УДК 004

Использование SIEM-систем для обеспечения информационной безопасности

Копцев Кирилл Алексеевич – бакалавр Санкт-Петербургского государственного университета аэрокосмического приборостроения

Аннотация: В статье анализируется программное обеспечение, которое предоставляет возможности мониторинга безопасности, и обнаружения угроз в режиме реального времени. Приведены методы работы с системой. Определены принципы внедрения системы на предприятии. Преимущества и ограничения внедрения системы. Определены варианты использования системы. В заключение отмечается, что необходимо установить цели мониторинга, назначить администратора и разработать правила применения.

Ключевые слова: защита информации, безопасность, мониторинг, утечка информации, риск утечки информации.

Введение

Security Information and Event Management (SIEM) – это программное решение, которое предоставляет предприятиям возможности мониторинга безопасности и обнаружения угроз в режиме реального времени [1, 2, 3]. SIEM собирает и объединяет данные, связанные с безопасностью, из различных источников, таких как серверы, сетевые устройства и устройства безопасности, и использует расширенные методы анализа и корреляции для выявления угроз безопасности.

SIEM имеет важное значение для предприятий, поскольку позволяет им заблаговременно обнаруживать угрозы безопасности и реагировать на них в режиме реального времени, что помогает предотвратить нарушения безопасности и свести к минимуму ущерб, причиненный атаками. SIEM обеспечивает централизованное представление всей ИТ-инфраструктуры, позволяя службам безопасности легко обнаруживать аномальное поведение, выявлять потенциальные уязвимости и расследовать инциденты безопасности. Собирая и анализируя данные из различных источников, SIEM может обнаруживать инциденты безопасности, которые не могут обнаружить отдельные инструменты безопасности. Это также может помочь уменьшить количество ложных срабатываний за счет сопоставления данных из разных источников и применения контекста к событиям безопасности.

Следуя передовым методам SIEM, организации могут повысить свою способность обнаруживать угрозы безопасности и реагировать на них, уменьшать количество ложных срабатываний и улучшать общее состояние безопасности [4, 5].

Методы SIEM

Определите четкие цели. Определите четкие цели для внедрения SIEM, в том числе то, что вы хотите отслеживать, как вы хотите это отслеживать и какие оповещения вы хотите получать. Это поможет убедиться, что ваша реализация SIEM соответствует потребностям вашего бизнеса.

Централизуйте свои данные: собирайте все данные, связанные с безопасностью, в одном месте. Это поможет вам более эффективно выявлять закономерности и аномалии в ваших данных. Крайне важно обеспечить интеграцию всех соответствующих источников данных в вашу платформу SIEM.

Оптимизация приема данных. Оптимизируйте процесс приема данных, отфильтровывая ненужные данные и собирая только важные данные для анализа безопасности. Это поможет уменьшить объем данных, обрабатываемых платформой SIEM, повысить производительность и уменьшить количество ложных срабатываний.

Регулярно настраивайте свою систему. Регулярно настраивайте свою систему SIEM, чтобы она собирала правильные данные и генерировала точные оповещения. Сюда входит регулярная проверка и обновление правил корреляции, пороговых значений и других конфигураций.

Автоматизируйте рабочие процессы. Автоматизируйте рабочие процессы везде, где это возможно, чтобы сократить объем ручных операций и сократить время отклика. Например, вы можете настроить SIEM для автоматической эскалации предупреждений соответствующим членам команды или инициирования ответа на основе предварительно определенных критериев.

Обеспечьте надлежащее хранение данных. Убедитесь, что ваша система SIEM настроена на сохранение данных в течение соответствующего периода времени. Обычно это диктуют нормативные требования или потребности бизнеса.

Обучите свой персонал. Обучите свой персонал тому, как эффективно использовать вашу систему SIEM. Сюда входит понимание того, как интерпретировать оповещения, расследовать инциденты и реагировать на угрозы.

Проводите регулярные проверки. Проводите периодические проверки вашей системы SIEM, чтобы убедиться, что она соответствует потребностям вашего бизнеса и целям безопасности.

Интеграция с другими инструментами безопасности. Интегрируйте SIEM с другими инструментами безопасности, такими как сканеры уязвимостей, системы обнаружения вторжений и платформы защиты конечных точек. Это обеспечит более полное представление о вашем состоянии безопасности и позволит быстрее реагировать на инциденты безопасности.

Внедрение системы SIEM для обеспечения информационной безопасности на предприятии

В целом, SIEM играет решающую роль в обеспечении безопасности предприятия, обеспечивая комплексный и упреждающий подход к обнаружению угроз и реагированию на инциденты. Внедряя SIEM, предприятия могут повысить уровень своей безопасности, снизить риски и защитить свои конфиденциальные данные и системы от киберугроз.

Инструмент управления безопасностью и информационными событиями (SIEM) может быть ценным компонентом зрелой стратегии безопасности. Действительно, эффективные решения SIEM доступны уже более десяти лет.

Преимущества и ограничения SIEM

Системы SIEM могут помочь организациям повысить безопасность и соответствие требованиям, предлагая:

обнаружение внутренних и внешних угроз с мониторингом практически в реальном времени в нескольких приложениях и системах;

мониторинг активности пользователей, обеспечивающий надлежащий контроль доступа, с предупреждениями и отчетами о нарушениях политик и подозрительном поведении, которые предоставляют подробные сведения для установления контекста;

библиотеки проверенных правил и сценариев, а также готовые информационные панели и отчеты;

расследование происшествий, которое обеспечивает корреляцию и аналитику событий, таких как аномальное поведение;

более надежная сетевая безопасность с отслеживанием предупреждений от брандмауэров и других пограничных устройств безопасности для выявления шаблонов атак в сетевом трафике;

лучшее реагирование на инциденты с возможностью организации и автоматизации связанных рабочих процессов;

более простое соблюдение требований конфиденциальности и безопасности данных.

