Обзор мирового и российского рынка SIEM-систем

Обзор мирового и российского рынка SIEM-систем

В настоящей статье кратко описываются принципы работы SIEM-систем и тенденции мирового рынка, рассматриваются популярные SIEM-системы, представленные на российском рынке, приводятся их основные преимущества.

 

 

 

 

 

 

1. Введение

2. Принцип работы SIEM-систем

3. Рынок SIEM в мире

4. Рынок SIEM в России

5. Краткий обзор популярных в России SIEM-систем

5.1. Зарубежные SIEM-системы

5.1.1. HPE ArcSight

5.1.2. IBM QRadar Security Intelligence Platform

5.1.3. McAfee Enterprise Security Manager

5.1.4. RSA NetWitness Suite

5.1.5. Splunk Enterprise Security

5.1.6. Trustwave SIEM Enterprise

5.2. Российские SIEM-системы

5.2.1. Ankey SIEM

5.2.2. MaxPatrol SIEM

5.2.3. RuSIEM

5.2.4. КОМРАД

5.2.5. СёрчИнформ SIEM

6. Выводы

 

 

Введение

SIEM (Security Information and Event Management) — решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений, и помогают обнаружить инциденты ИБ. SIEM предоставляются провайдерами в качестве аппаратных устройств, программного обеспечения или услуг и применяются для сбора и обработки событий, оповещений, генерации отчетов и визуализации нарушений ИБ.

Следует сразу отметить, что SIEM-системы предназначены для мониторинга и реагирования на инциденты, но не позволяют защищаться от угроз или предотвращать негативные события. В связи с этим SIEM применяются для решения следующих задач:

  • консолидация данных, сбор событий ИБ из различных источников (сетевые устройства и ИТ-сервисы, системы безопасности, операционные системы, базы данных, бизнес-приложения);
  • хранение событий безопасности из различных источников в историческом порядке для ретроспективного анализа и определения цепочек действий, ставших причиной возникновения инцидентов безопасности;
  • корреляция и обработка событий безопасности, применение различных технических приемов для сопоставления данных аудита из различных источников и выявления значимой информации;
  • предоставление инструментов для экспертного анализа событий и разбора инцидентов безопасности с возможностью поиска по множеству параметров и построению моделей связи событий между собой;
  • контекстное обогащение инцидентов информацией о принадлежности затронутых в событиях ИБ данных к тем или иным бизнес-приложениям, сотрудникам организации и процессам, их критичности для бизнеса или подверженности угрозам на основе информации от систем безопасности и сканеров уязвимостей;
  • автоматическое оповещение администратора безопасности через интерфейс SIEM посредством интеграции с системой учета заявок, а также по электронной почте, через SMS и т. д.

Крупные предприятия различных отраслей — основная категория потребителей SIEM-решений. SIEM позволяют выявить нарушения безопасности среди огромного множества событий и оперативно отреагировать на выявленные проблемы. Кроме того, SIEM-системы участвуют в проведении аудитов соответствия.

Мы уже подробно описывали SIEM-системы в предыдущих обзорах. Ниже будут рассмотрены лидеры рынка SIEM последних лет.

 

Принцип работы SIEM-систем

SIEM использует большое число источников данных, обеспечивая максимально полный охват событий, регистрируемых в ИТ- и ИБ-инфраструктуре и приложениях предприятия. SIEM-системы используют информацию из следующих источников:

  • системы аутентификации и системы контроля и управления доступом (Access Control);
  • антивирусные средства;
  • межсетевые экраны;
  • системы обнаружения/предотвращения вторжений;
  • системы проксирования доступа в интернет и веб-фильтрации;
  • активные сетевые устройства;
  • системные журналы событий ИБ серверов и рабочих станций пользователей;
  • журналы аудита систем управления базами данных;
  • ключевые корпоративные ресурсы: почтовые серверы, файлообменные серверы, CRM- и ERP-системы;
  • другие бизнес-приложения в соответствии с требованиями ИБ компаний и стандартов.

Полученную информацию SIEM анализирует с помощью правил, содержащих набор условий, триггеров, счетчиков и сценариев ответных действий (в совокупности составляющих Use Cases).

SIEM не противодействует злонамеренным действиям нарушителей, однако решение позволяет получить наиболее полное представление о возникающих событиях безопасности.

Подробнее ознакомиться с работой SIEM можно в нашей статье.

 

Рынок SIEM в мире

В течение последних лет спрос на технологию SIEM оставался на высоком уровне. По данным Gartner, рынок SIEM вырос с 1,67 млрд долларов в 2014 году до 1,73 млрд долларов в 2015 году.

В Северной Америке сохраняется тенденция увеличения числа развертываний SIEM-систем в небольших компаниях, которым необходимо улучшить мониторинг и выявление нарушение внутри сети (нередко по настоянию более крупных клиентов или деловых партнеров). Спрос на технологию SIEM в Европе остается неизменным, темпы роста на рынках Азиатско-Тихоокеанского региона и Латинской Америки намного выше, чем на более зрелых рынках Северной Америки и Европы.

На сегодняшний день мировой рынок SIEM можно назвать зрелым и конкурентоспособным.

Поставщики способны удовлетворить основные требования типичного клиента, однако остаются проблемы, связанные с эффективными целенаправленными атаками и обнаружением нарушений. Ситуация может быть улучшена благодаря дополнительной разведке угроз, профилированию поведения пользователей и приложений и эффективной аналитике. В настоящий момент наблюдается активное внедрение поведенческой аналитики пользователей и сущностей (User and Entity Behavior Analytics, UEBA), позиционируемой поставщиками как дополнение к SIEM, обладающее более высокой точностью обнаружения целенаправленных атак.

