УДК 004

Сравнение актуальных SIEM-систем

Копцев Кирилл Алексеевич – бакалавр Санкт-Петербургского государственного университета аэрокосмического приборостроения.

Аннотация: В данной статье проводится сравнительный анализ систем безопасности информации (SIEM) на основе мониторинга, аналитики, легкости использования и других критериев.

Ключевые слова: защита информации, безопасность, события безопасности, сравнительный анализ, SIEM системы.

SIEM-системы призваны защищать определенные инфраструктуры и базы данных, с целью чего они анализируют все происходящие в контролируемом инфополе события, обнаруживают подозрительные отклонения и возможные атаки, формируют отвечающие им протоколы безопасности. На основе систем SIEM решаются самые разные задачи по обеспечению безопасного использования важной для компаний информации:

  • система защиты информации собирает и хранит историю всех событий, связанных с данными;
  • обрабатывает и анализирует эти события;
  • в реальном времени обнаруживает атаки и действия, нарушающие протоколы безопасности;
  • проводит разбор всех зарегистрированных инцидентов, формирует отчеты о них.

В нынешней ситуации бурного развития информационных технологий самой актуальной проблемой, связанной с такой тенденцией, является проблема обеспечения безопасности данных для организаций любого масштаба и направления деятельности. Киберугрозы по отношению к организациям и компаниям самого разного уровня все более усложняются, требуя непрерывного совершенствования SIEM-систем. Последние превращаются в главный инструмент инфобезопасности, способный обнаружить и предотвратить самые изощренные кибератаки [1, 2, 3].

Для каждой конкретной организации или компании необходимо подбирать соответствующую SIEM-систему, опираясь на различные аспекты и факторы, учитывая размер и финансовый уровень организации, ее бюджет, тип используемых данных и уровень требуемой защиты. Предварительно анализируются сравнительные характеристики разных систем инфобезопасности и определяется максимально выгодный и эффективный вариант именно для рассматриваемой компании [4, 5]. Угрозы кибератак ежедневно только увеличиваются, поэтому так важен выбор адекватной SIEM-системы, способной полноценно защищать корпоративную информацию, предотвращать ее утечку и обеспечивать полноценное функционирование всей информационной бизнес-структуры. 

Сегодня существуют бесплатные и платные SIEM системы, среди актуальных бесплатных можно назвать следующие:

  1. Система OSSIM, которую разработала компания AlienVault. Главное ее достоинство – эффективный мониторинг поведения и обнаружение активностей. Программа способна оценивать угрозы в долгосрочной перспективе, анализировать и архивировать данные, обладает встроенным алгоритмом автоответов на угрозы и непрерывного оповещения пользователя, который может узнавать об угрозах или их отсутствии в реальном времени. Слабое место - усложненная настройка, особенно в ОС Windows.
  2. Система Sagan, способная в реальном времени анализировать входы и коррелировать их. Применяется при необходимости моментальных оповещений, ведет журналы, поддерживает многострочные их типы, при обнаружении угрожающих событий выполняет скрипты, автоматически мониторит межсетевой экран. Многопоточная структура данного инструмента позволяет обрабатывать журналы в реальном времени, используя полную мощь всех процессорных ядер. Среди других преимуществ – совместимость с графическими консолями Snorby, BASE, EveBox. Наблюдается некоторое неудобство в применении.
  3. Система OSSEC популярна у пользователей операционных систем Linux, macOS, Solaris, BSD. Главное преимущество – возможность контроля нескольких сетей из единственной точки, поскольку можно настроить как бессерверный, так и серверный режимы. Журналы анализируются по многим источникам, в том числе базам данных, FTP, почтовым серверам. К недостаткам можно отнести не совсем безопасное обновление ПО.
  4. Система Splunk Free представляет собой бесплатный вариант Splunk, который позволяет проиндексировать до пятисот мегабайт в сутки, не ограничивая сроки действия программы. Ограничивается только объем новых данных. Система автоматизирует сбор данных, индексирует их и оповещает об изменениях, обеспечивая видимость всех событий в режиме реального времени. Оснащенность алгоритмами машинного обучения и технологией искусственного интеллекта заметно повышает возможности Splunk. В бесплатном варианте отсутствует кластеризация индексаторов и функционал оповещения.
  5. Система Elasticsearch выделяется своей мощностью и способностью к высокоуровневому поиску и анализу событий. Она функционирует по принципу централизованного хранения данных, позволяя их запрашивать, используя комбинацию видов поиска. Данный инструмент позволяет пользователю видеть и общую событийную картину, и ее детализацию, увеличивая и уменьшая масштаб объемных линий журнала. Среди минусов можно назвать низкий уровень корреляции данных и недостаток функционала оповещения.
  6. Система Snort анализирует трафик сети в реальном времени, предоставляет пользователю информацию о журналах, дает возможность просматривать дамп пакетного потока или трафик в журналах. Из-за сложной организации рабочих процессов подходит в основном для IT-специалистов с большим опытом.
  7. Система MozDef представляет собой инструмент, который интегрируется с самыми разными программами, выполняет корреляцию данных и событий, предупреждает об опасности. Разработана компанией Mozilla и использует рабочую структуру, основанную на микросервисах. Отличается повышенной сложностью в настройке.
  8. Система Wazuh способна определять приоритеты при обнаружении значимых угроз и реагировать на события, которые связаны с проверкой целостности системы. Выделяется своей универсальностью и имеет платную облачную версию.
  9. Система ELK Stack представляет собой комплексное решение, компилируя несколько других готовых SIEM-систем и используя их отдельные элементы: Logstash собирает данные, Kibana делает доступным эластичный стек, Elasticsearch обеспечивает эффективный аналитический и поисковый механизм, Beats создает платформу для обмена данными с другими системами.
  10. Система Apache Metron достаточно динамична и объединяет несколько структур в централизованную консоль, состоящую из менеджера SOC, исследователя SOC, криминалиста, а также ученого и инженера безопасности данных. Интерфейс платформы достаточно сложен.

Теперь обратимся к действующим платным SIEM-системам:

  1. Система HPE ArcSight более всего распространена на нашем рынке и дает весь спектр возможностей системы безопасности данных. Он включает рабочий процесс управления и расследования событий, и, кроме того, особую консоль управления их развертыванием. Предоставляет большой выбор готовых сторонних решений и технологий.
  2. Система McAfee Enterprise Security Manager - это целый комплекс программ, а также виртуальных и физических устройств. Охватывает основные промышленные и диспетчерские управляющие структуры и устройства, устройства, собирающие данные, интегрируется со сторонними технологиями. Дает возможность моментального обнаружения событий, представляющих собой сеансы связи с несущими угрозу или вызывающими подозрение IP-адресами, благодаря постоянно обновляющейся информации.
  3. Система IBM QRadar Security Intelligence Platform включает целый ряд подсистем, которые обрабатывают информацию, собирают данные о событиях, расследуют инциденты и анализируют уровень защищенности. Сопровождается немалым количеством бесплатных приложений и модулей, обладая гибкой архитектурой и развитым контентом. Эффективная целостная платформа для построения центра мониторинга инфобезопасности SOC.
  4. Система RSA NetWitness Suite состоит из средств, с помощью которых обнаруживают угрозы на рабочих подстанциях и управляют журналами, включает также менеджера центра управления событиями в реальном времени. Способна непрерывно мониторить события, анализировать обнаруженные угрозы, расследовать и анализировать угрозы в трафике сети, начальных и конечных точках.
  5. Система Trustwave SIEM Enterprise обладает простейшей архитектурой, снижающей клиентскую нагрузку в период развертывания центров информационной безопасности и их дальнейшего расширения. Покупатели, которые уже используют и другие продукты Trustwave, получают дополнительные преимущества, улучшая интеграцию со всеми технологиями безопасности и услугами компании.
  6. Система Splunk Enterprise Security представляет собой многофункциональное решение для хранения, сбора, анализа и обработки машинных данных. Ведущее преимущество - способность оперировать данными почти из любых источников, поэтому платформа применима в самых разных сферах. Splunk использует технологию MapReduce, которая эффективно перераспределяет нагрузки и быстро масштабирует систему.
  7. Программный комплекс Ankey SIEM является разработкой организации “Газинформсервис” и базируется на ядре HPE ArcSight, поддерживая из коробки не менее пятисот источников событий инфобезопасности. Располагает развитым механизмом по сбору данных о событиях и поддерживается особым движком, подключающим “нестандартные” источники событий.
  8. Система RuSIEM разработана компанией РУСИЕМ. Обеспечивает организацию как распределенного, так и централизованного сбора событий со структур любого подкласса, автоматически обнаруживает инциденты инфобезопасности с использованием алгоритмов корреляции. Система применяет технологию искусственного интеллекта, позволяя обнаруживать аномальные события и угрозы даже не опираясь на правила корреляции.
  9. Система Positive Technologies MaxPatrol SIEM разработана фирмой Positive Technologies. Система предоставляет полный функционал управления активами, давая возможность создания и автоматического обновления групп активов, объединенных по самым разным признакам: территориальным, организационным, функциональным и иным. Платформа способна расставлять приоритеты при анализе инцидентов, исходя из важности рабочего актива.
  10. Система КОМРАД осуществляет централизованную проверку событий инфобезопасности, выявляет инциденты, моментально реагирует на поступающие угрозы, выполняет требования, которые предъявляются к различным аспектам обеспечения инфобезопасности государственных подсистем, АСУ ТП, структур военного назначения и других.

Мы проанализировали актуальные платные и бесплатные SIEM-системы, доступные на российском рынке, рассмотрели их преимущества и недостатки. Был выявлен главный критерий оценивания этих систем по наличию у них того или иного функционала и составлена итоговая таблица, которая поможет сделать правильный выбор SIEM-системы, требующейся конкретной организации или компании.

Название системы

Машинное обучение

Локальная развертка

Мониторинг

Поведенческая аналитика

Отчетность

Легкость использования и внедрения

OSSIM

+

+

+

+

+

+

OSSEC

+

+

+

+

+

+

Sagan

-

-

+

+

-

-

Splunk Free

+

-

+

+

+

+

Snort

+

-

+

+

+

-

Elasticsearch

+

-

+

+

-

-

MozDef

+

+

+

+

+

-

ELK Stack

+

+

+

+

-

+

Wazuh

+

+

+

-

+

-

Apache Metron

+

-

+

+

-

+

Тщательный анализ работы действующих систем информационной безопасности позволил выявить их достоинства и недостатки, выдвинуть критерии их оценки и объединить полученные результаты в итоговую таблицу, которая станет помощником при выборе нужной для каждой конкретной компании SIEM-системы.

Список литературы

  1. Байгутлина И. А., Замятин П. А. Геоинформационные технологии, киберспорт и кибербезопасность // Славянский форум. 2021. № 2 (32). С. 316-326.
  2. Будаковский Д. В., Козин Е. А., Петраки А. В., Кондратеня К. А. Методы автоматизации поиска утечек информации в сети интернет // Наука и бизнес: пути развития. 2020. № 6 (108). С. 108-110.
  3. Булгаков С. В., Ковальчук А. К., Цветков В. Я., Шайтура С. В. Защита информации в ГИС - М.: МГТУ им. Баумана, 2007.
  4. Голкина Г. Е., Шайтура С. В. Безопасность бухгалтерских информационных систем – Учебное пособие - Бургас, 2016
  5. Кокорева Л. А., Шайтура С. В. Безопасность платежных систем России // Славянский форум. - 2015.- № 1 (7) - с. 92-100.