УДК 004
Сравнение актуальных SIEM-систем
Копцев Кирилл Алексеевич – бакалавр Санкт-Петербургского государственного университета аэрокосмического приборостроения.
Аннотация: В данной статье проводится сравнительный анализ систем безопасности информации (SIEM) на основе мониторинга, аналитики, легкости использования и других критериев.
Ключевые слова: защита информации, безопасность, события безопасности, сравнительный анализ, SIEM системы.
SIEM-системы призваны защищать определенные инфраструктуры и базы данных, с целью чего они анализируют все происходящие в контролируемом инфополе события, обнаруживают подозрительные отклонения и возможные атаки, формируют отвечающие им протоколы безопасности. На основе систем SIEM решаются самые разные задачи по обеспечению безопасного использования важной для компаний информации:
- система защиты информации собирает и хранит историю всех событий, связанных с данными;
- обрабатывает и анализирует эти события;
- в реальном времени обнаруживает атаки и действия, нарушающие протоколы безопасности;
- проводит разбор всех зарегистрированных инцидентов, формирует отчеты о них.
В нынешней ситуации бурного развития информационных технологий самой актуальной проблемой, связанной с такой тенденцией, является проблема обеспечения безопасности данных для организаций любого масштаба и направления деятельности. Киберугрозы по отношению к организациям и компаниям самого разного уровня все более усложняются, требуя непрерывного совершенствования SIEM-систем. Последние превращаются в главный инструмент инфобезопасности, способный обнаружить и предотвратить самые изощренные кибератаки [1, 2, 3].
Для каждой конкретной организации или компании необходимо подбирать соответствующую SIEM-систему, опираясь на различные аспекты и факторы, учитывая размер и финансовый уровень организации, ее бюджет, тип используемых данных и уровень требуемой защиты. Предварительно анализируются сравнительные характеристики разных систем инфобезопасности и определяется максимально выгодный и эффективный вариант именно для рассматриваемой компании [4, 5]. Угрозы кибератак ежедневно только увеличиваются, поэтому так важен выбор адекватной SIEM-системы, способной полноценно защищать корпоративную информацию, предотвращать ее утечку и обеспечивать полноценное функционирование всей информационной бизнес-структуры.
Сегодня существуют бесплатные и платные SIEM системы, среди актуальных бесплатных можно назвать следующие:
- Система OSSIM, которую разработала компания AlienVault. Главное ее достоинство – эффективный мониторинг поведения и обнаружение активностей. Программа способна оценивать угрозы в долгосрочной перспективе, анализировать и архивировать данные, обладает встроенным алгоритмом автоответов на угрозы и непрерывного оповещения пользователя, который может узнавать об угрозах или их отсутствии в реальном времени. Слабое место - усложненная настройка, особенно в ОС Windows.
- Система Sagan, способная в реальном времени анализировать входы и коррелировать их. Применяется при необходимости моментальных оповещений, ведет журналы, поддерживает многострочные их типы, при обнаружении угрожающих событий выполняет скрипты, автоматически мониторит межсетевой экран. Многопоточная структура данного инструмента позволяет обрабатывать журналы в реальном времени, используя полную мощь всех процессорных ядер. Среди других преимуществ – совместимость с графическими консолями Snorby, BASE, EveBox. Наблюдается некоторое неудобство в применении.
- Система OSSEC популярна у пользователей операционных систем Linux, macOS, Solaris, BSD. Главное преимущество – возможность контроля нескольких сетей из единственной точки, поскольку можно настроить как бессерверный, так и серверный режимы. Журналы анализируются по многим источникам, в том числе базам данных, FTP, почтовым серверам. К недостаткам можно отнести не совсем безопасное обновление ПО.
- Система Splunk Free представляет собой бесплатный вариант Splunk, который позволяет проиндексировать до пятисот мегабайт в сутки, не ограничивая сроки действия программы. Ограничивается только объем новых данных. Система автоматизирует сбор данных, индексирует их и оповещает об изменениях, обеспечивая видимость всех событий в режиме реального времени. Оснащенность алгоритмами машинного обучения и технологией искусственного интеллекта заметно повышает возможности Splunk. В бесплатном варианте отсутствует кластеризация индексаторов и функционал оповещения.
