Контакты
Подписка
МЕНЮ
Контакты
Подписка

SIEM vs новые угрозы: что необходимо SIEM для их оперативного выявления?

Екатерина Данилина, 12/06/19

 

Один из ключевых трендов последних двух лет – не только общий рост числа киберинцидентов, но и усложнение атак с технологической точки зрения: злоумышленники стали активно использовать методы, затрудняющие анализ и расследование инцидентов. Используются, так называемые, средства антианализа, антиатрибуции, антифорензики, увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями. С течением времени атаки будут только усложняться. Существенно сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом активного его использования злоумышленниками проходит от 3 до 5 дней. А некоторые, особо продвинутые группировки, тратят на адаптацию новых эксплойтов и техник и их применение в своих атаках всего лишь несколько часов. Все это требует от организаций большей гибкости и оперативности в отслеживании новейших угроз и методов атакующих, использования более интеллектуальных средств защиты, обеспечивающих минимальное отставание от нападающих. Могут ли современные SIEM-системы стать эффективным инструментом информационной безопасности в таких условиях? Редакции журнала Information Security рассказали эксперты:

bengin

 

Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies

 

kandybovich

 

Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")

 

nagornaya

 

Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"

paley

 

Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”

rysin

 

Сергей Рысин, эксперт по информационной безопасности

– Насколько эффективной оказалась технология UEBA? В каких ситуациях она необходима?

Владимир Бенгин

– За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда наличие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический.

Во-первых, в силу завышенных ожиданий: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы знакомы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными способами. В частности, ведем разработки в области выявления аномалий в действиях пользователей. Построение модели поведения и отклонений от нее – непростая задача, требующая значительных трудозатрат (за исключением, пожалуй,  нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор действий). UEBA позиционировали как готовое решение всех проблем, но пока она не показывает достойных результатов.

Во-вторых, внедрение UEBA от продвинутых производителей – дорогостоящее удовольствие и в большинстве своем компании не готовы к таким расходам.

Дмитрий Кандыбович

– На тему UEBA разговоров много, но практики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В системе StaffCop Enterprise частично реализован функционал UEBA в виде анализа статистических отклонений и автоматического оповещения о них. Он хорошо работает в файловом мониторинге, например, если алерт настроен на  экстремальное количество операций. Это удобно, когда нет понимания, какой документ важен, а важно десятикратное увеличение количества действий. Это происходит, например, когда сотрудник перед увольнением отправляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент.

Елена Нагорная

– Несомненно, технология UEBA позволяет решить широкий спектр задач, связанных с аналитикой ИБ. Получая данные с различных средств защиты информации и сетевых журналов, при правильной аналитике и корреляции событий, можно очень четко определить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенциальными угрозами. Технологию UEBA мы применяем в качестве поведенческой аналитики программного обеспечения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специалистам получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.

Лев Палей

Как и любой тренд, если разобрать происхождение и эффект более детально, технология идеологически осталась привлекательной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ, как самостоятельного продукта, наблюдается  использование описанных техник в классах решений endpoint detection and response и SIEM. Таким образом можно консвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформулировал, а именно: "Когда пора задумываться об UEBA?". И тут есть простой и логичный ответ - когда выстроены процессы получения данных с источников событий, есть устоявшиеся и проверяемые контроли, зрелость SOC и количество накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ.

Сергей Рысин

– В данный момент ситуация двоякая. С одной стороны, используемые в условиях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зарубежными системами UEBA.

С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата.

– Региональные угрозы: миф или реальность? Что вы делаете для их мониторинга, если делаете?

Владимир Бенгин

– Безусловно, это реальность, и злоумышленники, преследующие коммерческие цели, все чаще сегодня работают адресно. Чтобы успешно похищать денежные средства из банков, желательно знать нюансы работы банковской системы страны, а чтобы отключать электричество (как, например, недавно случилось в Венесуэле) – тоже желательно разбираться в устройстве конкретной системы управления энергообъектами, применяемых системах и их слабых местах.

Атрибуция хакерских группировок по национальному признаку – не всегда корректный и неточный процесс, так как существует множество способов придать атаке "национальный орнамент" и запутать расследование. Тем не менее часть угроз (как и часть злоумышленников) нередко нацелены на конкретные регионы, и для успешной борьбы с ними нужны региональные экспертные центры, занимающиеся  мониторингом, расследованиями и накапливающие соответствующую экспертизу. Мы передаем в свои продукты данные о самых актуальных локальных угрозах, накопленные собственным исследовательским центром (более 250 экспертов) и экспертизу PT Expert Security Center, накопленную во время расследований реальных атак.

Дмитрий Кандыбович

– В компаниях с распределенной региональной сетью большое количество мошенничества происходит именно в регионах. Если в филиалах есть деньги, то находятся люди, которые хотят от этого куска откусить. Много примеров в страховых компаниях, которые сталкиваются с самодеятельностью филиалов. Чаще всего в этом замешаны профессионалы, которые хорошо знают законы, систему, находят в ней дыры и хотят ими пользоваться.

Елена Нагорная

– В нашем случае региональные угрозы информационной безопасности – это не миф, а самая настоящая реальность. Организация ведет интенсивную внешнеэкономическую деятельность, а за пределами Российской Федерации находится много активных офисов со своей инфраструктурой и не только, поэтому мы уделяем большое внимание аналитике угроз ИБ с привязкой к конкретному региону. Большую роль в данном случае играет экономическая и политическая обстановка.

Сергей Рысин

– В современных реалиях региональные, вернее сказать геополитические задачи стоят очень остро: в большей степени это касается защиты госсектора в связи с проявляемым западными странами интересом к внутренним делам нашей страны. В этой связи вполне можно ожидать учащения фишинговых рассылок и использования механизмов социальной инженерии, это касается и частного сектора, конечно. Но с отслеживанием данных угроз достаточно успешно справляются отечественные системы мониторинга инфраструктуры и событий в сети Интернет. И здесь акцент, скорее, стоит сделать на другой проблеме: к сожалению, не все руководители компаний в России в полной мере осознают тот факт, что подразделения ИБ являются не обузой, а простой необходимостью, позволяющей обеспечивать непрерывность бизнеса и избегать ненужных потерь, в том числе с учетом растущих угроз извне. И вот с этой особенностью нашего менталитета, безусловно, нужно работать, проводить широкую разъяснительную работу.

– Насколько вам помогают в выявлении инцидентов TI-средства и фиды? Какие используете?

Владимир Бенгин

– Практика показывает, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственности за их качество. В итоге у одного вендора фид некоторой тематики может состоять из 100 тыс. записей, а у другого такой же фид такой же тематики – из 800 записей. В первом случае вы столкнетесь излишне большим числом ложных срабатываний, а во втором – получите слишком мало информации.

Фиды могут получить второе дыхание, если сформируется практика оповещения (обмена данными, публичности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс формировать качественные и достоверные отраслевые фиды на уровне страны.

Дмитрий Кандыбович

Что касается фидов, то они безусловно полезны, когда есть подозрения или предпосылки к тому, что вас могут атаковать, если вы хотите получше защититься и быть всегда в тренде. Если можешь получить экспертизу и опыт как в платном, так и в бесплатном варианте, этим надо пользоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабатывать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать.

Елена Нагорная

– За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффективность выявления инцидентов, необходимо учитывать и взаимодействие с различными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для предотвращения возможных прецедентов и постоянный мониторинг событий ИБ.

Лев Палей

Есть ряд правил корреляции основанных на данных от свободно-распространяемых сервисов с фидами. Один из источников Hail a TAXII, но не единственный – тут хорошая практика агрегация информации из нескольких ресурсов. Место же в процессе выявления событий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее дополняющее, позволяющее более достоверно определить тип, способ и возможную цель атаки. Метрики эффективности для конкретно этого сервиса не прорабатывались.

– Играет ли роль в выявлении новых угроз вендорская поддержка? Каким образом и насколько она действенна?

Владимир Бенгин

Ландшафт угроз меняется столь быстро, что уследить за изменениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплектованным SOC в больших корпорациях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора.

Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами компрометации (например, IP командного центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения злоумышленников в уже скомпрометированной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора).

Дмитрий Кандыбович

– Заказчики сейчас не хотят покупать коробочные решения, им нужна услуга. В компаниях чаще всего один-два человека, которые могут заниматься моделями информационной безопасности, поэтому для них полезен аудит от вендора, который имеет богатый опыт в области расследования инцидентов у других заказчиков и знает свой продукт.

Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компаниях много задач и мало времени, и они ограничены своими компетенциями. Чаще всего им сложно выйти за эти пределы. Таким образом, совместная работа с заказчиками в области аналитики очень полезна для обеих сторон.

Елена Нагорная

– Каждый случай индивидуален. Есть ряд факторов, от которых зависит уровень взаимодействия с вендором в рамках технической поддержки:

  • наличие у вендора опыта и компетенции в выявлении и предотвращении новых угроз;
  • уровень детальности существующего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон;
  • однородность применяемых решений в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ;
  • кем и каким образом происходит выбор решений в филиалах и дочерних обществах компании (централизованно из оловного офиса, или же у ффилиалов и ДО есть полномочия по принятию решений в выборе поставщиков).

Сергей Рысин

Вендорская поддержка, безусловно, оказывает значительную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по продуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющихсяна сегодняшний момент, и это даст качественный толчок для отечественного рынка средств безопасности, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при наличии обратной связи от клиента, в случае ее отсутствия она не может помочь сферической информационной системе в вакууме.

