30 ноября 2021

История разработки SIEM-систем

Из этой статьи вы узнаете:

  • Что представляет собой система и какую миссию выполняет;
  • Основные технические характеристики трех ведущих систем российского рынка;
  • Актуальные версии, сертифицированные ФСТЭК;
  • Знаковые события в исторической справке.

Сегодня использование SIEM-систем не только решает задачи по защите бизнеса, но и входит в число обязательных систем информационной безопасности по целому ряду стандартов и требований регуляторов:
  • Стандарт ГОСТ Р ИСО/МЭК 27002-2021 (с 30.11.2021);
  • ФЗ-187;
  • Приказ ФСТЭК 21, 31;
  • ГОСТ Р 57580.1 и другие.

Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся что такое SIEM-система, какую миссию выполняет, познакомимся с ведущими вендорами и узнаем с чего все начиналось.

Задачи и миссия SIEM-систем

В любой организации большое количество различных систем, которые генерируют еще большее количество логов: миллионы, десятки миллионов, сотни миллионов событий. И требуется каким-то образом отслеживать и обрабатывать эти события.
SIEM (Security Information and Event Management) представляет собой инструмент мониторинга, который собирает максимум информации со всех систем, интересных для специалиста информационной безопасности.
SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.

При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.

Задачи, решаемые SIEM-системой

  1. Улучшение эффективности контроля процессов информационной безопасности;
  2. Обнаружение в режиме реального времени атак и нарушения критериев политик безопасности;
  3. Сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
  4. Оценка защищенности критически важных ресурсов Формирование отчетных документов.

Игроки отечественного рынка

Большие корпорации нуждаются в решении, которое отвечало бы их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество».

Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.

Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:

  • KOMRAD Enterprise SIEM
  • RUSIEM
  • MaxPatrol SIEM

КОМРАД

Отечественная SIEM-система компании НПО «Эшелон», которая осуществляет централизованный мониторинг событий ИБ, выявляет инциденты ИБ, реагирует на возникающие угрозы и выполняет требования, предъявляемые регуляторами к защите персональных данных.
Преимуществами использования данной системы можно считать:

  • Поддержку большого количества платформ;
  • Своевременное информирование и реагирование на различные виды угроз;
  • Возможность гибкой настройки;
  • Удаленное управление конфигурациями;
  • Сбор информации с нестандартных источников событий.
Архитектура ПК «Комрад»
Актуальная сертифицированная версия — KOMRAD Enterprise SIEM (КОМРАД 4)

RUSIEM

Основное преимущество RUSIEM мы видим в невысокой стоимости внедрения и поддержки, а также богатой функциональности. Существует три версии продукта: RuSIEM free, RuSIEM и RuSIEM Analytics.

  • RuSIEM free — бесплатно распространяемая версия с урезанным функционалом.
  • RuSIEM — версия, имеющая расширенные возможности корреляции, инцидент-менеджмента и риск-менеджмента, то есть являющаяся полноценной системой класса SIEM.
  • RuSIEM Analytics дополняет RuSIEM возможностями по управлению активами и выявлению аномалий на базе машинного обучения.

Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.

Подробную историю развития RuSIEM можно прочитать здесь.
Архитектура RuSIEM
Актуальная сертифицированная версия — «Система управления событиями «RuSIEM»». Сертификат соответствия №4402.

MAXPATROL SIEM

Cистема, которая дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.

Особенностью MaxPatrol SIEM является актив-ориентированный подход, который обеспечивает устойчивость работы системы к изменениям в ИТ-инфраструктуре компании. В продукте активы разбиваются по динамическим группам согласно сформулированным при создании групп критериям.

В отличие от классических SIEM-систем, она не нуждается в установке программных компонентов на узлах, что существенно облегчает процесс использования и снижает конечную стоимость владения. MaxPatrol SIEM обладает легко настраиваемой системой и разграничением прав доступа, что даёт возможность формировать мониторинг ИБ на каждом из уровней иерархии.
Архитектура MaxPatrol SIEM
Актуальная сертифицированная версия — MaxPatrol SIEM 23.0. Сертификат соответствия №3734

Историческая справка

Резюмируем исторической справкой по выбранным вендорам.
2012
2012
Positive Technologies начинает работу над MaxPatrol X (в дальнейшем MaxPatrol SIEM)
Подход связан с идеями полномасштабного сбора и анализа информации обо всем происходящем в IT-инфраструктуре (анализ конфигурации узлов, конфигурации сети, анализ происходящего в сети и на узле).
2014
2014
Стартует активная разработка RUSIEM
2015
2015
Эшелон. Выход версии 4.2.3
Автоматизированное построение карты сети IT-инфраструктуры, подключенной к системе. На карте отображаются элементы инфраструктуры и их состояние.
2015
2015
Positive Technologies выпускает на рынок MaxPatrol SIEM
Кроме технологий (то есть того, что не видно пользователям) в этом SIEM практически ничего не было.
2016
2016
Эшелон выпускает «КОМРАД 2.0»
В новой версии решения значительно увеличилась производительность SIEM-системы: количество обрабатываемых событий в секунду (EPS) достигло рекордных 20 000.
2016
2016
Positive Technologies выпускает релиз MaxPatrol SIEM 12
В нем были упакованы правила корреляции через графический интерфейс, пользовательские фильтры, уведомления по инцидентам, отчеты по событиям и инцидентам, поддержка импорта внешних логов, логирование и контроль задач.
2016
2016
У RuSIEM появляются взаимосвязи, отчеты и модули аналитики, которые стали важным моментом в развитии продукта.
2017
2017
Positive Technologies = инновации
Сделали табличные списки, группировку событий, контроль агентов с ядра, прикрутил Endpoint Monitor (Kernel Mode driver), аналогичный по функциональности sysmon. На базе технологий DPI (Deep Packet Inspection) Positive Technologies реализовал Network Sensor для сбора данных о трафике агентом.
2017
2017
Развитие RuSIEM
Появляются бесплатная версия продукта, собственная шина RuSIEM MQ и система RuSIEM включается в реестр российского ПО по Приказу Минкомсвязи РФ от 15.08.2017.
2018
2018
Развитие КОМРАД
Появилась возможность разнесения компонентов системы на отдельные узлы (лицензия Enterprise): коллектор, процессор, коррелятор и узел управления.
2018
2018
Positive Technologies добавляет PT Knowledge Base
Единая точка входа для управления экспертным контентом. Это база знаний, которая представляет собой высокоуровневый постоянно пополняемый набор данных.
2019
2019
RuSIEM выпустил свежий релиз одноименной линейки продуктов
В нем появились новые алгоритмы и возможности. Syslog_mapper: блоки для AttackKiller, kerio (события от них отправляются на отдельный парсер), Fix определения FortiGate (добавлены версии 30E/60E/VM), добавлен еще один вариант событий от cisco ASA, блок для cisco Nexus (дальнейшая обработка в парсере cisco).
2020
2020
Positive Technologies = инновации 2.0
Добавили в продукт много полезных изменений: историческая корреляция, поддержка Elasticsearch 7.x, управляемая автоагрегация инцидентов, объединение обработки и хранения сырых и нормализованных событий, гибкое управление правами пользователя.
2020
2020
RuSIEM заканчивает полноценную интеграция c R-Vision, функционалом управления парольными политиками.
Также произведена оптимизация работы систем под Ubuntu 18. Реализована привязка событий к инцидентам: теперь событие является частью сущности инцидента и время хранения события на них не распространяется, инциденты хранятся неограниченное время.
2021
2021
Эшелон теперь поддерживается развертывание продукта на операционные системы семейств как Windows, так и Linux (Astra Linux, Ubuntu)
2021
2021
Positive Technologies выпускает новую версию MaxPatrol SIEM 6.2
Она обрабатывает 60 000 событий в секунду. Такая скорость работы позволяет оперативнее проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM.

Для увеличения производительности хранилища событий и сокращение расходов на аппаратное обеспечение, пользователям MaxPatrol SIEM 6.2 доступна гибридная схема хранения данных.
2021
2021
Развитие RuSIEM 2.0
Добавлена статистика по парсерам и по отработке корреляции. Включена поддержка Telnet и SSH для агента и модулей, появляется возможность установки агента через групповые политики. Система получает сертификат ФСТЭК.
2021
2021
30 ноября 2021 начинает действовать стандарт ГОСТ Р ИСО/МЭК 27001-2

Выводы

К менеджменту инцидентов информационной безопасности предъявляются все большие требования бизнеса и регуляторов. SIEM-системы помогают обеспечить последовательный и эффективный подход к работе с инцидентами ИБ, чем значительно облегчают жизнь администраторов по безопасности.

Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре, задача не из простых. Задать вопросы, понять какая система решит ваши задачи и будет соответствовать всем требованиям вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.

Консультация