В 2015 году Splunk приобрела поставщика UEBA Caspida, а HPE объявила о создании решения, включающего в себя ArcSight и Securonix. IBM выпустил специальное бесплатное UBA-приложение для QRadar, доступное из X-Force Exchange. Эксперты прогнозируют, что поставщики SIEM продолжат расширять собственную поддержку возможностей анализа поведения, а также разрабатывать интеграцию со сторонними технологиями в течение ближайших лет.

В июне 2016 года Fortinet объявила о приобретении AccelOps. Продукт AccelOps SIEM теперь выпускается под брендом FortiSIEM.

В сентябре 2016 года компания Intel продала 51% акций подразделения Intel Security, в состав которой входит McAfee. Новым совладельцем компании стал инвестиционный фонд TPG.

На рынке SIEM по-прежнему доминируют крупные вендоры — IBM, Splunk, HPE, McAfee (ранее Intel Security), которые владеют более 60% доходов от рынка. LogRhythm — пример поставщика точечного решения, который продолжает занимать важные позиции на рынке. RSA активно наступает на пятки лидерам и стремится вырваться из челенджеров.

 

Рисунок 1. Магический квадрант Gartner по SIEM-системам, 2016 год

Магический квадрант Gartner по SIEM-системам, 2016 год

 

Все большее внимание уделяется мелким поставщикам, поскольку организации малого и среднего бизнеса ищут услуги или варианты предоставления SIEM для сокращения внутренних ресурсов и затрат, необходимых для соблюдения требований безопасности. Следует отметить, что поставщики SIEM, как крупные, так и малые, все чаще обращаются к провайдерам ИБ — MSSP (Managed Security Service Provider) — для запуска услуг на базе своих SIEM или же самостоятельно предлагают пользователям сервисы.

Ведущие производители SIEM интегрируют свои решения с платформами Big Data (собственные разработки или свободно распространяемое программное обеспечение, такое как Hadoop). Ряд вендоров, обладающих собственными возможностями исследований в области безопасности (IBM, HPE, McAfee (Intel Security), RSA и Trustwave), обеспечивают интеграцию SIEM с данными киберразведки. Поставщики (EventTracker, HPE, IBM и Trustwave), которые предлагают заказчикам как SIEM, так и MSSP (Managed Security Service Provider), занимаются маркетингом совместно используемых технологий развертывания SIEM, которые включают в себя ряд услуг мониторинга и реагирования. Так, например, IBM предоставляет услуги не только мониторинга, но и экспертного анализа и реагирования на инциденты ИБ, а RSA обеспечивает общую платформу для управления журналами и перехвата сетевых пакетов, а также интегрирует свой SIEM с технологией GRC (Governance, Risk management, and Compliance).

 

Рынок SIEM в России

В России главными потребителями SIEM-систем являются представители крупного бизнеса и государственные учреждения. Крупным корпорациям нужны решения, отвечающие их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество». Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов. SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

На отечественном рынке представлены и западные, и российские SIEM-решения. Некоторые из них можно найти в магическом квадранте Gartner (IBM, HPE, Splunk, McAfee (ранее Intel Security), EMC RSA, LogRhythm), отечественные же решения преимущественно применяются только на территории РФ.

В условиях тренда на импортозамещение и колебания курсов валют в 2015 году рынку были представлены отечественные SIEM-системы RUSIEM от компании "Первый Русский SIEM" и MaxPatrol SIEM компании Positive Technologies, а компания НПО «Эшелон» осуществила доработку своей системы КОМРАД.

Конечно, существуют другие производители SIEM-систем (Tibco Loglogic, OSSIM, SIEM Security Capsule российской компании ООО «ИТБ», SearchInform и т. д.), но их доля на российском рынке незначительна.

Поставкой и внедрением SIEM-систем занимаются бизнес-партнеры, аккредитованные производителями. Таких компаний в России сравнительно немного. Крупные системные интеграторы, обладающие достаточным опытом в проектах ИБ и экспертизой в части разработки Use Cases, способны реализовать крупный SIEM-проект.

Рассмотрим возможности некоторых SIEM-систем подробнее.

 

Краткий обзор популярных в России SIEM-систем

Зарубежные SIEM-системы

 

HPE ArcSight

HPE ArcSight

Hewlett Packard Enterprise (HPE) ArcSight — наиболее распространенная SIEM-система на российском рынке. Долгое время она считалась эталоном. С 2007 года реализовано более 400 проектов по внедрению системы. HPE ArcSight поддерживает интеграцию с ГосСОПКА.

Платформа HPE ArcSight ориентирована на средние и крупные предприятия и поставщиков услуг. Платформа доступна в трех различных вариантах:

  • Платформа данных Arcsight Data Platform, обеспечивающая сбор журналов, управление и генерацию отчетов.
  • Программное обеспечение Arcsight Enterprise Security Management (ESM), предназначено для развертывания широкомасштабного мониторинга безопасности.
  • Программное-аппаратный комплекс Arcsight Express, основанный на устройствах «все в одном» и ориентированный на использование с предварительно сконфигурированным мониторингом и отчетностью, а также упрощенным управлением данными.

Платформа HPE ArcSight может быть развернута как устройство, программное обеспечение или виртуальный экземпляр. HPE ArcSight поддерживает масштабируемую n–уровневую архитектуру с HPE ArcSight Management Center. HPE ArcSight Express доступен только в качестве устройства.

ArcSight Express следует рассматривать как SIEM среднего уровня, развертывание которой требует обширной поддержки коннекторов сторонних поставщиков. HPE ArcSight ESM хорошо подходит для крупномасштабных развертываний и для организаций, которые хотят построить выделенный SOC.