- Система Elasticsearch выделяется своей мощностью и способностью к высокоуровневому поиску и анализу событий. Она функционирует по принципу централизованного хранения данных, позволяя их запрашивать, используя комбинацию видов поиска. Данный инструмент позволяет пользователю видеть и общую событийную картину, и ее детализацию, увеличивая и уменьшая масштаб объемных линий журнала. Среди минусов можно назвать низкий уровень корреляции данных и недостаток функционала оповещения.
- Система Snort анализирует трафик сети в реальном времени, предоставляет пользователю информацию о журналах, дает возможность просматривать дамп пакетного потока или трафик в журналах. Из-за сложной организации рабочих процессов подходит в основном для IT-специалистов с большим опытом.
- Система MozDef представляет собой инструмент, который интегрируется с самыми разными программами, выполняет корреляцию данных и событий, предупреждает об опасности. Разработана компанией Mozilla и использует рабочую структуру, основанную на микросервисах. Отличается повышенной сложностью в настройке.
- Система Wazuh способна определять приоритеты при обнаружении значимых угроз и реагировать на события, которые связаны с проверкой целостности системы. Выделяется своей универсальностью и имеет платную облачную версию.
- Система ELK Stack представляет собой комплексное решение, компилируя несколько других готовых SIEM-систем и используя их отдельные элементы: Logstash собирает данные, Kibana делает доступным эластичный стек, Elasticsearch обеспечивает эффективный аналитический и поисковый механизм, Beats создает платформу для обмена данными с другими системами.
- Система Apache Metron достаточно динамична и объединяет несколько структур в централизованную консоль, состоящую из менеджера SOC, исследователя SOC, криминалиста, а также ученого и инженера безопасности данных. Интерфейс платформы достаточно сложен.
Теперь обратимся к действующим платным SIEM-системам:
- Система HPE ArcSight более всего распространена на нашем рынке и дает весь спектр возможностей системы безопасности данных. Он включает рабочий процесс управления и расследования событий, и, кроме того, особую консоль управления их развертыванием. Предоставляет большой выбор готовых сторонних решений и технологий.
- Система McAfee Enterprise Security Manager - это целый комплекс программ, а также виртуальных и физических устройств. Охватывает основные промышленные и диспетчерские управляющие структуры и устройства, устройства, собирающие данные, интегрируется со сторонними технологиями. Дает возможность моментального обнаружения событий, представляющих собой сеансы связи с несущими угрозу или вызывающими подозрение IP-адресами, благодаря постоянно обновляющейся информации.
- Система IBM QRadar Security Intelligence Platform включает целый ряд подсистем, которые обрабатывают информацию, собирают данные о событиях, расследуют инциденты и анализируют уровень защищенности. Сопровождается немалым количеством бесплатных приложений и модулей, обладая гибкой архитектурой и развитым контентом. Эффективная целостная платформа для построения центра мониторинга инфобезопасности SOC.
- Система RSA NetWitness Suite состоит из средств, с помощью которых обнаруживают угрозы на рабочих подстанциях и управляют журналами, включает также менеджера центра управления событиями в реальном времени. Способна непрерывно мониторить события, анализировать обнаруженные угрозы, расследовать и анализировать угрозы в трафике сети, начальных и конечных точках.
- Система Trustwave SIEM Enterprise обладает простейшей архитектурой, снижающей клиентскую нагрузку в период развертывания центров информационной безопасности и их дальнейшего расширения. Покупатели, которые уже используют и другие продукты Trustwave, получают дополнительные преимущества, улучшая интеграцию со всеми технологиями безопасности и услугами компании.