Однако, прежде чем приступить к покупке SIEM, учтите следующее: решения SIEM дороги и могут быть сложны в развертывании и настройке. Их необходимо точно настроить для вашей ИТ-среды и поддерживать по мере изменения ваших систем и ландшафта угроз.

Более того, SIEM часто генерируют многочисленные оповещения, не предоставляя значимых данных для анализа и реагирования. В результате ИТ-команда может тратить чрезмерное количество времени на поиск ложных срабатываний, в то же время, позволяя реальным угрозам безопасности оставаться незамеченными.

Прежде чем начать свою работу с SIEM, необходимо выполнить некоторую подготовительную работу. Например, вы должны оценить, какие типы данных у вас есть, угрозы, с которыми вы сталкиваетесь, и ваши слабые места, а также определить, какие данные подвергаются наибольшему риску. Вам также необходимо спланировать, как вы можете интегрировать свое программное обеспечение SIEM с другими решениями, чтобы максимизировать его ценность.

Реализация вариантов использования

На основе ваших ответов можно построить ранжированный набор вариантов использования SIEM. Начиная с самого высокого приоритета, выполните следующие шаги для их реализации.

Шаг 1. Определите требования и объем.

При определении ваших требований и определении объема работы SIEM начните с ответов на следующие вопросы:

Какие наиболее важные ИТ-активы необходимо защитить?

С какими угрозами сталкивается организация?

Какие из них наиболее вероятны и нанесут наибольший ущерб?

Каковы приоритеты бизнеса, соответствия требованиям и безопасности?

Шаг 2. Выберите источники данных и добавьте их в SIEM.

Определите, какие журналы, и другие источники данных будут полезны для определения угрозы для варианта использования. В рамках анализа обязательно учитывайте характеристики источника данных, такие как:

  • расположение;
  • уровень детализации;
  • средний размер;
  • тип данных;
  • точки данных;
  • частота вращения (как быстро перезаписываются данные).

Также не забудьте зафиксировать сведения о приложении, генерирующем данные, включая его имя, версию, операционную систему. Используйте документацию поставщика, чтобы определить, как приложение усваивает данные и записывает файлы журнала.

Интегрируйте все выбранные вами источники данных с вашей SIEM и убедитесь, что источник данных работает правильно.

Шаг 3. Создайте правила для вашего варианта использования.

Правила корреляции SIEM определяют, как решение собирает и анализирует различные типы данных для вашего варианта использования.

Пишутся правила и определяются свои базовые и пороговые значения в соответствии с вашим глубоким знанием собственной ИТ-среды, ландшафта угроз и поведения злоумышленников. Поскольку злоумышленники постоянно меняют тактику, новые правила корреляции всегда должны находиться в процессе разработки.

Лучше всего начать со встроенных правил SIEM. Потратьте время, чтобы полностью их понять, а затем при необходимости адаптируйте. После того, как появится некоторый опыт, можно начать создавать свои собственные правила. Дополнительные сведения о создании и тонкой настройке правил корреляции приведены ниже.

Шаг 4. Тестируйте и настраивайте.

Ваша первая попытка реализовать вариант использования может не попасть в яблочко. В частности можно получать ложноположительные предупреждения, которые уведомляют вас о событии, которое на самом деле не представляет угрозы безопасности. Например, система SIEM может ошибочно принять законный сканер уязвимостей за агрессивного злоумышленника и создать поток предупреждений. Вы также должны искать ложные срабатывания – случаи, когда ваши правила не могут обнаружить реальную угрозу безопасности.

Тестируйте каждый вариант использования и вносите изменения в свои правила и пороговые значения, пока он не будет вести себя так, как вам нужно. Цель состоит в том, чтобы свести к минимуму количество ложноположительных предупреждений, не пропуская истинные угрозы.

Шаг 5. Следите за производительностью.

Проверяйте результаты, чтобы убедиться, что ваша система SIEM работает должным образом. Учитывая, что ландшафт угроз быстро меняется, мониторинг производительности поможет вам сохранить ваши варианты использования и разработать новые, чтобы остановить волну нежелательного поведения.

Заключение

Чтобы получить максимальную отдачу от SIEM, следуйте этим рекомендациям:

  • установите четкие цели, основанные на ландшафте угроз и целях вашего бизнеса, соответствия требованиям и безопасности;
  • назначьте специального администратора SIEM для обеспечения надлежащего обслуживания;
  • начните с готовых правил и тщательно настраивайте их по мере приобретения опыта работы с системой;
  • разработайте свои собственные правила;
  • тестируйте и настраивайте.

Список литературы

  1. Байгутлина И.А., Замятин П.А. Геоинформационные технологии, киберспорт и кибербезопасность // Славянский форум. 2021. № 2 (32). С. 316-326.
  2. Будаковский Д.В., Козин Е.А., Петраки А.В., Кондратеня К.А. Методы автоматизации поиска утечек информации в сети интернет // Наука и бизнес: пути развития. 2020. № 6 (108). С. 108-110.
  3. Булгаков С.В., Ковальчук А.К., Цветков В.Я., Шайтура С.В. Защита информации в ГИС. – М.: МГТУ им. Баумана, 2007.
  4. Голкина Г.Е., Шайтура С.В. Безопасность бухгалтерских информационных систем. – Учебное пособие. – Бургас, 2016.
  5. Кокорева Л.А., Шайтура С.В. Безопасность платежных систем России // Славянский форум. – 2015. – № 1 (7). – С. 92-100.

Интересная статья? Поделись ей с другими: