2. Что такое SIEM
2
Security Information and Event Management (SIEM)
Cистемы управления информацией и событиями в
безопасности (СУИСБ)
Класс решений в области информационной безопасности,
ориентированных на поддержку процессов управления как
безопасностью, так и всей IT-инфраструктурой предприятия
3. Развитие технологии SIEM
3
Технология SIEM = SIM+ SEM
SIM («управление
информацией
безопасности»)
сбор, хранение и
анализ данных
(взятых из
журналов)
подготовка
отчетов по
соответствию
нормативным
требованиям
SEM («управление
событиями
безопасности»)
мониторинг
событий
безопасности в
реальном времени
выявление и
реагирование на
инциденты
безопасности
4. Лидеры мирового рынка решений класса
SIEM по мнению Gartner (2015 год)
4
• IBM Security QRadar SIEM;
• HP ArcSight ;
• Splunk Enterprise;
• McAfee NitroSecurity;
• LogRhythm.
5. Задачи SIEM
Пример из практики
5
Аномалия работы маршрутизатора
Загрузка процессора 97%0 попыток входа на АРМ
Нарушение регламента работы c почтовой
системой
Повышенный уровень привелегий работы
процесса
Нарушена доступность системы
6. 6
Традиционное управление АС без SIEM
МЭ
Антивирусы
СОВ/СПВ
(IDS/IPS)
СКУД, IAM,
МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
Средства защиты
информации
Объекты АС
7. 7
Система управления информацией и событиями в
области безопасности
МЭ
Антивирусы
СОВ/СПВ
(IDS/IPS)
СКУД, IAM,
МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
Средства защиты
информации
Объекты АС
8. Источники информации об инцидентах
8
Операционные
системы
СУБДСетевое
оборудование
Средства
Защиты
Информации
Системы
Управления
Контролем
Доступа
и многое другое…
9. A.12.4 Logging and monitoring
A.16 Information security incident management
A.18 Compliance
A.9.2 User access management
A.9.4 System and application access control
A.8.1.2 Ownership of assets
A.8.2 Information classification
A.8.1.1 Inventory of assets
Нормативная база
ISO 27001
9
10. 10
Нормативная база
СТО БР ИББС
П. 8.12 Требования к мониторингу
информационной безопасности и контролю
защитных мер
П. 8.10. Требования к организации обнаружения и
реагирования на инциденты информационной
безопасности
П. 8.15. Требования к анализу функционирования
системы обеспечения информационной
безопасности
11. Структура мер по обеспечению защиты
11
I. Идентификация и
аутентификация субъектов
доступа и объектов доступа
(ИАФ)
II. Управление доступом
субъектов доступа к
объектам доступа
(УПД)
III. Ограничение
программной среды
(ОПС)
IV. Защита машинных
носителей информации
(ЗНИ)
V. Регистрация событий
безопасности
(РСБ)
VI. Антивирусная защита
(АВЗ)
VII. Обнаружение
вторжений
(СОВ)
VIII. Контроль (анализ)
защищенности
информации (АНЗ)
IХ. Обеспечение
целостности
информационной системы
и персональных данных
(ОЦЛ)
X. Обеспечение
доступности информации
(ОДТ)
XI. Защита среды
виртуализации
(ЗСВ)
XII. Защита технических
средств
(ЗТС)
XIII. Защита
информационной системы,
ее средств, систем связи и
передачи данных
(ЗИС)
XIV. Выявление инцидентов
и реагирование на них
(ИНЦ)
XV. Управление
конфигурацией
информационной системы
и системы защиты
персональных данных
(УКФ)
П 21
ФСТЭК
П 17
ФСТЭК
V. Регистрация
событий
безопасности
(РСБ)
XIV. Выявление
инцидентов и
реагирование на них
(ИНЦ)
12. Практическое выполнение мер
12
П21 ПДН П17 ГИС
Мера Содержание мер по обеспечению безопасности информации 4 3 2 1 _4 _3 _2 _1
ЗНИ.5
Контроль использования интерфейсов ввода (вывода) информации на машинные
носители персональных данных
? ? ? ? ? ? + +
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + + + + + +
РСБ.2
Определение состава и содержания информации о событиях безопасности,
подлежащих регистрации
+ + + + + + + +
РСБ.З
Сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения
+ + + + + + + +
РСБ.4
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные
и программные ошибки, сбои в механизмах сбора информации и достижение предела
или переполнения объема (емкости) памяти
? ? ? ? + + + +
РСБ.5
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и
реагирование на них
? ? + + + + + +
РСБ. 7 Защита информации о событиях безопасности + + + + + + + +
РСБ.8
Обеспечение возможности просмотра и анализа информации о действиях отдельных
пользователей в информационной системе
- - - - ? ? ? ?
ОДТ.7
Контроль состояния и качества предоставления уполномоченным лицом
вычислительных ресурсов (мощностей), в том числе по передаче информации
- - - - ? ? + +
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ? ? + + - - - -
ИНЦ.3
Своевременное информирование лиц, ответственных за выявление инцидентов и
реагирование на них, о возникновении инцидентов в информационной системе
пользователями и администраторами
? ? + + - - - -
ИНЦ.4
Анализ инцидентов, в том числе определение источников и причин возникновения
инцидентов, а также оценка их последствий
? ? + + - - - -
ИНЦ. 5 Принятие мер по устранению последствий инцидентов ? ? + + - - - -
РСБ.1
Определение событий безопасности, подлежащих
регистрации, и сроков их хранения
++++++++
13. Рынок SIEM в России
13
ТУ
• ArcSight ESM
• RSA enVISION
• RSA Security
Analytics
• IBM Security Qradar
РД НДВ 4 и ТУ
• McAfee SIEM
• ПАК «Комрад»
проходит
сертификацию
Сертифицированные ФСТЭК SIEM-системы
14. Схема уровней внедрения SIEM
14
Инвентаризация
Анализ доступности
Мониторинг параметров
Корреляция событий
Построение схем
Сбор журналов и событий
15. Протоколы
15
Поддерживаемые протоколы и интерфейсы
для передачи информации о событиях:
Syslog and Syslog-ng
SNMPv2 and SNMPv3
HTTP, HTTPS
SQL
WMI
FTP, SFTP
SSH
Rsync
Samba
25. ИТ-инфраструктура:
– около 50 серверов, обслуживающих портал торговой площадки
– сложная архитектура: МЭ, СОВ, СУБД, веб-серверы, шлюзы безопасного доступа
– около 150 рабочих станций в офисной сети
– более 50 операторов торговой площадки
– более 1000 зарегистрированных пользователей торговой площадки
История успеха: высоконагруженное web-
приложение (торговая площадка).
25
26. внедрение единого стандарта на сбор, хранение и
обработку событий ИБ в обслуживаемой корпоративной
сети Заказчика;
контроль параметров конфигурации и работы объектов
ИТ-инфраструктуры в масштабе времени, близком к
реальному;
оперативное оповещение администратора безопасности
и обеспечение возможности реагирования на
внутренние и внешние угрозы безопасности;
повышение эффективности управления событиями ИБ в
ИТ-инфраструктуре за счёт автоматизации и упрощения
процедур администрирования и периодического
контроля журналов событий;
Результаты внедрения
26
27. Перспективы развития
27
Разработка модуля хранения ненормализованных
событий с возможностью поиска и агрегации
Разработка модуля корреляции
ненормализованных событий
Разработка модуля отказоустойчивой
кластеризации
28. Контактная информация
107023, ул. Электрозаводская, д. 24
+7(495) 223-23-92
+7(495) 645-38-11
http://www.npo-echelon.ru
mail@npo-echelon.ru
