Какие инструменты нужны, когда базовой защиты становится недостаточно?
Компании среднего размера привлекательны для злоумышленников: их масштаб деятельности уже позволяет хорошо нажиться, например, при проведении атак шифровальщиков-вымогателей (ransomware). С одной стороны — организация способна заплатить заметный выкуп. С другой, подход к информационной безопасности у такой организации часто остается старым, со времен, когда бизнес был еще небольшим. Злоумышленники могут разработать тактику обхода имеющейся базовой защиты и скомпрометировать сеть, не встретив особого противодействия.
Ущерб от подобных инцидентов в среднем составляет миллионы рублей. Нельзя забывать и про — число ведомств и законодательных актов, требующих от российской компании соблюдать регламенты кибербезопасности, постоянно растет. Бизнес эти угрозы часто понимает и готов выделить отделу информационной безопасности дополнительные ресурсы.
Но как выстроить защиту следующего уровня на предприятии без чрезмерных затрат? Небольшой спойлер — ключевым элементом станет развертывание SIEM-системы, адаптированной под нужды и возможности компаний именно среднего размера.
Следующая задача — дополнить (не заменить!) этот арсенал более продвинутыми инструментами кибербезопасности:
Внедрение таких инструментов дает защитникам совершенно новые возможности. Системы мониторинга событий информационной безопасности позволят детектировать действия атакующих, выполняемые без вредоносного ПО, обнаруживать не только подозрительные объекты, но и подозрительное поведение, визуализировать и приоритизировать события в инфраструктуре. При этом грамотное внедрение SIEM может не повысить, а снизить нагрузку на отдел ИБ.
Благодаря SIEM сотрудник ИБ может получать большинство оповещений в единой консоли, легко связывать разные аспекты события (создание файлов, сетевую активность, вход в учетную запись и так далее) в единое целое, не заставляя оператора копаться в пяти разных источниках данных, а главное — быстро реагировать на такие события. Высокая степень автоматизации экономит команде ИБ очень много времени.
Раньше существенным барьером для применения SIEM в среднем бизнесе была высокая цена решений, они ориентировались исключительно на крупные компании. Но теперь это изменилось, например, на рынке появилось отечественное решение , лицензия на которое значительно дешевле лицензии на «корпоративную» SIEM.
Источники событий — формально они не являются частью SIEM, но поставляют необходимую информацию. Все, что способно создавать логи при работе, будь то операционная система, агент EDR, бизнес-приложение или сетевое устройство, может быть источником.
Коллектор — как правило, это отдельный сервис, получающий логи с источников телеметрии для обработки в SIEM.
Нормализатор и хранилище логов — это уже части SIEM-платформы. Получая логи из коллекторов, нормализатор преобразует их и адаптирует для того, чтобы они были пригодны для использования, поиска и анализа. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.
Механизм корреляции событий — это «сердце» системы SIEM. Именно здесь происходит самое важное, когда разрозненные события из разных логов сопоставляются между собой, объединяются, если оказывается, что они относятся к одной и той же активности или разным этапам активности, а также приоритизируются. В установке приоритетов играет важную роль имеющаяся у защитников информация об угрозах (threat intelligence) — именно на ее основе можно написать правило, которое не будет беспокоить команду ИБ по поводу каждого запуска powershell, но поднимет тревогу, если powershell запускается с характерными для целевой атаки параметрами.
Дашборды и предупреждения — это чисто интерфейсная, но важная часть системы, позволяющая осмыслять тонны информации, легко находить нужное, быстро «закапываться вглубь» данных по нужному инциденту и вовремя узнавать о проблемах или подозрительных событиях.
Пример взаимодействия компонентов SIEM-системы
Под реагированием здесь понимается не только блокировка или удаление вредоносных файлов, но и просто запрос более глубокой информации вроде дампов памяти или конкретных логов, откат каких-то файлов к предыдущей версии, запуск специализированных программ и утилит, перевод компьютера в группу более строгих ограничений и ИБ-политик, блокировка учетной записи и так далее.
EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Он незаменим для проактивного поиска угроз (threat hunting), когда признаки компрометации, замеченные в атаках на другие организации или обнаруженные на одном из компьютеров компании, нужно поискать во всей инфраструктуре.
Не углубляясь в этот аспект, отметим, что полноценной «коробки» SIEM в open source нет и ее нужно самостоятельно собрать из компонентов, подгоняя их друг к другу: хранилище из ELK stack или OpenSearch, коллекторы и агенты на базе одного или нескольких инструментов OSSEC/Snort/Suricata, инструменты анализа и реагирования (Mozdef) и так далее. Популярные проекты OSSIM и Prelude тоже являются подобной компиляцией инструментов, поэтому их поддержка ничуть не проще, а возможности масштабирования сильно упираются в наличие времени и специфических навыков у команды IT/ИБ.
