Обзор решений UBA, SIEM и SOAR: в чем различие?

Обзор решений UBA, SIEM и SOAR: в чем различие?

В попытке защитить свои данные компании чаще стали внедрять системы информационной безопасности в свои IT-отделы. Это объясняется тем, что в современном обществе информация играет в бизнесе чуть ли не ключевую роль. Так как число систем ИБ постоянно увеличивается, то для осознанного выбора инструментов защиты данных конкретной компании необходимо иметь представление о видах данных систем, а главное, их различиях.

 

 

 

  1. Введение
  2. Что такое UBA, или поимка нарушителя «на месте»
  3. UEBA в значении «анализ сущностей»
  4. SIEM: всех впускать, никого не выпускать
    1. 4.1. Компоненты SIEM
  5. Автоматизация и мониторинг в SOAR
  6. Выводы

 

Введение

Информационная безопасность подразумевает безопасность всей информационной среды: это значит, что под защитой должны находиться не только сами данные, но и их носители, а также вся инфраструктура. Следовательно, решения для обеспечения ИБ должны охватывать не только технические, но и административные, правовые аспекты, а также поведение пользователя, чтобы не допустить утечек и разглашения коммерческой тайны.

Для целей разработки концепций ИБ-защиты средства защиты информации, как правило, делят на нормативные (неформальные) и технические (формальные). К неформальным средствам относятся административные, нормативные и морально-этические нормы (стандарты, регламентация деятельности, корпоративная культура и прочее). К формальным относится специальное программное обеспечение и различные технические средства (аппаратные, физические электронные механизмы и т. д.). Программные средства защиты могут быть представлены простыми программами и комплексными системами. К последним относятся UBA, SIEM и SOAR- решения.

UBA, SIEM и SOAR — наиболее известные системы защиты ИБ. В настоящий момент они широко используются для внедрения в бизнес (хотя стоит отметить, что SOAR появилась относительно недавно). В данной статье мы попробуем разобраться, почему именно эти три типа набирают наибольшую популярность среди всех прочих решений.

 

Что такое UBA, или поимка нарушителя «на месте»

Первым и основным инструментом является система анализа поведения пользователя, называемая UBA (UserBehaviorAnalytics). Эта система использует технологии машинного обучения и обработки данных для того, чтобы выявить аномальную активность пользователей.

Работает UBA следующим образом:

  1. Собирает информацию о типичном поведении пользователя в конкретной среде (например, выявляет список программ, сайтов, которые человек использует обычно на рабочем месте).
  2. Выстраивает модель типичного поведения.
  3. Выявляет аномальную активность и в случае ее возникновения моментально регистрирует и расценивает как потенциальную угрозу.

Выстраивание модели типичного поведения пользователя осуществляется при помощи науки о данных, принципы которой заложены в UBA. В случае компрометации данных действия злоумышленника будут резко отличаться от действий владельца учетной записи.

Рассмотрим действие UBA на примере. Допустим, нам требуется построить модель использования работником Иваном VPN-серверов. Мы можем начать фиксировать атрибуты подключений, включая время начала и конца сессии, страну подключения, ip-адреса и прочее каждый раз, когда он будет заходить в сеть. Затем по каждому из атрибутов мы можем выстроить модель и проанализировать ее, выявив, что является нормой, а что — отклонением.

В данном случае мы построим модель по странам подключения VPN-серверов, используемых Иваном.

 

Рисунок 1.  Получение Иваном доступа через VPN

 Получение Иваном доступа через VPN

 

Каждый раз, когда Иван заходит в сеть, мы регистрируем данные о стране подключения. Далее мы объединяем полученные за определенный промежуток времени данные, смотрим, какие страны значатся в нашем списке, и распределяем их по частоте подключений.

