа расширяет рынок сбыта для вендора, так как она может быть полезной не только с точки зрения информационной безопасности, но и для решения ИТ- или бизнес-задач.
На основе данных платформы можно строить различные BI-решения, использовать ее как систему мониторинга доступности, планирования ИТ-ресурсов, их утилизации, а также для множества других задач. При этом используемые данные будут одними и теми же, а способы их представления — различными.
Будущее SIEM
Будущее SIEM – в переходе к комплексным платформенным решениям, которые позволяют качественно решать несколько задач одновременно, обеспечивают интеграцию различных функций и инструментов, а также дают возможность использовать имеющиеся в инфраструктуре технологии без необходимости их замены. Это позволяет организациям более эффективно управлять своими ресурсами и оперативно реагировать на вызовы в области информационной безопасности.
Комплексный подход способствует снижению затрат на поддержку и развитие систем, а также повышает гибкость и адаптивность бизнеса в условиях быстро меняющейся среды.
Что касается развития наших продуктов, то мы уже двигаемся в сторону их совмещения. Сейчас разрабочики отдельных наших платформ Alertix (SIEM) и Dataplan (UEBA) работают над универсальными компонентами, которые используются в обоих продуктах. Они не привязаны к конкретной СУБД и структуре данных каждого приложения.
Философия формирования нашей продуктовой линейки для поддержки TDIR проста: на начальном этапе достаточно модулей (NG SIEM), но по мере роста сложности задач имеет смысл рассматривать более специализированные инструменты и отдавать предпочтение сценарию интеграции платформ.
Мы не навязываем заказчику контур интеграции, а предоставляем выбор, поддерживая высокую интероперабельность платформ и развивая контентную составляющую вне зависимости от окружения.
https://www.ngrsoftlab.ru/alertix
https://www.ngrsoftlab.ru/dataplan
ITSec_articles