Пример зачаточной SIEM-системы на базе компонентов open source
Кроме прямых затрат на программное решение и человекочасов, надо учесть и аппаратную составляющую. Почти все SIEM достаточно требовательны к оборудованию, и придется приобретать или арендовать сервер специально под запуск.
У отечественных компаний среднего бизнеса есть отличный выход — решение . В него входит российский SIEM, платформа Kaspersky Unified Monitoring and Analysis (KUMA), имеющая рекордную в своем классе производительность. Ее отличает невысокая требовательность к аппаратным ресурсам и возможность развертывания в виртуальной среде. По необходимости решение может быть как развернуто на единственном сервере, так и распределено сообразно структуре организации, например, в каждом филиале может быть запущен свой коллектор.
Определение источников данных SIEM. Совместно с бизнесом нужно определить, что следует мониторить с использованием решения SIEM. Вопрос не так тривиален, поскольку при помощи SIEM можно не только ловить злоумышленников, но и отслеживать другие события, например избыточную нагрузку на серверы или даже какие-то параметры функционирования бизнеса вроде скорости выпуска товара со склада.
Поставщиками информации могут быть сетевые устройства, серверы, обычные компьютеры и приложения. Детальное планирование источников данных дает уверенность, что решение SIEM настроено правильно и может контролировать все критически важные активы.
Настройка решения SIEM. Когда источники данных утверждены, потребуется настроить решение SIEM для сбора и анализа данных о безопасности из этих источников. Это включает установку агентов сбора данных и настройку правил корреляции для идентификации потенциальных угроз безопасности. «Из коробки» почти все SIEM снабжены базовыми правилами корреляции, но они обязательно требуют адаптации к реалиям компании. После начальной настройки какие-то правила потребуют исправления, следует подробно проверить ситуации как избытка, так и дефицита оповещений.
Благодаря живому сообществу пользователей для решений Kaspersky существует не только официальная документация, но и по установке и настройке SIEM.
Обучение специалистов. Решения SIEM требуют обученного персонала для эффективного управления и мониторинга. Команда ИБ в небольших компаниях — это обычно универсалы, мастера на все руки. Поэтому желательно, чтобы основными приемами работы с SIEM владели все специалисты отдела. Благо, SIEM позволяет им экономить время на рутинной работе вроде поиска приложений с сохраненными устаревшими паролями или расчистки рабочего e-mail от оповещений, поэтому все будут мотивированы применять новый инструмент.
Поддержка и развитие SIEM. SIEM — это живой инструмент, его настройки и правила нужно регулярно поддерживать и корректировать по мере роста и развития организации. Слишком «шумные» и малоэффективные правила надо понижать в приоритете или отключать, но также следует тестировать дополнительные правила корреляции для идентификации новых угроз.
Востребованность систем анализа и управления ИБ-событиями, а также EDR-решений растет, поскольку даже не очень большим компаниям теперь нужно реагировать на киберугрозы и инциденты ИБ более качественно, быстро и при этом затрачивать меньше усилий. Идеально подходящий для этого комплекс инструментов уровня enterprise благодаря теперь доступен всем нуждающимся в нем бизнесам.
Компании среднего размера привлекательны для злоумышленников: их масштаб деятельности уже позволяет хорошо нажиться, например, при проведении атак шифровальщиков-вымогателей (ransomware). С одной стороны — организация способна заплатить заметный выкуп. С другой, подход к информационной безопасности у такой организации часто остается старым, со времен, когда бизнес был еще небольшим. Злоумышленники могут разработать тактику обхода имеющейся базовой защиты и скомпрометировать сеть, не встретив особого противодействия.
Ущерб от подобных инцидентов в среднем составляет миллионы рублей. Нельзя забывать и про — число ведомств и законодательных актов, требующих от российской компании соблюдать регламенты кибербезопасности, постоянно растет. Бизнес эти угрозы часто понимает и готов выделить отделу информационной безопасности дополнительные ресурсы.
Но как выстроить защиту следующего уровня на предприятии без чрезмерных затрат? Небольшой спойлер — ключевым элементом станет развертывание SIEM-системы, адаптированной под нужды и возможности компаний именно среднего размера.
Эшелонированная защита среднего бизнеса
Долгосрочной целью компании будет построение эшелонированной защиты, в которой различные инструменты и меры дополняют друг друга, значительно усложняя атаку на компанию и сужая возможности атакующих. Почти наверняка в компании численностью 250–1000 человек уже есть базовые инструменты и первый слой этой защиты: ограничение доступа к IT-ресурсам при помощи аутентификации и авторизации пользователей, защита конечных точек (в народе «антивирус») и серверов, в том числе почтового сервера, а также межсетевой экран.Следующая задача — дополнить (не заменить!) этот арсенал более продвинутыми инструментами кибербезопасности:
- системой комплексного мониторинга и сопоставления событий ИБ из различных источников данных (компьютеры, серверы, приложения) в режиме реального времени в рамках всей инфраструктуры — это и есть SIEM;
- инструментами получения расширенной информации о возможных инцидентах или просто подозрительной активности и аномалиях;
- средствами реагирования на инциденты, позволяющими оперативно проводить разнообразные действия, — от расследования инцидентов согласно требованиям регуляторов до изоляции скомпрометированных хостов и учетных записей, устранения уязвимостей и тому подобное.
Внедрение таких инструментов дает защитникам совершенно новые возможности. Системы мониторинга событий информационной безопасности позволят детектировать действия атакующих, выполняемые без вредоносного ПО, обнаруживать не только подозрительные объекты, но и подозрительное поведение, визуализировать и приоритизировать события в инфраструктуре. При этом грамотное внедрение SIEM может не повысить, а снизить нагрузку на отдел ИБ.
Как работает SIEM-система и сколько стоит
Для комплексного мониторинга в IT-инфраструктуре организации уже два десятка лет существуют решения SIEM (Security Information and Event Management, управление информацией и событиями безопасности). Принцип работы SIEM-систем таков. Они состоят из нескольких компонентов, решающих задачи сбора, хранения, систематизации и анализа телеметрии, а также позволяют реагировать на поступающие события.Благодаря SIEM сотрудник ИБ может получать большинство оповещений в единой консоли, легко связывать разные аспекты события (создание файлов, сетевую активность, вход в учетную запись и так далее) в единое целое, не заставляя оператора копаться в пяти разных источниках данных, а главное — быстро реагировать на такие события. Высокая степень автоматизации экономит команде ИБ очень много времени.
Раньше существенным барьером для применения SIEM в среднем бизнесе была высокая цена решений, они ориентировались исключительно на крупные компании. Но теперь это изменилось, например, на рынке появилось отечественное решение , лицензия на которое значительно дешевле лицензии на «корпоративную» SIEM.
Архитектура SIEM для среднего бизнеса
Архитектура разных систем SIEM может несколько отличаться, но основные элементы таковы:Источники событий — формально они не являются частью SIEM, но поставляют необходимую информацию. Все, что способно создавать логи при работе, будь то операционная система, агент EDR, бизнес-приложение или сетевое устройство, может быть источником.
Коллектор — как правило, это отдельный сервис, получающий логи с источников телеметрии для обработки в SIEM.
Нормализатор и хранилище логов — это уже части SIEM-платформы. Получая логи из коллекторов, нормализатор преобразует их и адаптирует для того, чтобы они были пригодны для использования, поиска и анализа. Централизованное хранение данных значительно упрощает обнаружение и расследование инцидентов, а также предоставление информации об инцидентах регулирующим органам.
Механизм корреляции событий — это «сердце» системы SIEM. Именно здесь происходит самое важное, когда разрозненные события из разных логов сопоставляются между собой, объединяются, если оказывается, что они относятся к одной и той же активности или разным этапам активности, а также приоритизируются. В установке приоритетов играет важную роль имеющаяся у защитников информация об угрозах (threat intelligence) — именно на ее основе можно написать правило, которое не будет беспокоить команду ИБ по поводу каждого запуска powershell, но поднимет тревогу, если powershell запускается с характерными для целевой атаки параметрами.
Дашборды и предупреждения — это чисто интерфейсная, но важная часть системы, позволяющая осмыслять тонны информации, легко находить нужное, быстро «закапываться вглубь» данных по нужному инциденту и вовремя узнавать о проблемах или подозрительных событиях.
Пример взаимодействия компонентов SIEM-системы
EDR: реагируем на подозрительные события
Предупреждения о подозрительной активности — это, конечно, хорошо, но они требуют подробного изучения. Здесь незаменимую помощь защитникам окажет EDR (Endpoint Protection and Response, защита и реагирование на конечных точках). Он развился из систем защиты конечных точек (EPP) и помогает собирать нужную детальную информацию со всех хостов (включая серверы и все рабочие компьютеры), а также применять нужные меры реагирования по команде от ИБ-специалиста.Под реагированием здесь понимается не только блокировка или удаление вредоносных файлов, но и просто запрос более глубокой информации вроде дампов памяти или конкретных логов, откат каких-то файлов к предыдущей версии, запуск специализированных программ и утилит, перевод компьютера в группу более строгих ограничений и ИБ-политик, блокировка учетной записи и так далее.