 

Рисунок 2. Частота использования VPN-серверов Иваном по странам

Частота использования VPN-серверов Иваном по странам

 

Как только будет установлен предел нормальной активности, UBA сможет легко идентифицировать аномальные действия. На диаграмме выше фиолетовая линия отражает поведенческий порог Ивана; VPN из России, Белоруссии или Украины будут считаться нормой. В конкретном примере, словенские сервера находятся на границе, но еще относятся к норме, однако все, что ниже этого порога, будет считаться аномалией. Любые VPN-соединения со странами, частота подключений к которым будет ниже, чем со Словенией, будут попадать в зону риска.

Также UBA способна решить такие задачи как злоупотребление правами привилегированных учетных записей и обнаружение подозрительного времени подключения. Большинство сотрудников компаний работают по конкретному графику и приходят в одно и то же время, уходя точно в срок. Когда сотрудник является инсайдером и планирует скопировать важные сведения со своего компьютера для передачи третьим лицам, он может остаться на работе допоздна или прийти раньше начала рабочего дня, для того чтобы другие сотрудники не смогли обратить внимание на то, чем он занимается. Системы поведенческого анализа смогут отследить аномальную активность и передать данные сотруднику, ответственному за безопасность.

 

UEBA в значении «анализ сущностей»

Система анализа поведения пользователей и сущностей UEBA (User and Entity Behavior Analytics) — это расширенная версия UBA, позволяющая осуществлять мониторинг не только отдельных лиц, но и машин внутри сети — всего IT-окружения. UEBA-системы собирают данные о системном окружении — хостах, приложениях, сетевом трафике и системах хранения данных. Это позволяет проводить анализ взаимодействия операторов и оборудования, обеспечивая полную видимость рабочих процессов, и идентифицировать более широкий класс угроз, связанных не только с пользователями, но и с объектами ИТ-инфраструктуры.

Очень подробно на эту тему мы говорили в Обзоре рынка систем поведенческого анализа — User and Entity Behavioral Analytics (UBA/UEBA).

 

SIEM: всех впускать, никого не выпускать

Фактически SIEM (Security Information and Event Management) представляет собой систему сбора и корреляции событий информационной безопасности. Первоначальная предпосылка к созданию системы заключалась в том, чтобы собирать и логировать события, а потом сопоставлять их для выявления потенциальных угроз. Система позволяет также подтверждать соответствие деятельности организаций общепринятым стандартам ИБ, таким как GDPR, PCI-DSS и другие, и упрощает ведение отчетности. На сегодняшний день SIEM используется в большинстве предприятий.

Недавно мы опубликовали крупное уникальное сравнение SIEM-систем, оно наверняка заинтересует читателя.

Компоненты SIEM

Если мы проанализируем название системы, мы увидим, что SIEM представляет собой объединение двух других технологий: управления информационной безопасностью SIM (Security information management) и управления событиями безопасности SEM (Security event management).

SIM собирает все данные в одном месте и обеспечивает эффективное управление ими. SIM включает в себя функции централизованного журналирования, хранения журналов, их поиск и отчетность, которая необходима при проведении аудита.

Управление событиями безопасности SEM позволяет обнаруживать угрозы и осуществлять управление ими. Функционирование SEM похоже на анализ в реальном времени и использование правил корреляции для обнаружения инцидентов. SEM также включает в себя функции управления инцидентами, которые дают возможность тикетирования (администрирования сервера) и обеспечивают функции безопасности.

 

Таблица 1. Функциональность SIM и SEM

Система сбора и корреляции событий (SIEM)
Управление информационной безопасностью SIM Управления событиями безопасности SEM
Централизованное журналирование Анализ угроз в режиме реального времени
Хранение лог-файлов Идентификация инцидентов
Поиск по лог-файлам и составление отчетности Возможности базового тикетирования
  Действия по обеспечению безопасности

 

Часто SIEM пытаются объяснить с помощью аналогии «поиска иглы в стоге сена». Она заключается в следующем: если бы журналы событий являлись стогом сена, то SIEM были бы ответственны за сбор всего сена в этот стог (сбор и хранение информации) и за дальнейший поиск в нем игл (обнаружение угроз в реальном времени, обнаружение и реагирование на инциденты и прочее).

 

Автоматизация и мониторинг в SOAR

Но на этом развитие инструментов информационной безопасности не остановилось. Сбор и анализ полученных данных уже стали осуществимы — а что же дальше? Управление безопасностью не останавливается на стадии обнаружении угроз. Аналитикам и группам реагирования по-прежнему необходимо давать отклик на инциденты, которые они обнаружили. Развитие SIEM путем добавления автоматизации различных кейсов породило новый класс систем, который, по сути, SIEM перерос. Назвали их SOAR. В зависимости от того, что лежит в основе этой системы, она может иметь различные названия:

  • Действия по обеспечению безопасности, аналитика и отчетность — Security Operations, Analytics and Reporting (SOAR)
  • Оркестрация событий безопасности и автоматическое реагирование — Security Orchestration, and Automated Response (SOAR)

SOAR является специальным инструментом для обобщения сведений об угрозах безопасности, которые подаются из различных источников, с последующим анализом этих данных.

К основным функциям SOAR относятся:

  • интегрирование технологий/инструментов, необходимое в случае принятия решений, основанных на полученных сведениях о состоянии системы безопасности, об уровне возможных рисков — оркестровка;
  • автоматизация процессов;
  • управляемость инцидентами с помощью сквозного подхода (сюда можно отнести назначение приоритетов, протоколирование действий, принятие решений в соответствии с политикой компании);
  • визуализация данных, касающихся ключевых метрик, отчетности для сотрудников компании — формирование документации.

Огромным преимуществом SOAR является полная автоматизация процессов управления информационной безопасностью: начиная от назначения приоритетности и заканчивая ответами на возникшие инциденты.

В отличие от анализа логов, обеспечиваемого SIEM, решения SOAR вобрали в себя целый набор различных технологий, обеспечивающих деятельность сервисных центров и служб мониторинга.

Использование SOAR позволяет производить интеграцию сведений, поступающих из различных источников, об угрозах для системы безопасности. Это достигается с помощью трех основных модулей.

  1. Первый модуль — Security Incident Response (идентификация инцидентов), упрощает проведение идентификации инцидентов. Еще он занимается импортированием информации из применяемых решений, а также отвечает за кастомизацию процессов.
  2. Чтобы расставить приоритетность уязвимостей, используется модуль Vulnerability Response (идентификация уязвимостей), который помогает определять подверженность угрозам для бизнес-критических систем. Так, благодаря этому модулю производится:
  • анализ зависимостей;
  • оценка влияния производимых действий на бизнес-процессы, а также простоев;
  • внесение необходимых изменений;
  • проверка выполненных изменений.
  1. Еще один из важных модулей SOAR — Threat Intelligence (распознавание угроз). Он необходим для обнаружения индикаторов возможной компрометации и отслеживания угроз на глубоких уровнях.

Его преимущество в поддержке разных стандартов, служащих, чтобы обмениваться сведениями о предполагаемых рисках. К тому же данный модуль дает возможность подключать кастомные источники, производить обмен информацией со сторонними системами.

 

Выводы

В заключение можно сказать лишь то, что при выборе системы ИБ для внедрения во внутренние процессы, руководству компании необходимо понимать, для контроля каких именно процессов эта система необходима. SIEM/UBA/SOAR или любой другой инструмент не будет решать проблемы ИБ автоматически, а лишь позволит автоматизировать рутинные процедуры, совершаемые оператором.

Как правило, в крупных компаниях и без того имеется внутренняя система защиты данных. В таком случае нужно тщательно проанализировать уже имеющиеся инструменты, чтобы избежать дублирования и не перегружать систему. Поведенческий анализ и оркестрация реально станут большим помощником при условии уже доказанного факта наличия повторяющихся рутинных задач, которые можно автоматизировать.

Для малого бизнеса, как правило, можно ограничиться и опенсорсом. А когда лень начнет двигать прогресс и поверх опенсорса появятся разные надстройки, в один день вы можете проснуться и понять, что самописный робот уже превратился в оркестратор или UBA.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru