15.12.2021

История разработки SIEM-систем

Интернет-портал ntcneptunit.ru
Статья с упоминанием системы RuSIEM

Из этой статьи вы узнаете:

  • Что представляет собой система и какую миссию выполняет;
  • Основные технические характеристики трех ведущих систем российского рынка;
  • Актуальные версии, сертифицированные ФСТЭК;
  • Знаковые события в исторической справке.

Сегодня использование SIEM-систем не только решает задачи по защите бизнеса, но и входит в число обязательных систем информационной безопасности по целому ряду стандартов и требований регуляторов:
  • Стандарт ГОСТ Р ИСО/МЭК 27002-2021 (с 30.11.2021);
  • ФЗ-187;
  • Приказ ФСТЭК 21, 31;
  • ГОСТ Р 57580.1 и другие.

Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся, что такое SIEM-система, какую миссию выполняет, познакомимся с ведущими вендорами и узнаем, с чего все начиналось.

Задачи и миссия SIEM-систем

В любой организации большое количество различных систем, которые генерируют еще большее количество логов: миллионы, десятки миллионов, сотни миллионов событий. И требуется каким-то образом отслеживать и обрабатывать эти события.
SIEM (Security Information and Event Management) представляет собой инструмент мониторинга, который собирает максимум информации со всех систем, интересных для специалиста информационной безопасности.
SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.

При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.

Задачи, решаемые SIEM-системой

  1. Улучшение эффективности контроля процессов информационной безопасности;
  2. Обнаружение в режиме реального времени атак и нарушения критериев политик безопасности;
  3. Сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
  4. Оценка защищенности критически важных ресурсов;
  5. Формирование отчетных документов.

Игроки отечественного рынка

Большие корпорации нуждаются в решении, которое отвечало бы их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество».

Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.

Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:

  • KOMRAD Enterprise SIEM
  • RUSIEM
  • MaxPatrol SIEM

КОМРАД

Отечественная SIEM-система компании НПО «Эшелон», которая осуществляет централизованный мониторинг событий ИБ, выявляет инциденты ИБ, реагирует на возникающие угрозы и выполняет требования, предъявляемые регуляторами к защите персональных данных.
Технические характеристики Значение
Сбор событий по протоколам Syslog (в том числе в формате CEF), Syslog-ng, SNMPv2, HTTP, SQL, ODBC, WMI, FTP, SFTP, SSH, Netflow v5, v7
Производительность 10 000 EPS на серверной платформе со следующими характеристиками: 2 CPU Intel Xeon E5 2640v4, ОЗУ: 64 Гбайт, HDD: 2 Тбайт
Преимуществами использования данной системы можно считать:

  • Поддержку большого количества платформ;
  • Своевременное информирование и реагирование на различные виды угроз;
  • Возможность гибкой настройки;
  • Удаленное управление конфигурациями;
  • Сбор информации с нестандартных источников событий.
Архитектура ПК «Комрад»

RUSIEM

Основное преимущество RUSIEM мы видим в невысокой стоимости внедрения и поддержки, а также богатой функциональности. Существует три версии продукта: RuSIEM free, RuSIEM и RuSIEM Analytics.

  • RuSIEM free — бесплатно распространяемая версия с урезанным функционалом.
  • RuSIEM — версия, имеющая расширенные возможности корреляции, инцидент-менеджмента и риск-менеджмента, то есть являющаяся полноценной системой класса SIEM.
  • RuSIEM Analytics дополняет RuSIEM возможностями по управлению активами и выявлению аномалий на базе машинного обучения.

Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.

Подробную историю развития RuSIEM можно прочитать здесь.
Технические характеристики Значение
Компоненты и базы данных Postgresql, Redis MQ, RuSIEM MQ, Apache Kafka, ElasticSearch, Neo4j, Yandex ClickHouse, Apache Storm
Версии RuSIEM, RuSIEM Analytics, RuSIEM free
Ядро RuSIEM, веб интерфейс, бэкенд и сопутствующие компоненты С++ 11 (stl, boost), c# (.net 3-4), java, php (bootstrap, laravel), bash, python, powershell (wmi), scala, maven, json, xml, html, C+, .Net, g++, gdb, gprof, cmake, binutils, Maven, Markdown, Scala, Java
Архитектура RuSIEM

MAXPATROL SIEM

Cистема, которая дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.

Особенностью MaxPatrol SIEM является актив-ориентированный подход, который обеспечивает устойчивость работы системы к изменениям в ИТ-инфраструктуре компании. В продукте активы разбиваются по динамическим группам согласно сформулированным при создании групп критериям.