Применение EDR и связь с EPP
EDR не заменяет собой EPP, а дополняет. В то время как основная цель обычной защиты компьютеров — предотвратить запуск однозначно вредоносной активности (исполнение ВПО, открытие фишинговых сайтов и так далее), EDR работает с более сложными случаями, собирая детальную телеметрию, включая обычные «не подозрительные» события, и позволяя детектировать аномалии на каждом компьютере и в сети в целом. EPP и EDR работают в тандеме, предотвращая разные виды кибератак и снижая нагрузку на ИБ-команду.EDR упрощает как автоматическое обнаружение сложных угроз с помощью индикаторов атаки (IoA), так и ручной анализ. Он незаменим для проактивного поиска угроз (threat hunting), когда признаки компрометации, замеченные в атаках на другие организации или обнаруженные на одном из компьютеров компании, нужно поискать во всей инфраструктуре.
Этапы внедрения SIEM-системы
Выбор решения SIEM. Этот вопрос очень прост, поскольку нужно выбрать либо одно из немногих коммерческих решений, доступных на рынке в России, ориентированных именно на средний бизнес и имеющих низкую стоимость лицензии, либо «бесплатный» open source.Не углубляясь в этот аспект, отметим, что полноценной «коробки» SIEM в open source нет и ее нужно самостоятельно собрать из компонентов, подгоняя их друг к другу: хранилище из ELK stack или OpenSearch, коллекторы и агенты на базе одного или нескольких инструментов OSSEC/Snort/Suricata, инструменты анализа и реагирования (Mozdef) и так далее. Популярные проекты OSSIM и Prelude тоже являются подобной компиляцией инструментов, поэтому их поддержка ничуть не проще, а возможности масштабирования сильно упираются в наличие времени и специфических навыков у команды IT/ИБ.
Пример зачаточной SIEM-системы на базе компонентов open source
Кроме прямых затрат на программное решение и человекочасов, надо учесть и аппаратную составляющую. Почти все SIEM достаточно требовательны к оборудованию, и придется приобретать или арендовать сервер специально под запуск.
У отечественных компаний среднего бизнеса есть отличный выход — решение . В него входит российский SIEM, платформа Kaspersky Unified Monitoring and Analysis (KUMA), имеющая рекордную в своем классе производительность. Ее отличает невысокая требовательность к аппаратным ресурсам и возможность развертывания в виртуальной среде. По необходимости решение может быть как развернуто на единственном сервере, так и распределено сообразно структуре организации, например, в каждом филиале может быть запущен свой коллектор.
Определение источников данных SIEM. Совместно с бизнесом нужно определить, что следует мониторить с использованием решения SIEM. Вопрос не так тривиален, поскольку при помощи SIEM можно не только ловить злоумышленников, но и отслеживать другие события, например избыточную нагрузку на серверы или даже какие-то параметры функционирования бизнеса вроде скорости выпуска товара со склада.
Поставщиками информации могут быть сетевые устройства, серверы, обычные компьютеры и приложения. Детальное планирование источников данных дает уверенность, что решение SIEM настроено правильно и может контролировать все критически важные активы.
Настройка решения SIEM. Когда источники данных утверждены, потребуется настроить решение SIEM для сбора и анализа данных о безопасности из этих источников. Это включает установку агентов сбора данных и настройку правил корреляции для идентификации потенциальных угроз безопасности. «Из коробки» почти все SIEM снабжены базовыми правилами корреляции, но они обязательно требуют адаптации к реалиям компании. После начальной настройки какие-то правила потребуют исправления, следует подробно проверить ситуации как избытка, так и дефицита оповещений.
Благодаря живому сообществу пользователей для решений Kaspersky существует не только официальная документация, но и по установке и настройке SIEM.
Обучение специалистов. Решения SIEM требуют обученного персонала для эффективного управления и мониторинга. Команда ИБ в небольших компаниях — это обычно универсалы, мастера на все руки. Поэтому желательно, чтобы основными приемами работы с SIEM владели все специалисты отдела. Благо, SIEM позволяет им экономить время на рутинной работе вроде поиска приложений с сохраненными устаревшими паролями или расчистки рабочего e-mail от оповещений, поэтому все будут мотивированы применять новый инструмент.
Поддержка и развитие SIEM. SIEM — это живой инструмент, его настройки и правила нужно регулярно поддерживать и корректировать по мере роста и развития организации. Слишком «шумные» и малоэффективные правила надо понижать в приоритете или отключать, но также следует тестировать дополнительные правила корреляции для идентификации новых угроз.
Востребованность систем анализа и управления ИБ-событиями, а также EDR-решений растет, поскольку даже не очень большим компаниям теперь нужно реагировать на киберугрозы и инциденты ИБ более качественно, быстро и при этом затрачивать меньше усилий. Идеально подходящий для этого комплекс инструментов уровня enterprise благодаря теперь доступен всем нуждающимся в нем бизнесам.
