Автор: Илья Одинцов, менеджер по продукту NGR Softlab
Обычно, когда нужно перечислить задачи аудитора, типовой ответ интегратора звучит так: собрать информацию об ИС по опросникам, провести интервью с владельцами ИС, изучить процессы, ЛНА, ОРД и соотнести это все с требованиями регулятора. Иногда в число задач добавляют пентест, ISO, ITIL, составление модели угроз и модели нарушителя. На практике аудиты часто являются формальностью и могут проводиться раз в 1–3 года. При этом негласное пожелание аудиторам со стороны заказчиков, не желающих вносить сумятицу в отчеты ИТ- и ИБ-служб, звучит так: "скажите, что все хорошо, или дайте красивые рекомендации, как сделать так, чтобы все было хорошо в будущем".
Безусловно, отношение к аудиту может быть принципиально другим. Так, есть небольшая категория компаний, которые включают в задачи аудитора DataOps, Data Governance, DataSecOps, DevSecOps, VM, Compliance. Но такие организации, как правило, имеют собственных штатных специалистов по внутреннему аудиту и в целом трансформируют процессы под проактивный подход к подобным проверкам. Большая часть компаний зачастую использует устаревшие подходы и инструменты. Например, поставив перед собой задачу построить новую ИС, компания привлекает к этому процессу всех заинтересованных лиц, однако под пристальным вниманием будущая ИС находится лишь на этапах составления ТЗ, проектирования и реализации проекта. После ввода ИС в эксплуатацию контроль переходит в реактивный режим, а риск нарушений информационной безопасности существенно возрастает.
SIEM по своей природе является идеальной платформой для помощи аудиторам, так как обладает всем необходимым для этого функционалом.
Во-первых, SIEM дает возможность централизованного сбора событий. Она освобождает аудиторов от необходимости заходить в каждую систему (FW, AD, ERP и другие СЗИ) и вручную собирать логи – SIEM уже аккумулирует их в одном месте. Это огромная экономия времени и гарантия того, что данные не были локально изменены.
Во-вторых, SIEM может проводить инвентаризацию активов. Список всех объектов с тегами и уровнем критичности позволяет оперативно ответить на вопросы о том, какие у заказчика существуют ИС и где они расположены. Кроме того, с помощью SIEM можно легко и быстро понять архитектуру ИС, что сэкономит аудитору несколько дней работы. В отличие от привычных аудиторам инструментов, таких как сканеры, SIEM может собирать данные не только с них, но еще и из ITSM, NTA, а также из событий. Подобный подход повышает прозрачность и позволяет найти как устройства с закрытыми портами, не доступными для сканирования, так и мертвые души, указывая на проблемы в процессах инвентаризации и предоставлении оборудования.
Рис. Инвентаризация активов в SIEM Alertix [2]
Третья опция – мониторинг netflow. SIEM позволяет отслеживать связи между системами и пользователями, подтверждая или опровергая фактическое выполнение требований комплаенса. В своей практике я неоднократно встречал ситуации, когда документация на ИС не соответствовала действительности. Как правило, это обнаруживалось на этапе внедрения СЗИ. В результате компании приходилось тратить время специалистов на то, чтобы разобраться, а значит это приводило к простоям в основных задачах, дополнительным трудозатратам и необходимости вносить изменения в документацию.
Наконец, SIEM работает с правилами корреляции. Это один из мощнейших инструментов подтверждения соответствия политик и правил доступа. Вам не обязательно постоянно держать включенными правила для аудита: достаточно при проверках провести ретро-корреляцию и убедиться, что, условно, ваш главный бухгалтер не заходит в систему с двух разных IP одновременно или не выгружает отчетность из Канады в два часа утра. С другой же стороны, если у компании достаточно ресурсов для перехода к проактивному контролю, то правила мониторинга можно использовать на постоянной основе.
Многие западные вендоры предлагают достаточно развитые решения: с функциями compliance-контроля как по требованиям GDPR, так и по требованиям PCI DSS. Если же говорить об отечественных решениях, то большинство из них,
по сути, не собирает нужные метрики с нужных систем и не дает наглядных и понятных дашбордов, с помощью которых CISO могли бы получить всю информацию по соблюдению необходимых правил.
С чем это связано? Основная проблема заключается в сложности отслеживания потоков данных (data-flow). Тот, кто когда-либо пробовал собрать логи с веб-приложения, включающего в себя три звена (веб-сервер, БД и клиентскую машину), знает, что это задача со звездочкой. Например, установить мониторинг на кастомизированные конфигурации 1С получится только после многомесячных страданий со стороны разработчиков системы. Кроме того, "400+ универсальных правил из коробки SIEM" неизбежно генерируют поток мусора, и если в SIEM нет необходимых инструментов, то инциденты и события аудита начинают тонуть в потоке ложноположительных сработок, мешая друг другу.
Масло в огонь подливает и тот факт, что для целей аудита события необходимо хранить от года до трех лет, а для ClickHouse-like SIEM это неизбежно повышает требования к железу. Сошлюсь на коллег из "Лаборатории Касперского": в своих общих рекомендациях1, рассчитанных на широкие аналитические запросы, они сообщают, что ClickHouse рекомендует придерживаться отношения RAM к объему хранимых данных равному 1:100. Но сколько оперативной памяти потребуется, если на каждом узле предполагается хранить 50 Тбайт? Ведь зачастую глубина хранения событий определяется требованиями регулятора, и поисковые запросы не выполняются на всю глубину хранения. Поэтому рекомендацию можно трактовать следующим образом: если средняя глубина запроса предполагает сканирование партиций суммарным объемом в 10 Тбайт, то потребуется 100 Гбайт RAM.
Наконец, не стоит забывать и про основополагающий момент: систем много, данные в них содержатся в разных форматах и схемах. SIEM, получающая на входе сырые данные, не приведенные к единому формату, не имеющая инструментов для их стандартизации, на выходе даст поток неструктурированной информации, который сложно будет использовать в работе. Для тех, кто использует SIEM на ClickHouse, это означает, что перед отправкой данных в БД их придется стандартизировать под схему, предложенную вендором.
Если же ИС нуждается в дополнительных полях, то потребуется приложить экстра-усилия: например воспользоваться опцией отправки запроса к вендору на доработку или же обратиться к системе ETL, которая поможет перенести данные в единое хранилище. Коллеги, заменившие или заменяющие Splunk, прекрасно понимают эту проблематику. OpenSearch будет наилучшим решением для этой задачи. Для оптимизации его работы надо потратить лишь немного времени на перенос индексов и событий для аудиторов на warm-хранилища, но при этом он позволит каким угодно образом обрабатывать нетиповые логи, хранимые в сыром виде, без риска потери информации из полей.
Могут ли аудиторы использовать SIEM? Да, могут. SIEM не заменит традиционные инструменты (опросы, интервью, ручной анализ), но дополнит их объективными данными, подтверждающими или опровергающими теорию, а также поможет сэкономить время. Однако прежде чем использовать этот инструмент, необходимо провести архитектурный аудит источников данных: что мы логируем, в каком виде, с какой детализацией?
SIEM для аудитора – мощный инструмент для зрелых команд и отлаженных процессов. Это не разовая история – "внедрил и забыл", – а комплексная организационно-техническая трансформация, переводящая комплаенс-контроль из реактивного состояния (раз в год или квартал) в постоянный, проактивный процесс. Без понимания этого проект обречен на провал.
Реклама: ООО «ЭнДжиАр Софтлаб». ИНН 7730252130. Erid: 2SDnjeS2EBR