В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию бизнеса Cisco Systems
Совокупность корреляции событий информационной безопасности (Security Information and Event Management, SIEM) делает крайне важную функцию – она собирает сигналы тревоги от разнородных средств защиты, разбирает их, ищет скрытые взаимозависимости и пропущенные отдельными СЗИ атаки, и рекомендует на базе анализа те либо иные корректирующие действия. И чем больше средств защиты возможно подключить к SIEM-совокупности, тем она лучше и действеннее.
В рекламе многих производителей таких совокупностей имеется фразы, подобные данной «отечественная совокупность корреляции разрешает подключать каждые совокупности защиты, кроме того отечественного производства».
Нужно признать, что у большинства совокупностей корреляции вправду существует т.н. «универсальный агент», что разрешает собирать сигналы тревоги от разных средств защиты. В самом несложном случае это осуществляется за счет механизма SNMP либо Syslog.
В более сложных сценариях существует возможность обрисовать практически любой формат издания регистрации. Но в этом ли содержится принцип работы SIEM-решения?
Суть совокупности корреляции как раз в корреляции (поиске уязвимостей) и взаимозависимостей атак, а не просто хранении и сборе разных событий (не смотря на то, что и это также принципиально важно). Эта корреляция реализуется за счет правил, каковые встроены в SIEM-ответ производителем для изначально поддерживаемых межсетевых экранов, совокупностей предотвращения атак, антивирусов, сканеров безопасности и т.п.
Но для малоизвестных совокупностей таких правил не существует.
Нужно подметить, что и для поддерживаемых совокупностей корреляция осуществляется не всегда так, как этого хотелось бы работам информационной безопасности. Дабы SIEM-ответы были актуальны и адекватны современным угрозам, они должны обновляться в один момент с обновлением поддерживаемых устройств.
На практике этого в большинстве случаев не происходит – существует временной лаг, за который SIEM-совокупность ничего «не знает» о новых угрозах. И не смотря на то, что это не всегда представляет серьезную угрозу, об этом ограничении нужно знать.
Частичным ответом данной неприятности есть применение правил не для отдельных событий, а для классов и категорий событий.
Что в итоге? Прежде всего, SIEM-ответ осуществляет целый спектр возложенных на него задач лишь для поддерживаемых совокупностей защиты. Для неподдерживаемых средств защиты SIEM-ответ выступает в качестве агрегирования событий и системы консолидации безопасности, что разрешает применять ее как единое хранилище всех данных о состоянии информационной безопасности.
А вот в случае если у вас имеется потребность в полноценной помощи «малоизвестных» для SIEM ИБ-ответов, то вам нужно самостоятельно писать эти правила, что есть непростой задачей либо заплатить деньги интегратору, что попытается решить эту проблему (в случае если владеет нужной квалификацией).
Разведопрос: Алексей Водовозов про алкоголь