В 2017 году вышел новый продукт ArcSight Investigate, который можно использовать как усиление аналитических возможностей HPE ArcSight. Дополнительно HPE ArcSight развивается в сторону решения прикладных задач, таких как борьба с финансовым мошенничеством в банках, оперативное управление ИБ\ИТ, контроль метрик эффективности СЗИ, интеграция с SAP, и социализацию (ArcSight Marketplace).

Преимущества HPE ArcSight:

  • Arcsight ESM предоставляет полный набор возможностей SIEM, которые могут использоваться для поддержки крупномасштабного SOC, включая полный рабочий процесс расследования инцидентов и управления, а также специальную консоль управления развертыванием.
  • HPE User Behavior Analytics выявляет аномалии на основе анализа поведения пользователей и дополняет традиционную корреляцию, которая является базовой функцией arcsight.
  • DNS Malware Analytics анализирует DNS–трафик и обеспечивает полную видимость ИТ–инфраструктуры, что помогает выявить сетевые уязвимости еще до того, как ими воспользуются злоумышленники. Идея анализа DNS–трафика c целью обнаружения злонамеренной активности зародилась в исследовательском подразделении HP Labs около пяти лет назад.
  • Arcsight Threat Central содержит интерактивную базу знаний угроз и позволяет обмениваться сведениями о способах их обнаружения и ликвидации.
  • На портале ArcSight Marketplace содержатся правила (пакеты безопасности) и дополнительные приложения. Разработчики из HPE надеются, что к формированию таких пакетов безопасности и созданию дополнительных приложений подключатся и партнеры компании.
  • HPE arcsight имеет широкий выбор готовых к использованию сторонних технологий и коннекторов.

 

Рисунок 2. Аналитика поведения пользователей и сущностей в HPE ArcSight

Аналитика поведения пользователей и сущностей в HPE ArcSight

 

ArcSight ESM имеет сертификат ФСТЭК России № 3605, подтверждающий выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля и Технических условий.

Подробнее с информацией об HPE ArcSight можно ознакомиться на сайте разработчика.

 

IBM

IBM QRadar Security Intelligence Platform

IBM QRadar Security Intelligence Platform включает в себя ряд интегрированных между собой систем сбора событий, мониторинга, анализа защищенности и расследования инцидентов:

  • Log Manager;
  • SIEM;
  • Flow Processor;
  • Vulnerability Manager;
  • Risk Manager;
  • Network Insights;
  • Watson Advisor for Cyber Security;
  • Packet Capture and Incidents Forensics.

В дополнение к платным компонентам клиенты IBM QRadar получают доступ к бесплатному контенту, приложениям и репутационным базам из X-Force and App Exchange, где можно найти приложения для расширенной визуализации инцидентов, UBA, интеграционные модули с другими системами безопасности от IBM (например, i2 Analysis Notebook) и других производителей, а также дополнительные правила корреляции в виде готового SIEM-контента.

QRadar может быть развернут с использованием физических и виртуальных устройств, представлен как служба IaaS (Infrastructure-as-a-Service) в публичных или частных облачных сервисах или как предложение SaaS (Software-as-a-Service) IBM QRadar on Cloud, которое полностью управляется IBM вместе с дополнительным мониторингом событий IBM Managed Security Services. Также в 2017 году ряд российских компаний заключили партнерские соглашения с IBM на оказание услуг по мониторингу и реагированию на инциденты ИБ на решениях QRadar.

Платформа QRadar позволяет собирать и обрабатывать данные о событиях ИБ из журналов аудита безопасности, анализировать сетевую статистику (NetFlow и пр.), осуществлять самостоятельный анализ сетевого трафика и передаваемой информации, строить топологию сети и эмулировать изменения в конфигурационных файлах сетевого оборудования, выявлять уязвимости и небезопасные настройки систем, полностью захватывать трафик и воссоздавать цепочку коммуникаций между узлами сети.

За последнее время IBM представила несколько новых функций и возможностей, включая IBM Watson Advisor for Cyber Security и интеграцию с платформой реагирования на инциденты IBM Resilient, чтобы снизить нагрузку на аналитиков SOC, систематизировать и автоматизировать процессы реагирования на инциденты.

Преимущества IBM QRadar Security Intelligence Platform:

  • Единая платформа для планомерного создания SOC: начиная со сбора и анализа событий ИБ, выявления аномальной сетевой активности, сканирования уязвимостей и выявления небезопасных конфигураций, заканчивая интеграцией с искусственным интеллектом IBM Watson, сетевой форензикой и переходом к процессам реагирования на инциденты в IBM Resilient.
  • Гибкая архитектура QRadar Platform позволяет переопределять роль и функции модулей платформы и не ограничивает компании-клиентов жесткими рамками единожды выбранной схемы.
  • Большое количество бесплатных приложений, контента и интеграционных модулей, включая UBA и репутационные базы недоверенных IP от команды IBM X-Force.
  • Большое количество инсталляций по всему миру и в России с высокими показателями нагрузки и требований к работоспособности.

IBM Security QRadar SIEM имеет сертификат ФСТЭК России № 3354, подтверждающий выполнение функций мониторинга результатов регистрации событий безопасности и реагирования на них в соответствии с требованиями Технических условий.

 

Рисунок 3. Графический интерфейс администратора IBM QRadar Security Intelligence Platform

Графический интерфейс администратора IBM QRadar Security Intelligence Platform

 

Подробнее с информацией об IBM QRadar Security Intelligence Platform можно ознакомиться на сайте разработчика.