- Система Splunk Enterprise Security представляет собой многофункциональное решение для хранения, сбора, анализа и обработки машинных данных. Ведущее преимущество - способность оперировать данными почти из любых источников, поэтому платформа применима в самых разных сферах. Splunk использует технологию MapReduce, которая эффективно перераспределяет нагрузки и быстро масштабирует систему.
- Программный комплекс Ankey SIEM является разработкой организации “Газинформсервис” и базируется на ядре HPE ArcSight, поддерживая из коробки не менее пятисот источников событий инфобезопасности. Располагает развитым механизмом по сбору данных о событиях и поддерживается особым движком, подключающим “нестандартные” источники событий.
- Система RuSIEM разработана компанией РУСИЕМ. Обеспечивает организацию как распределенного, так и централизованного сбора событий со структур любого подкласса, автоматически обнаруживает инциденты инфобезопасности с использованием алгоритмов корреляции. Система применяет технологию искусственного интеллекта, позволяя обнаруживать аномальные события и угрозы даже не опираясь на правила корреляции.
- Система Positive Technologies MaxPatrol SIEM разработана фирмой Positive Technologies. Система предоставляет полный функционал управления активами, давая возможность создания и автоматического обновления групп активов, объединенных по самым разным признакам: территориальным, организационным, функциональным и иным. Платформа способна расставлять приоритеты при анализе инцидентов, исходя из важности рабочего актива.
- Система КОМРАД осуществляет централизованную проверку событий инфобезопасности, выявляет инциденты, моментально реагирует на поступающие угрозы, выполняет требования, которые предъявляются к различным аспектам обеспечения инфобезопасности государственных подсистем, АСУ ТП, структур военного назначения и других.
Мы проанализировали актуальные платные и бесплатные SIEM-системы, доступные на российском рынке, рассмотрели их преимущества и недостатки. Был выявлен главный критерий оценивания этих систем по наличию у них того или иного функционала и составлена итоговая таблица, которая поможет сделать правильный выбор SIEM-системы, требующейся конкретной организации или компании.
Название системы |
Машинное обучение |
Локальная развертка |
Мониторинг |
Поведенческая аналитика |
Отчетность |
Легкость использования и внедрения |
OSSIM |
+ |
+ |
+ |
+ |
+ |
+ |
OSSEC |
+ |
+ |
+ |
+ |
+ |
+ |
Sagan |
- |
- |
+ |
+ |
- |
- |
Splunk Free |
+ |
- |
+ |
+ |
+ |
+ |
Snort |
+ |
- |
+ |
+ |
+ |
- |
Elasticsearch |
+ |
- |
+ |
+ |
- |
- |
MozDef |
+ |
+ |
+ |
+ |
+ |
- |
ELK Stack |
+ |
+ |
+ |
+ |
- |
+ |
Wazuh |
+ |
+ |
+ |
- |
+ |
- |
Apache Metron |
+ |
- |
+ |
+ |
- |
+ |
Тщательный анализ работы действующих систем информационной безопасности позволил выявить их достоинства и недостатки, выдвинуть критерии их оценки и объединить полученные результаты в итоговую таблицу, которая станет помощником при выборе нужной для каждой конкретной компании SIEM-системы.
Список литературы
- Байгутлина И. А., Замятин П. А. Геоинформационные технологии, киберспорт и кибербезопасность // Славянский форум. 2021. № 2 (32). С. 316-326.
- Будаковский Д. В., Козин Е. А., Петраки А. В., Кондратеня К. А. Методы автоматизации поиска утечек информации в сети интернет // Наука и бизнес: пути развития. 2020. № 6 (108). С. 108-110.
- Булгаков С. В., Ковальчук А. К., Цветков В. Я., Шайтура С. В. Защита информации в ГИС - М.: МГТУ им. Баумана, 2007.
- Голкина Г. Е., Шайтура С. В. Безопасность бухгалтерских информационных систем – Учебное пособие - Бургас, 2016
- Кокорева Л. А., Шайтура С. В. Безопасность платежных систем России // Славянский форум. - 2015.- № 1 (7) - с. 92-100.