– Что мешает вам в выявлении актуальных угроз сейчас?

Владимир Бенгин

– Нам, как вендору, совершенно точно не мешает ничего. Но если говорить о типичных проблемах, на которых акцентируют внимание пользователи, то это в первую очередь проблемы со штатом. Найти на рынке квалифицированных специалистов сегодня – задача повышенной сложности, так же как и удержать собственноручно воспитанные таланты. С учетом постоянного "утяжеления" продуктов новыми технологиями постоянно растут требования и к количеству обслуживающего их персонала.

Второй серьезной проблемой является цена решений. Большинство SIEM лицензируется по количеству обрабатываемых событий в секунду, и подключить все источники, а также обработать все желаемые сценарии в рамках ограниченного бюджета затруднительно. При этом использование комплементарных к SIEM технологий раздувает затраты на продукт еще больше. Поэтому мы приняли решение ввести плоское лицензирование. Наши пользователи также получают все пакеты экспертизы и собственные фиды Positive Technologies в рамках обычной технической поддержки.

Дмитрий Кандыбович

– Есть компании, которые осознают необходимость SIEM, но для них это в первую очередь вопрос цены. С другой стороны, это вопрос компьютерной грамотности. Не все компании готовы использовать SIEM. Кроме того, получить журнал логов – это одно, а знать, что с ним делать, – это другое. Нужен оператор, который будет спускать вниз перечень мероприятий, которые компаниям нужно проводить в случае возникновения тех или иных инцидентов. Импортозамещение сейчас вытесняет зарубежных конкурентов. В России есть SIEM-решения, их несколько, но функционально развиваются стремительными темпами те, у которых есть господдержка, и эти решения недешевые. Их приобретают те компании, которые уже созрели для SIEM и у которых имеются соответствующие бюджеты. Наверное, появятся мелкие игроки, которые будут покрывать сегмент МСБ. Рынок будет развиваться в любом случае. Наши законы заставляют его развиваться.

Елена Нагорная

– Для того чтобы выявлять актуальные угрозы, необходимо их в первую очередь рассматривать из БДУ ФСТЭК России, в котором приводится весь перечень актуальных угроз.

Зачастую на факт определения статуса актуальной угрозы (является угроза актуальной или неактуальной) напрямую влияет уровень компетенции персонала, уровень его занятости другими операционными задачами и уровень принятых организационных и технических мер. Вследствие этого возникает потребность в автоматизации работ по определению актуальных угроз, какие текущие организационные и технические меры являются достаточными либо недостаточными для противодействия угрозам.

Лев Палей

– Наличие свободных рук и все вышеперечисленное. Всегда будет что-то мешающее, остается только концентрироваться на важном.

Сергей Рысин

Отсутствие единой концепции контроля за уязвимостями – такой, которая существует в Европе, США и Канаде. В итоге мы получаем децентрализованный сбор данных об актуальных угрозах, который в конечном счете ведет к разрозненности и неполноте информации.

– Как считаете, как повлияет история со Splunk на рынок SIEM в России? Какие риски на рынке вы видите?

Владимир Бенгин

Согласно исследованиям, доля Splunk на рынке именно SIEM-систем в России была достаточно небольшой, ее оценивали ниже 10%. Основные клиенты Splunk – ИT-департаменты, и для них потеря решения может стать проблемой. Вопрос о рисках весьма современен, ведь важно не то, что один из вендоров внезапно прекратил работу в России, важно, каковы намерения и реалии других вендоров на российском рынке ИБ, и не окажется ли завтра, что и они будут вынуждены его покинуть. Точного ответа на этот вопрос, боюсь, не знает никто, но понятно, что некоторый риск потери доступа к импортным системам присутствует.

Поэтому, выбирая SIEM-систему, стоит не только отталкиваться от функционала, решаемых задач и цены, но и учитывать возможные изменения ландшафта, доступа к новым версиям продукта, технической поддержке и той же экспертизе. Тем более что внедрение и обслуживание SIEM – это длительный и важный процесс, и менять систему каждые два года весьма накладно.

Дмитрий Кандыбович

– Таким путем могут пойти многие компании. Но в России сейчас есть разработки, которые могут заменить зарубежные решения. В рамках текущей политической ситуации есть риски того, что в какой-то момент зарубежные решения перестанут продаваться в России. Это может произойти по разным причинам. С одной стороны, возможно их вытеснение из-за слабого потенциала продаж, компаниям может быть неинтересно содержать офисы и вкладывать деньги в направления, у которых нет потенциала, это стандартная практика. Кроме того, в России сейчас выпущены законы, которые напрямую вытесняют зарубежных поставщиков.

Елена Нагорная

– Уход Splunk стал неожиданностью для многих его российских клиентов. Возникло множество вопросов, которые можно сформулировать как один единый вопрос: как быть с технической поддержкой по существующим контрактам? Безусловно, факт ухода повлияет и на определенные действия конечных заказчиков: это выбор нового SIEM-вендора, миграция на новую SIEM с предварительным пилотированием, пересмотр бюджета компании (т.к. в большинстве случаев на SIEM-решения тратятся значительные денежные ресурсы), изыскание собственных человеческих ресурсов без отрыва от операционной деятельности по миграции и приемке в промышленную эксплуатацию новой SIEM-системы, пересмотр подхода при заключении договоров с поставщиками SIEM в рамках обязательств и гарантий в период технической поддержки.

Лев Палей

– Пример того самого прецедента, который принято считать показательным. С одной стороны, представители отечественных производителей будут настоятельно указывать на эту историю, как на преимущество лоббируемых решений, с другой – это возможно простимулирует рынок BI-решений, появится больше практических кейсов автоматизации в нашем направлении с учетом интеграции с SIEM. Риски как таковые тут для меня не ясны, изменения – это всегда возможности.

Сергей Рысин

Это возвращает нас к началу разговора. Данная ситуация уже повлияла на российский рынок: в действительности возникла существенная потребность в системах UEBA, но полноценные аналоги на российском рынке отсутствуют. Нужно помочь отечественным разработчикам, сформировав  и описав спрос на их технологии, и рынок подтянется.

– Как вы думаете, что станет следующим шагом в развитии SIEM?

Владимир Бенгин

UEBA – один, но далеко не единственный пример новой технологии, которая анонсировалась как инструмент, наконец-то позволяющий ловить злоумышленников. Однако любые новые технологии нужно приобретать, внедрять и обкатывать: это усложняет продукты, растит бюджеты и штат, но не гарантирует значительного улучшения защищенности. Еще одна проблема в том, что крупные вендоры вместо самостоятельной разработки новых технологий нередко покупают нишевых игроков и не слишком вкладываются в интеграцию решений между собой. В итоге SIEM-системы становятся тяжелыми, неоднородными, с ними сложно работать. Это вызывает ожидаемую фрустрацию у ИБ-специалистов. На наш взгляд, назрел запрос на упрощение SIEM, повышение удобства, снижение входных требований к специалистам ИБ и трудозатрат на обслуживание системы и максимальная автоматизация выполняемых действий. Другими словами, мы говорим о том, что рынок сегодня ожидает некоторой консьюмеризации SIEM, если, конечно, можно так выразиться.

Дмитрий Кандыбович

Все идет к усилению централизации. В России будет единый центр обработки инцидентов для госсектора и КИИ на базе ГОССОПКА, куда будут сливаться данные со всех SIEM-систем, и с этими инцидентами будет активно работать центральный аппарат ФСБ. А если мы говорим про коммерческий сегмент, то, скорее всего, будут созданы отраслевые дата-центры обработки информации и обмена инцидентами, а также коммерческие SOC на базе крупных интеграторов, которые будут обслуживать компании на условиях аутсорсинга. Иметь свою SIEM – это одно, а знать, как реагировать на инциденты, – это совсем другое. Очень интересен опыт Центробанка по объединению банковских инцидентов. Наверно, дальше развитие будет в этом направлении.

Елена Нагорная

– Считаю, что следующим шагом в развитии SIEM станет развитие DATA LAKE и развитие искусственного интеллекта, так как зачастую необходимо описывать собственные правила корреляции и осуществлять сбор событий ИБ из различных источников данных.

Для того чтобы обеспечить большую вероятность выявления событий ИБ, необходим инструмент, позволяющий автоматизировать работы по внесению и описанию правил корреляции (различные социальные форумы на просторах Интернета, площадки обмена опытом и информацией и т.д.).

Лев Палей

– Мне изначально казалось, что технология UEBA будет гармонично вписываться в практику управления событиями не как отдельный продукт, а как сервис внутри SIEM. В принципе, продолжая эту цепочку, хотелось бы более плотной и "вендоронезависимой" интеграции решений класса SIEM и EDR для перехода на следующий уровень автоматизации.

Сергей Рысин

Следующим шагом развития SIEM по хорошей давней традиции должно стать использование инструментов MachineLearning, что позволит облегчить работу по эксплуатации данных систем. И назовут эти системы по тому же принципу, что и всегда, – NGSIEM.

 

Темы:ТехнологииPositive TechnologiesStaffCopСО ЕЭСЛев ПалейЕлена НагорнаяТехснабэкспортДмитрий КандыбовичSIEMВладимир БенгинСергей Рысин
Комментарии

More...