 

McAfee

McAfee Enterprise Security Manager

McAfee Enterprise Security Manager (ESM) поставляется в качестве физического и виртуального устройств и программного обеспечения. Три основных компонента, входящие в состав SIEM, — ESM, Event Receiver и Enterprise Log Manager, которые могут быть развернуты вместе как один экземпляр или отдельно для распределенных или крупномасштабных сред. Дополнительными компонентами являются Advanced Correlation Engine, Database Event Monitor, Application Data Monitor и Global Threat Intelligence.

Расширения, внедренные за последнее время, включают возможность динамического заполнения списков наблюдений из дополнительных внутренних или внешних источников, более глубокую двустороннюю интеграцию с Hadoop и поддержку дополнительного доступа к источникам информации об угрозах и управления ими. Интеграция ESM с McAfee Active Response теперь обеспечивает бо́льшую видимость конечных точек.

Преимущества McAfee Enterprise Security Manager:

  • Enterprise Security Manager имеет хороший охват промышленных систем управления (ICS) и устройств диспетчерского управления и сбора данных (SCADA).
  • McAfee Data Exchange Layer (DXL) от Intel Security обеспечивает интеграцию с сторонними технологиями без использования API. Этот подход дает возможность для использования ESM в качестве платформы SIEM.
  • McAfee Global Threat Intelligence позволяет расширить возможности SIEM-системы Enterprise Security Manager, добавив источник непрерывно обновляемой информации об угрозах, дающей возможность быстро обнаруживать события, включающие в себя сеансы связи с подозрительными или вредоносными IP-адресами.

McAfee SIEM имеет сертификат ФСТЭК России № 3353, подтверждающий выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля и Технических условий.

 

Рисунок 4. Графический интерфейс администратора McAfee Enterprise Security Manager

Графический интерфейс администратора McAfee Enterprise Security Manager

 

Подробнее с информацией об McAfee Enterprise Security Manager можно ознакомиться на сайте разработчика.

 

RSA

RSA NetWitness Suite

В июле 2016 года RSA, подразделение безопасности EMC, повторно представило свою SIEM-систему как платформу RSA NetWitness Suite, которая включает в себя:

  • управление журналами RSA NetWitness Logs & Packets (ранее RSA Security Analytics);
  • средство обнаружения угроз на рабочих станциях RSA NetWitness Endpoint (ранее RSA Enterprise Compromise Assessment Tool);
  • менеджер центра оперативного управления RSA NetWitness SecOps Manager (ранее RSA SecOps).

RSA NetWitness Suite обеспечивает видимость угроз с использованием данных из событий безопасности и других источников журналов, полного захвата пакетов, NetFlow и конечных точек (через RSA NetWitness Endpoint). Система RSA NetWitness ориентирована на мониторинг, анализ и оповещение в режиме реального времени в дополнение к поддержке упреждающей угрозы, а также реагированию на инциденты и судебному расследованию. Платформа использует комбинацию одного или нескольких физических или виртуальных устройств для регистрации журналов и пакетов (декодер), запросов и поиска необработанных данных (концентраторы), аналитики в реальном времени (Event Stream Analysis) и долговременного хранения журналов и отчетов (Archiver). Гибридные устройства, объединяющие декодеры и концентраторы в одну систему, доступны для небольших сред. Декодеры и концентраторы доступны для поддержки крупных и региональных распределенных архитектур. Сервер NetWitness предоставляет унифицированный интерфейс для администрирования и анализа. Он также предоставляет интерфейс для отчетов и аналитики вредоносных программ.

RSA Live Connect — это облачная служба, которая обеспечивает автоматическое обновление контента, включая правила обнаружения, парсеры пакетов и журналов, отчеты и источники угроз. Пользователи RSA NetWitness Suite также могут использовать RSA NetWitness SecOps Management (модуль в решении RSA Archer Governance, Risk and Compliance), который добавляет расширенный процесс управления инцидентами, панели управления и отчеты.

Преимущества RSA NetWitness Suite:

  • Платформа RSA NetWitness объединяет аналитику обнаружения угроз и мониторинг событий, расследование и анализ угроз в сетевом трафике, конечных точках и других источниках событий безопасности и журналов.
  • Модульные варианты развертывания позволяют клиентам выбирать мониторинг сетевого трафика, а также возможности мониторинга и анализа событий и журналов по мере необходимости.
  • RSA Live обеспечивает простой и автоматизированный подход для обеспечения бесперебойной доставки информации об угрозах, контента и других обновлений.
  • Интеграция с RSA NetWitness SecOps Manager обеспечивает унифицированные возможности SOC.

RSA Security Analytics имеет сертификат ФСТЭК России № 3342, подтверждающий выполнение требований Технических условий.

Подробнее с информацией о SIEM-системе компании RSA можно ознакомиться на сайте производителя.

 

Splunk

Splunk Enterprise Security

Splunk — это многофункциональная платформа для сбора, хранения, обработки и анализа машинных данных. На сегодняшний день она является крайне популярной в США и в Европе и постепенно выходит на другие рынки, включая Россию. Одной из главных особенностей платформы является то, что она может работать с данными практически из любых источников, что позволяет широко применять платформу в разных отраслях. Одним из ключевых направлений развития является SIEM-система Splunk Enterprise Security.

В состав Splunk Enterprise Security входят следующие функциональные решения:

  • Incident Review — гибкий инструмент обзора и управления инцидентами, обогащенный информацией из внешних источников.
  • Investigator — визуальный инструмент выявления Kill Chain- таки и создания новых корреляционных поисков на базе собранного опыта.
  • Glass Tables — наглядное построение логических схем защищаемых ресурсов со встроенным редактором. Возможность создания индивидуально настроенных визуализаций с ключевыми показателями работы SOC, изменяемыми в масштабе реального времени.
  • Security Intelligence — обширный набор преднастроенных интеграций с внешними источниками информации об угрозах, включая интеграцию с Facebook Threat Exchange.

Платформа Splunk может быть развернута как на физических, так и на виртуальных серверах, также пользователям доступна облачная версия решения. Splunk предлагает два вида лицензий: постоянную и годовую подписку, стоимость которых прямо пропорциональна объему обработанных данных в день, в гигабайтах.

За последние годы в связи с сильным развитием направлений Machine Learning и Artificial Intelligence Splunk разработал и интегрировал в свой продукт отдельный модуль – Splunk Machine Learning Toolkit, позволяющий строить расширенную аналитику в области прогнозирования, выявления аномалий, кластеризации и др. Этот модуль повышает аналитические возможности SIEM-системы Splunk Enterprise Security.

В середине 2015 года Splunk добавил собственную функциональность UEBA с приобретением Caspida, которая была переименована в Splunk UBA (Splunk также работает с рядом других продуктов UEBA). Более жесткая интеграция между продуктами Enterprise Security и UBA была введена в начале 2016 года.

Преимущества Splunk:

  • Splunk осуществляет сбор, поиск, мониторинг и анализ по различным и достаточно большим объемам данных как в режиме исторического поиска, так и в реальном времени, выдавая быстрый результат и высокую интерактивность поисковых запросов на чрезвычайно больших объемах данных. Splunk является полноценной Big Data платформой.
  • Splunk является универсальной системой для машинных данных, которая обеспечивает комплексный сбор данных, их обработку и анализ. Таким образом система способна объединить в себе машинные данные, бизнес данные, пользовательские данные и строить аналитику в различных разрезах, что делает ее крайне универсальным.
  • Splunk использует технологию MapReduce, что обеспечивает распределение нагрузок и быструю горизонтальную масштабируемость системы. Также благодаря технологии MapReduce возрастает ее производительность.

 

Рисунок 5. Панель мониторинга Splunk Enterprise Security

Панель мониторинга Splunk Enterprise Security

 

Подробнее с информацией об Splunk Enterprise Security можно ознакомиться на сайте разработчика.

 

Trustwave

Trustwave SIEM Enterprise

Trustwave предлагает два варианта продуктов SIEM: SIEM Enterprise и Log Management Enterprise (LME), оба доступны как в виде физических, так и виртуальных устройств. Trustwave LME и SIEM Enterprise предоставляют ряд опций, подходящих для среднего и крупного бизнеса. Кроме того, Trustwave предлагает множество совместно управляемых или гибридных услуг, дополняющих данные продукты управления безопасностью.

За последнее время Trustwave внесла ряд улучшений для основных функций продуктов, включая параметры хранения, пользовательский интерфейс и механизм поиска, а также усовершенствования, ориентированные на управляемые и многоуровневые развертывания.

Trustwave — хороший вариант для покупателей, уже использующих продукты и услуги из портфеля Trustwave, или для обладателей среднего бизнеса, которые ищут SIEM-систему, способную дополнить широкий набор технологий безопасности от одного поставщика.

Преимущества Trustwave:

  • Пользователи других продуктов безопасности Trustwave получат преимущества от улучшения двунаправленной интеграции с технологиями в своем портфеле, которые поддерживают возможности автоматического реагирования, такие как изоляция скомпрометированных конечных точек или блокировка учетных записей пользователей.
  • Trustwave имеет одну из наиболее простых архитектур, которая снижает нагрузку на клиентов во время развертывания и последующего расширения.

 

Рисунок 6. Графический интерфейс администратора Trustwave SIEM Enterprise

Графический интерфейс администратора Trustwave SIEM Enterprise

 

Подробнее с информацией об Trustwave SIEM Enterprise можно ознакомиться на сайте разработчика.

Российские SIEM-системы

 

«Газинформсервис» Ankey SIEM

«Газинформсервис» Ankey SIEM

Ankey SIEM — программный комплекс компании «Газинформсервис», разработанный в тесном сотрудничестве с компанией HPE.

Отличительными особенностями Ankey SIEM являются:

  • программное обеспечение на основе отлаженного ядра HPE ArcSight, признанного эталона SIEM-решений;
  • использование опыта наработок и поддержка от ведущего мирового производителя SIEM-решений;
  • поддержка более чем 500 источников событий ИБ из коробки (с учетом технологического уровня источников из АСУ ТП);
  • поддержка уникального движка для подключения «нестандартных» источников с помощью развитых механизмов сбора событий;
  • дополнительные программные модули расширенной аналитики и визуализации, контроля целостности всех конфигураций компонентов SIEM;
  • поддержка дополнительного инструментария по индивидуальной, комплексной и модельной обработке событий в корпорации для выявления потенциальных взаимосвязей, указывающих на различные подозрения и инциденты;
  • эффективный анализ информации как на основе сценарного подхода с использованием дашбордов, типовых интерактивных отчетов с данными в табличном и графическом представлении (Guided Analytics), так и исследовательской аналитике в режиме самообслуживания (Visual Exploration);
  • свободный поиск информации по всему массиву анализируемых данных, включая ретроспективный;
  • интерактивное формирование выборок данных, основанных на пользовательских атрибутах, выходящих за рамки стандартных отчетов;
  • быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с широкими возможностями фильтрации;
  • реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных;
  • реализация оценки эффективности как применяемых средств защиты информации в корпорации, так и самой SIEM-системы;
  • реализация механизмов оценки эффективности расследования зарегистрированных инцидентов в корпорации;
  • реализация статистических показателей и выявление отклонений от штатной работы как подключенных систем в виде источников, так и самой SIEM-системы;
  • реализация «высокоуровневых» панелей для руководства организации по оценке всей полноты безопасности.