В отличие от классических SIEM-систем, она не нуждается в установке программных компонентов на узлах, что существенно облегчает процесс использования и снижает конечную стоимость владения. MaxPatrol SIEM обладает легко настраиваемой системой и разграничением прав доступа, что даёт возможность формировать мониторинг ИБ на каждом из уровней иерархии.
Технические характеристики Значение
Производительность Скорость обработки данных до 60 000 EPS, что помогает оперативнее проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM
Экспертиза для обнаружения угроз Раз в два месяца MaxPatrol SIEM пополняется пакетами экспертизы с новыми правилами корреляции, индикаторами компрометации и плейбуками
Наиболее актуальные для России угрозы Экспертиза в продукте — это результат расследований сложных инцидентов, изучения новых угроз и методов взлома российских компаний, а также мониторинга деятельности всех основных хакерских группировок на территории России и СНГ
Быстрое развитие Выпускаются два релиза в год, регулярно внедряются новые технологии
Выполнение требований по защите информации Соответствие требованиям законов No 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСТЭК No 21, 17 и 31, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного стандарта PCI DSS
Архитектура MaxPatrol SIEM

Историческая справка

Резюмируем исторической справкой по выбранным вендорам.
2012
Positive Technologies начинает работу над MaxPatrol X (в дальнейшем MaxPatrol SIEM)
Подход связан с идеями полномасштабного сбора и анализа информации обо всем происходящем в IT-инфраструктуре (анализ конфигурации узлов, конфигурации сети, анализ происходящего в сети и на узле).
2014
Стартует активная разработка RUSIEM
2015
Эшелон. Выход версии 4.2.3
Автоматизированное построение карты сети IT-инфраструктуры, подключенной к системе. На карте отображаются элементы инфраструктуры и их состояние.
2015
Positive Technologies выпускает на рынок MaxPatrol SIEM
Кроме технологий (то есть того, что не видно пользователям) в этом SIEM практически ничего не было.
2016
Эшелон выпускает «КОМРАД 2.0»
В новой версии решения значительно увеличилась производительность SIEM-системы: количество обрабатываемых событий в секунду (EPS) достигло рекордных 20 000.
2016
Positive Technologies выпускает релиз MaxPatrol SIEM 12
В нем были упакованы правила корреляции через графический интерфейс, пользовательские фильтры, уведомления по инцидентам, отчеты по событиям и инцидентам, поддержка импорта внешних логов, логирование и контроль задач.
2016
У RuSIEM появляются взаимосвязи, отчеты и модули аналитики, которые стали важным моментом в развитии продукта.
2017
Positive Technologies = инновации
Сделали табличные списки, группировку событий, контроль агентов с ядра, прикрутили Endpoint Monitor (Kernel Mode driver), аналогичный по функциональности sysmon. На базе технологий DPI (Deep Packet Inspection) Positive Technologies реализовал Network Sensor для сбора данных о трафике агентом.
2017
Развитие RuSIEM
Появляется бесплатная версия продукта, собственная шина RuSIEM MQ, и система RuSIEM включается в реестр российского ПО по Приказу Минкомсвязи РФ от 15.08.2017.
2018
Развитие КОМРАД
Появилась возможность разнесения компонентов системы на отдельные узлы (лицензия Enterprise): коллектор, процессор, коррелятор и узел управления.
2018
Positive Technologies добавляет PT Knowledge Base
Единая точка входа для управления экспертным контентом. Это база знаний, которая представляет собой высокоуровневый постоянно пополняемый набор данных.
2019
RuSIEM выпустил свежий релиз одноименной линейки продуктов
В нем появились новые алгоритмы и возможности. Syslog_mapper: блоки для AttackKiller, kerio (события от них отправляются на отдельный парсер), Fix определения FortiGate (добавлены версии 30E/60E/VM), добавлен еще один вариант событий от cisco ASA, блок для cisco Nexus (дальнейшая обработка в парсере cisco).
2020
Positive Technologies = инновации 2.0
Добавили в продукт много полезных изменений: историческая корреляция, поддержка Elasticsearch 7.x, управляемая автоагрегация инцидентов, объединение обработки и хранения сырых и нормализованных событий, гибкое управление правами пользователя.
2020
RuSIEM заканчивает полноценную интеграция c R-Vision, функционалом управления парольными политиками.
Также произведена оптимизация работы систем под Ubuntu 18. Реализована привязка событий к инцидентам: теперь событие является частью сущности инцидента и время хранения события на них не распространяется, инциденты хранятся неограниченное время.
2021
Эшелон теперь поддерживается развертывание продукта на операционные системы семейств как Windows, так и Linux (Astra Linux, Ubuntu)
2021
Positive Technologies выпускает новую версию MaxPatrol SIEM 6.2
Она обрабатывает 60 000 событий в секунду. Такая скорость работы позволяет оперативнее проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM.

Для увеличения производительности хранилища событий и сокращение расходов на аппаратное обеспечение, пользователям MaxPatrol SIEM 6.2 доступна гибридная схема хранения данных.
2021
Развитие RuSIEM 2.0
Добавлена статистика по парсерам и по отработке корреляции. Включена поддержка Telnet и SSH для агента и модулей, появляется возможность установки агента через групповые политики. Система получает сертификат ФСТЭК.
2021
30 ноября 2021 начинает действовать стандарт ГОСТ Р ИСО/МЭК 27001-2

Выводы

К менеджменту инцидентов информационной безопасности предъявляются все большие требования бизнеса и регуляторов. SIEM-системы помогают обеспечить последовательный и эффективный подход к работе с инцидентами ИБ, чем значительно облегчают жизнь администраторов по безопасности.

Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре — задача не из простых. Задать вопросы, понять, какая система решит ваши задачи и будет соответствовать всем требованиям, вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.

Источник публикации