 

Рисунок 7. Расширенная аналитика в Ankey SIEM

Расширенная аналитика в Ankey SIEM

 

На основании Приказа Минкомсвязи России от 21.07.2017 №382 программный комплекс Ankey SIEM зарегистрирован в едином реестре российских программ для ЭВМ и БД под регистрационным № 3685.

Планируется сертификация программного комплекса Ankey SIEM по требованиям ФСТЭК.

Подробнее с информацией об Ankey SIEM можно ознакомиться на сайте разработчика.

 

Positive Technologies MaxPatrol SIEM

Positive Technologies MaxPatrol SIEM

MaxPatrol SIEM — продукт российской компании Positive Technologies. MaxPatrol SIEM тесно интегрирован с другими решениями компании. Продукт поставляется в программном и программно-аппаратном исполнении (MaxPatrol SIEM LE). С момента запуска продукта в 2015 году реализовано более 50 проектов по внедрению системы в государственных и коммерческих организациях.

Особенностью MaxPatrol SIEM является актив-ориентированный подход, который обеспечивает устойчивость работы системы к изменениям в ИТ-инфраструктуре компании. Правила корреляции назначаются не на конкретные IP-адреса или их набор, а на динамическую группу активов (компьютеров, серверов и др.), которая формируется по выбранным признакам и состав которой может изменяться с развитием сети.

Информация постоянно пополняется новыми данными об ИТ-инфраструктуре за счет новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Эта возможность позволяет оценивать возникающие инциденты с привязкой к конкретным узлам сети и снизить число ложных срабатываний за счет сопоставления событий с текущими параметрами хостов.

 

Рисунок 8. Рабочая область MaxPatrol SIEM

Рабочая область MaxPatrol SIEM

 

В MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PT KB). Например, в случаях с эпидемиями WannaCry и NotPetya пользователи продукта Positive Technologies в тот же день получили инструменты для выявления атаки и инструкции по реагированию на инцидент. В результате применения PT KB удается снизить требования к экспертизе пользователей SIEM-системы, которые теперь не должны самостоятельно разбираться в признаках компрометации, разрабатывать правила корреляции и нормализации логов.

В 2017 году компания Positive Technologies анонсировала технологию проверки сетевой достижимости в системе MaxPatrol SIEM, которая применяется для локализации очагов эпидемий и выявления вариантов маршрутов атак. Разработала новый алгоритм распознавания активов, благодаря которому правила корреляции эффективно работают даже после изменений IP-адресов и других характеристик сетевых узлов. Также в начале года были представлены собственные модули анализа сетевого трафика на уровнях L2-L7 (Network Sensor) и данных с конечных точек для выявления потенциально опасных активностей (Endpoint Monitor).

MaxPatrol SIEM применяется для создания Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Преимущества MaxPatrol SIEM:

  • MaxPatrol SIEM предлагает полноценный функционал систем управления активами (Asset Management). Это позволяет создавать и автоматически обновлять группы активов по организационным, территориальным, функциональным и любым другим признакам;
  • MaxPatrol SIEM автоматически строит топологию сети и постоянно обновляет ее данными от источников и по результатам сканирований. Это позволяет лучше понимать защищаемую инфраструктуру и потенциальную достижимость атак, упрощает расследование инцидентов;
  • MaxPatrol SIEM приоритизирует инциденты в соответствии с важностью актива, и как следствие, позволяет реагировать только на действительно важные инциденты и снизить нагрузку на операторов системы;
  • MaxPatrol SIEM предлагает открытый стандартизированный API, предназначенный для загрузки или выгрузки информации на любом этапе работы системы. Это позволяет быстро решить ряд практических задач: выполнить интеграцию с SMS–шлюзом, корпоративным порталом, самописными приложениями и т. д.
  • специалисты Positive Technologies обеспечивают подключение источников без дополнительных затрат со стороны заказчиков. MaxPatrol SIEM обновляет правила нормализации через модуль PT KB, благодаря чему логи корректно интерпретируются после обновления источников;
  • решения Positive Technologies целиком спроектированы в России, с учетом специфики решаемых задач и требований регуляторов. В основе продукта лежит уникальная база знаний, накопленная за годы проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения знаковых мероприятий, таких как Универсиада в Казани и Олимпийские игры в Сочи.

MaxPatrol SIEM входит в реестр российского ПО №1143, имеет сертификат Минобороны РФ № 3044 и сертификат ФСТЭК России № 3734, подтверждающий выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля и Технических условий.

С подробной информацией об архитектуре, особенностях и функциях MaxPatrol SIEM можно ознакомиться на сайте производителя.

Подробный обзор MaxPatrol SIEM

 

РУСИЕМ RuSIEM

RuSIEM

RuSIEM — российская разработка отечественной компании РУСИЕМ, резидента Сколково. Разработка ведется с 2014 года. Решение позволяет организовать централизованный и распределенный сбор событий с систем любого класса (включая СКУД), автоматическое обнаружение инцидентов ИТ, ИБ и бизнес-процессов по правилам корреляции и с применением механизмов искусственного интеллекта (ИИ).

Развертывание решения возможно как в виртуальной среде на гипервизорах, так и на физической платформе. Решение состоит из нескольких модулей и включает в себя:

  • RuSIEM — коммерческое решение класса SIEM;
  • RvSIEM free — полнофункциональное свободно распространяемое готовое решение класса LM (log management);
  • RuSIEM Analytics — модуль аналитики, работающий в режиме реального времени;
  • RuSIEM Network Sensor — сетевой сенсор для анализа трафика.

RuSIEM Analytics — модуль, опционально устанавливаемый на RuSIEM, предназначен для обнаружения атак и аномалий в режиме реального времени без необходимости создания правил корреляции. Модуль позволяет:

  • выявлять инциденты с помощью ИИ и симптоматической модели;
  • обнаруживать инциденты на основе статистического Baseline, управляемого пользовательскими правилами;
  • уведомлять о совпадениях по фид-листам, содержащим IP и URL-адреса, хэши файлов malware, управляющих серверов ботнетов, выходные ноды tor и прочие угрозы;
  • автоматически строить ИТ-активы по данным из событий и трафика;
  • оценивать Standard Compliance и Policy Compliance по техническим контролям, в том числе и по пользовательским стандартам;
  • строить сложные аналитические отчеты с большим количеством расчетов.

RuSIEM имеет широкий набор визуализаций данных: дашборды, карта взаимосвязей, выборка по событиям, аналитика, отчеты, инциденты. Решение позволяет отслеживать входы и доступы персонала с новых мест и приложений — из других браузеров, IP–адресов и операционных систем.

Симптоматическая модель помогает классифицировать и приоритизировать события, находить их без знания текста, строить комплексные отчеты.

Интеграция с системами СКУД позволяет решать такие кейсы, как «интерактивный вход без прохода в офис», «отобразить сотрудников, присутствующих в офисе», «построить отчет о входах/выходах в офис».

Преимущества RuSIEM:

  • Применение современных аналитических подходов без облачных сервисов, на стороне заказчика, позволяет обнаруживать угрозы и аномалии даже без созданных для этих случаев правил корреляции.
  • Универсальные коннекторы позволяют подключать новые источники в кратчайшие сроки.
  • Гибкие правила корреляции позволяют описать любой сложный кейс.
  • Модульные варианты развертывания позволяют применять систему даже с минимальным бюджетом.
  • Не имеющее лимита горизонтальное и вертикальное масштабирование.
  • Управляемая пользователем критичность событий и аналитика.
  • Распределенная корреляция без необходимости сбора событий в центральный офис.
  • Встроенный инцидент–менеджмент по itil, включая постановку задач, ограничение видимости инцидентов, эскалацию инцидентов.

 

Рисунок 9. Консоль администратора RuSIEM

Консоль администратора RuSIEM

 

Подробнее с продуктом можно ознакомиться на сайте производителя.

 

НПО «Эшелон» КОМРАД

НПО «Эшелон» КОМРАД

КОМРАД — первая отечественная SIEM-система российской компании НПО «Эшелон».

КОМРАД позволяет осуществлять централизованный мониторинг событий ИБ, выявлять инциденты ИБ, оперативно реагировать на возникающие угрозы, выполнять требования, предъявляемые регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем, автоматизированных систем военного назначения, АСУ ТП и др.

Летом 2016 года НПО «Эшелон» объявило о выпуске новой версии SIEM-системы (КОМРАД 2.0). Особенностями нового решения являются поддержка отечественных СЗИ, а также возможность получения журналов событий от любого типа источника благодаря универсальному адаптеру. КОМРАД поддерживает интеграцию с ГосСОПКА.

Преимущества КОМРАД:

  • Высокая производительность: до 20 000 EPS.
  • Возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности: в составе системы имеется универсальный адаптер, позволяющий подключить любой источник событий.
  • Возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба.
  • Широкий спектр поддерживаемых отечественных средств защиты информации (СОВ и МЭ «Рубикон», САЗ «Сканер-ВС», СКУД АССОИ «МАТРИЦА», СЗИ от НСД «Страж NT», ОС Astra Linux, Dallas Lock, Страж NТ и многие другие).
  • Полнофункциональная подсистема визуализации (около десятка типов виджетов, средство построения визуальной модели инцидента).
  • Графический конструктор директив корреляции, позволяющий создавать неограниченное количество уровней и правил корреляции.
  • Оперативное оповещение (SMS, e-mail) и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы.
  • Полнотекстовый поиск по событиям, позволяющий выполнять поисковые запросы по ненормализованным данным.
  • Подсистема управления жизненным циклом инцидента информационной безопасности, возможность создания групп реагирования на инциденты.
  • Инструментарий для контроля соответствия требованиям ГОСТ Р ИСО/МЭК 27001-2006.
  • Подсистема мониторинга доступности технических средств с возможностью создания иерархических карт сети.

КОМРАД имеет следующие сертификаты соответствия:

  • Минобороны России № 2315, подтверждающий выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 2 уровню контроля и выполнение требований по соответствию реальных и декларируемых в документации функциональных возможностей;
  • ФСТЭК России № 3498, подтверждающий выполнение требований руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля и Технических условий при выполнении указаний по эксплуатации, приведенных в формуляре НПЭШ.60010–03 30.

КОМРАД включен в единый реестр российских программ для электронных вычислительных машин и баз данных (приказ Минкомсвязи России от 18.03.2016).

 

Рисунок 10. Анализатор событий КОМРАД

Анализатор событий КОМРАД

 

Подробнее с информацией о КОМРАД компании НПО «Эшелон» можно ознакомиться на сайте производителя.

 

СёрчИнформ SIEM

 «СёрчИнформ SIEM» - разработка российской компании  «СёрчИнформ», резидента Сколково. Первый релиз системы вышел в свет в ноябре 2016 года. Разработчик позиционирует продукт как  «принципиально новую систему для выявления угроз и нарушений политик информационной безопасности с помощью анализа событий корпоративных систем».  «СёрчИнформ SIEM» - система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них заинтересованных лиц.

Система имеет готовые коннекторы со встроенными политиками корреляции, тесно интегрирована с другой разработкой компании - DLP-системой  «Контур информационной безопасности Серчинформ». ПО позволяет работать с логами файловой активности, аудитом подключаемых устройств, рабочим временем пользователя напрямую из DLP. Связка  «СёрчИнформ SIEM» -  «КИБ СёрчИнформ» помогает детализировать нарушения и проводить анализ инцидентов в мельчайших подробностях.

 «СёрчИнформ SIEM» предоставляется только в виде программного обеспечения. Сервер комплекса работает на платформе Windows. Работа с комплексом также возможна только через приложение для Windows.

 

 

 «СёрчИнформ SIEM» имеет встроенные возможности:

  •  Аудит логов Eventlog локальных станций и серверов. Система детектирует временное переименование учетных записей, подбор паролей, временное включение учетной записи, изменение состава критичных групп пользователей, очистка журналов событий пользователем и др.
  •  Обращение к файловым ресурсам. Система позволяет детектировать временную выдачу прав на файл/папку, обращение к критичным ресурсам, отслеживание большого количества пользователей, работающих с файлом, видеть работу с определенными типами файлов, видеть статистику изменений прав доступа к файлам/папкам и прочее.
  •   Аудит СУБД: временное создание учетных данных, временное включение учетных данных, статистика изменения прав доступа и другие.
  •  Анализ событий антивирусов, таких как: отключение компонента, выявление эпидемий и другие.
  • Анализ почтовых серверов: доступ к почтовому ящику не владельцем, изменение критичных параметров, предоставление доступа к ящику и т.д.
  • Оценка активности пользователей: активность вне рабочего времени, активность давно отсутствующего пользователя и др.
  • Аудит Syslog. Система имеет встроенные правила для устройств и ПО, например, Palo Alto, FortiGate, веб-серверов, UNIX. Или кастомные правила, самостоятельно создаваемые клиентами.

Преимущества  «СёрчИнформ SIEM»:

  • Решение готово к работе  «из коробки». Систем не нуждается в настройке - все имеющиеся правила созданы разработчиком, предустановлены и начинают применяться сразу после подключения источника данных. Развертывание решения занимает всего пару часов, после чего оно полностью готово к работе.
  • Продукт решает прикладные задачи и не требует привлечения дорогостоящих специалистов для настройки и работы с системой.  «СёрчИнформ SIEM» поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Систему могут использовать штатные специалисты заказчика сразу после установки.
  •  Тесная интеграция с DLP-системой  «КИБ Серчинформ». Симбиоз решений дает доступ к уникальным источникам данных, например, к информации об активности пользователей (Time Tracking), о подключаемых устройствах хранения и т.д.
  • Российский продукт. Это позволяет напрямую взаимодействовать с разработчиком, без привлечения интегратора.
  •  Простая и понятная система лицензирования. Лицензируются только подконтрольные пользователи. Нагрузка, объем данных и прочие параметры никак не влияют на схему лицензирования.

 

Выводы

SIEM — это сложная комплексная система, позволяющая получать своевременную и всеобъемлющую информацию о состоянии ИТ-инфраструктуры предприятия. SIEM-системы являются весьма непростыми и дорогостоящими инструментами управления электронными журналами. Сложный процесс внедрения и требование к непрерывному обеспечению сбора событий и управлению правилами корреляции требует наличие в штате компании квалифицированных сотрудников или привлечение специалистов со стороны интегратора. Установка SIEM-системы без надлежащего контроля и управления приведет к неоправданной трате бюджета.

Функциональность SIEM-системы может быть шире, чем потребность пользователя. Производители, как правило, предлагают несколько вариантов поставки своего продукта, что существенно снижает затраты потребителей без снижения качества выполнения поставленных перед SIEM задач.

В случае успешного внедрения и эксплуатации SIEM-системы потребитель получает:

  • корреляцию и обработку событий безопасности, влияющих на состояние ИТ-инфраструктуры и бизнес-процессов;
  • возможность построения таких систем и центров мониторинга и реагирования, как SOC, или подключения к FinCert или ГосСОПКА (в случае отечественных решений);
  • автоматизацию процессов обнаружения угроз и аномалий;
  • автоматизацию процессов регистрации и контроля инцидентов, с последующей возможностью их расследования;
  • аудит политик и стандартов соответствия;
  • реагирование на возникающие угрозы в режиме реального времени;
  • доказательную базу для судебных разбирательств.

В России в сегодняшних экономических и политических условиях рынок SIEM развивается медленнее, чем за рубежом. Не все мировые лидеры имеют представительства в нашей стране. Однако наблюдается позитивная тенденция в развитии отечественных SIEM-систем. Поддерживая курс импортозамещения, российские компании адаптируют продукты к потребностям отечественных предприятий и организаций и подтверждают их соответствие требованием регуляторов. Это, в свою очередь, повышает уровень доверия к российским средствам защиты в целом и к SIEM-системам в частности.

SIEM-системы чутко реагируют на новые тенденции в области обработки данных. Улучшенная аналитика на больших данных способна придать новое качество результатам обработки. Уже сейчас Big Data играет важную роль в SIEM, предназначенных для крупных предприятий.

Разработчики SIEM-систем проявляют интерес к технологии UEBA и видят большие перспективы от ее интеграции со своими решениями. По прогнозам Gartner, к 2020 году модули UEBA будут в каждой четвертой SIEM-системе. К сожалению, технология UEBA для российского рынка еще достаточно новая, и говорить об отечественных разработках в этой области пока не приходится.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru