Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

SIEM vs новые угрозы: что необходимо SIEM для их оперативного выявления?

Екатерина Данилина, 12/06/19

 

Один из ключевых трендов последних двух лет – не только общий рост числа киберинцидентов, но и усложнение атак с технологической точки зрения: злоумышленники стали активно использовать методы, затрудняющие анализ и расследование инцидентов. Используются, так называемые, средства антианализа, антиатрибуции, антифорензики, увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями. С течением времени атаки будут только усложняться. Существенно сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом активного его использования злоумышленниками проходит от 3 до 5 дней. А некоторые, особо продвинутые группировки, тратят на адаптацию новых эксплойтов и техник и их применение в своих атаках всего лишь несколько часов. Все это требует от организаций большей гибкости и оперативности в отслеживании новейших угроз и методов атакующих, использования более интеллектуальных средств защиты, обеспечивающих минимальное отставание от нападающих. Могут ли современные SIEM-системы стать эффективным инструментом информационной безопасности в таких условиях? Редакции журнала Information Security рассказали эксперты:

bengin

 

Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies

 

kandybovich

 

Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")

 

nagornaya

 

Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"

paley

 

Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”

rysin

 

Сергей Рысин, эксперт по информационной безопасности

– Насколько эффективной оказалась технология UEBA? В каких ситуациях она необходима?

Владимир Бенгин

– За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда наличие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический.

Во-первых, в силу завышенных ожиданий: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы знакомы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными способами. В частности, ведем разработки в области выявления аномалий в действиях пользователей. Построение модели поведения и отклонений от нее – непростая задача, требующая значительных трудозатрат (за исключением, пожалуй,  нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор действий). UEBA позиционировали как готовое решение всех проблем, но пока она не показывает достойных результатов.

Во-вторых, внедрение UEBA от продвинутых производителей – дорогостоящее удовольствие и в большинстве своем компании не готовы к таким расходам.

Дмитрий Кандыбович

– На тему UEBA разговоров много, но практики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В системе StaffCop Enterprise частично реализован функционал UEBA в виде анализа статистических отклонений и автоматического оповещения о них. Он хорошо работает в файловом мониторинге, например, если алерт настроен на  экстремальное количество операций. Это удобно, когда нет понимания, какой документ важен, а важно десятикратное увеличение количества действий. Это происходит, например, когда сотрудник перед увольнением отправляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент.

Елена Нагорная

– Несомненно, технология UEBA позволяет решить широкий спектр задач, связанных с аналитикой ИБ. Получая данные с различных средств защиты информации и сетевых журналов, при правильной аналитике и корреляции событий, можно очень четко определить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенциальными угрозами. Технологию UEBA мы применяем в качестве поведенческой аналитики программного обеспечения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специалистам получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.

Лев Палей

Как и любой тренд, если разобрать происхождение и эффект более детально, технология идеологически осталась привлекательной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ, как самостоятельного продукта, наблюдается  использование описанных техник в классах решений endpoint detection and response и SIEM. Таким образом можно консвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформулировал, а именно: "Когда пора задумываться об UEBA?". И тут есть простой и логичный ответ - когда выстроены процессы получения данных с источников событий, есть устоявшиеся и проверяемые контроли, зрелость SOC и количество накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ.

Сергей Рысин

– В данный момент ситуация двоякая. С одной стороны, используемые в условиях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зарубежными системами UEBA.

С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата.

– Региональные угрозы: миф или реальность? Что вы делаете для их мониторинга, если делаете?

Владимир Бенгин

– Безусловно, это реальность, и злоумышленники, преследующие коммерческие цели, все чаще сегодня работают адресно. Чтобы успешно похищать денежные средства из банков, желательно знать нюансы работы банковской системы страны, а чтобы отключать электричество (как, например, недавно случилось в Венесуэле) – тоже желательно разбираться в устройстве конкретной системы управления энергообъектами, применяемых системах и их слабых местах.

Атрибуция хакерских группировок по национальному признаку – не всегда корректный и неточный процесс, так как существует множество способов придать атаке "национальный орнамент" и запутать расследование. Тем не менее часть угроз (как и часть злоумышленников) нередко нацелены на конкретные регионы, и для успешной борьбы с ними нужны региональные экспертные центры, занимающиеся  мониторингом, расследованиями и накапливающие соответствующую экспертизу. Мы передаем в свои продукты данные о самых актуальных локальных угрозах, накопленные собственным исследовательским центром (более 250 экспертов) и экспертизу PT Expert Security Center, накопленную во время расследований реальных атак.

Дмитрий Кандыбович

– В компаниях с распределенной региональной сетью большое количество мошенничества происходит именно в регионах. Если в филиалах есть деньги, то находятся люди, которые хотят от этого куска откусить. Много примеров в страховых компаниях, которые сталкиваются с самодеятельностью филиалов. Чаще всего в этом замешаны профессионалы, которые хорошо знают законы, систему, находят в ней дыры и хотят ими пользоваться.

Елена Нагорная

– В нашем случае региональные угрозы информационной безопасности – это не миф, а самая настоящая реальность. Организация ведет интенсивную внешнеэкономическую деятельность, а за пределами Российской Федерации находится много активных офисов со своей инфраструктурой и не только, поэтому мы уделяем большое внимание аналитике угроз ИБ с привязкой к конкретному региону. Большую роль в данном случае играет экономическая и политическая обстановка.

Сергей Рысин

– В современных реалиях региональные, вернее сказать геополитические задачи стоят очень остро: в большей степени это касается защиты госсектора в связи с проявляемым западными странами интересом к внутренним делам нашей страны. В этой связи вполне можно ожидать учащения фишинговых рассылок и использования механизмов социальной инженерии, это касается и частного сектора, конечно. Но с отслеживанием данных угроз достаточно успешно справляются отечественные системы мониторинга инфраструктуры и событий в сети Интернет. И здесь акцент, скорее, стоит сделать на другой проблеме: к сожалению, не все руководители компаний в России в полной мере осознают тот факт, что подразделения ИБ являются не обузой, а простой необходимостью, позволяющей обеспечивать непрерывность бизнеса и избегать ненужных потерь, в том числе с учетом растущих угроз извне. И вот с этой особенностью нашего менталитета, безусловно, нужно работать, проводить широкую разъяснительную работу.

– Насколько вам помогают в выявлении инцидентов TI-средства и фиды? Какие используете?

Владимир Бенгин

– Практика показывает, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственности за их качество. В итоге у одного вендора фид некоторой тематики может состоять из 100 тыс. записей, а у другого такой же фид такой же тематики – из 800 записей. В первом случае вы столкнетесь излишне большим числом ложных срабатываний, а во втором – получите слишком мало информации.

Фиды могут получить второе дыхание, если сформируется практика оповещения (обмена данными, публичности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс формировать качественные и достоверные отраслевые фиды на уровне страны.

Дмитрий Кандыбович

Что касается фидов, то они безусловно полезны, когда есть подозрения или предпосылки к тому, что вас могут атаковать, если вы хотите получше защититься и быть всегда в тренде. Если можешь получить экспертизу и опыт как в платном, так и в бесплатном варианте, этим надо пользоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабатывать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать.

Елена Нагорная

– За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффективность выявления инцидентов, необходимо учитывать и взаимодействие с различными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для предотвращения возможных прецедентов и постоянный мониторинг событий ИБ.

Лев Палей

Есть ряд правил корреляции основанных на данных от свободно-распространяемых сервисов с фидами. Один из источников Hail a TAXII, но не единственный – тут хорошая практика агрегация информации из нескольких ресурсов. Место же в процессе выявления событий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее дополняющее, позволяющее более достоверно определить тип, способ и возможную цель атаки. Метрики эффективности для конкретно этого сервиса не прорабатывались.

– Играет ли роль в выявлении новых угроз вендорская поддержка? Каким образом и насколько она действенна?

Владимир Бенгин

Ландшафт угроз меняется столь быстро, что уследить за изменениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплектованным SOC в больших корпорациях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора.

Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами компрометации (например, IP командного центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения злоумышленников в уже скомпрометированной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора).

Дмитрий Кандыбович

– Заказчики сейчас не хотят покупать коробочные решения, им нужна услуга. В компаниях чаще всего один-два человека, которые могут заниматься моделями информационной безопасности, поэтому для них полезен аудит от вендора, который имеет богатый опыт в области расследования инцидентов у других заказчиков и знает свой продукт.

Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компаниях много задач и мало времени, и они ограничены своими компетенциями. Чаще всего им сложно выйти за эти пределы. Таким образом, совместная работа с заказчиками в области аналитики очень полезна для обеих сторон.

Елена Нагорная

– Каждый случай индивидуален. Есть ряд факторов, от которых зависит уровень взаимодействия с вендором в рамках технической поддержки:

  • наличие у вендора опыта и компетенции в выявлении и предотвращении новых угроз;
  • уровень детальности существующего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон;
  • однородность применяемых решений в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ;
  • кем и каким образом происходит выбор решений в филиалах и дочерних обществах компании (централизованно из оловного офиса, или же у ффилиалов и ДО есть полномочия по принятию решений в выборе поставщиков).

Сергей Рысин

Вендорская поддержка, безусловно, оказывает значительную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по продуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющихсяна сегодняшний момент, и это даст качественный толчок для отечественного рынка средств безопасности, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при наличии обратной связи от клиента, в случае ее отсутствия она не может помочь сферической информационной системе в вакууме.

– Что мешает вам в выявлении актуальных угроз сейчас?

Владимир Бенгин

– Нам, как вендору, совершенно точно не мешает ничего. Но если говорить о типичных проблемах, на которых акцентируют внимание пользователи, то это в первую очередь проблемы со штатом. Найти на рынке квалифицированных специалистов сегодня – задача повышенной сложности, так же как и удержать собственноручно воспитанные таланты. С учетом постоянного "утяжеления" продуктов новыми технологиями постоянно растут требования и к количеству обслуживающего их персонала.

Второй серьезной проблемой является цена решений. Большинство SIEM лицензируется по количеству обрабатываемых событий в секунду, и подключить все источники, а также обработать все желаемые сценарии в рамках ограниченного бюджета затруднительно. При этом использование комплементарных к SIEM технологий раздувает затраты на продукт еще больше. Поэтому мы приняли решение ввести плоское лицензирование. Наши пользователи также получают все пакеты экспертизы и собственные фиды Positive Technologies в рамках обычной технической поддержки.

Дмитрий Кандыбович

– Есть компании, которые осознают необходимость SIEM, но для них это в первую очередь вопрос цены. С другой стороны, это вопрос компьютерной грамотности. Не все компании готовы использовать SIEM. Кроме того, получить журнал логов – это одно, а знать, что с ним делать, – это другое. Нужен оператор, который будет спускать вниз перечень мероприятий, которые компаниям нужно проводить в случае возникновения тех или иных инцидентов. Импортозамещение сейчас вытесняет зарубежных конкурентов. В России есть SIEM-решения, их несколько, но функционально развиваются стремительными темпами те, у которых есть господдержка, и эти решения недешевые. Их приобретают те компании, которые уже созрели для SIEM и у которых имеются соответствующие бюджеты. Наверное, появятся мелкие игроки, которые будут покрывать сегмент МСБ. Рынок будет развиваться в любом случае. Наши законы заставляют его развиваться.

Елена Нагорная

– Для того чтобы выявлять актуальные угрозы, необходимо их в первую очередь рассматривать из БДУ ФСТЭК России, в котором приводится весь перечень актуальных угроз.

Зачастую на факт определения статуса актуальной угрозы (является угроза актуальной или неактуальной) напрямую влияет уровень компетенции персонала, уровень его занятости другими операционными задачами и уровень принятых организационных и технических мер. Вследствие этого возникает потребность в автоматизации работ по определению актуальных угроз, какие текущие организационные и технические меры являются достаточными либо недостаточными для противодействия угрозам.

Лев Палей

– Наличие свободных рук и все вышеперечисленное. Всегда будет что-то мешающее, остается только концентрироваться на важном.

Сергей Рысин

Отсутствие единой концепции контроля за уязвимостями – такой, которая существует в Европе, США и Канаде. В итоге мы получаем децентрализованный сбор данных об актуальных угрозах, который в конечном счете ведет к разрозненности и неполноте информации.

– Как считаете, как повлияет история со Splunk на рынок SIEM в России? Какие риски на рынке вы видите?

Владимир Бенгин

Согласно исследованиям, доля Splunk на рынке именно SIEM-систем в России была достаточно небольшой, ее оценивали ниже 10%. Основные клиенты Splunk – ИT-департаменты, и для них потеря решения может стать проблемой. Вопрос о рисках весьма современен, ведь важно не то, что один из вендоров внезапно прекратил работу в России, важно, каковы намерения и реалии других вендоров на российском рынке ИБ, и не окажется ли завтра, что и они будут вынуждены его покинуть. Точного ответа на этот вопрос, боюсь, не знает никто, но понятно, что некоторый риск потери доступа к импортным системам присутствует.

Поэтому, выбирая SIEM-систему, стоит не только отталкиваться от функционала, решаемых задач и цены, но и учитывать возможные изменения ландшафта, доступа к новым версиям продукта, технической поддержке и той же экспертизе. Тем более что внедрение и обслуживание SIEM – это длительный и важный процесс, и менять систему каждые два года весьма накладно.

Дмитрий Кандыбович

– Таким путем могут пойти многие компании. Но в России сейчас есть разработки, которые могут заменить зарубежные решения. В рамках текущей политической ситуации есть риски того, что в какой-то момент зарубежные решения перестанут продаваться в России. Это может произойти по разным причинам. С одной стороны, возможно их вытеснение из-за слабого потенциала продаж, компаниям может быть неинтересно содержать офисы и вкладывать деньги в направления, у которых нет потенциала, это стандартная практика. Кроме того, в России сейчас выпущены законы, которые напрямую вытесняют зарубежных поставщиков.

Елена Нагорная

– Уход Splunk стал неожиданностью для многих его российских клиентов. Возникло множество вопросов, которые можно сформулировать как один единый вопрос: как быть с технической поддержкой по существующим контрактам? Безусловно, факт ухода повлияет и на определенные действия конечных заказчиков: это выбор нового SIEM-вендора, миграция на новую SIEM с предварительным пилотированием, пересмотр бюджета компании (т.к. в большинстве случаев на SIEM-решения тратятся значительные денежные ресурсы), изыскание собственных человеческих ресурсов без отрыва от операционной деятельности по миграции и приемке в промышленную эксплуатацию новой SIEM-системы, пересмотр подхода при заключении договоров с поставщиками SIEM в рамках обязательств и гарантий в период технической поддержки.

Лев Палей

– Пример того самого прецедента, который принято считать показательным. С одной стороны, представители отечественных производителей будут настоятельно указывать на эту историю, как на преимущество лоббируемых решений, с другой – это возможно простимулирует рынок BI-решений, появится больше практических кейсов автоматизации в нашем направлении с учетом интеграции с SIEM. Риски как таковые тут для меня не ясны, изменения – это всегда возможности.

Сергей Рысин

Это возвращает нас к началу разговора. Данная ситуация уже повлияла на российский рынок: в действительности возникла существенная потребность в системах UEBA, но полноценные аналоги на российском рынке отсутствуют. Нужно помочь отечественным разработчикам, сформировав  и описав спрос на их технологии, и рынок подтянется.

– Как вы думаете, что станет следующим шагом в развитии SIEM?

Владимир Бенгин

UEBA – один, но далеко не единственный пример новой технологии, которая анонсировалась как инструмент, наконец-то позволяющий ловить злоумышленников. Однако любые новые технологии нужно приобретать, внедрять и обкатывать: это усложняет продукты, растит бюджеты и штат, но не гарантирует значительного улучшения защищенности. Еще одна проблема в том, что крупные вендоры вместо самостоятельной разработки новых технологий нередко покупают нишевых игроков и не слишком вкладываются в интеграцию решений между собой. В итоге SIEM-системы становятся тяжелыми, неоднородными, с ними сложно работать. Это вызывает ожидаемую фрустрацию у ИБ-специалистов. На наш взгляд, назрел запрос на упрощение SIEM, повышение удобства, снижение входных требований к специалистам ИБ и трудозатрат на обслуживание системы и максимальная автоматизация выполняемых действий. Другими словами, мы говорим о том, что рынок сегодня ожидает некоторой консьюмеризации SIEM, если, конечно, можно так выразиться.

Дмитрий Кандыбович

Все идет к усилению централизации. В России будет единый центр обработки инцидентов для госсектора и КИИ на базе ГОССОПКА, куда будут сливаться данные со всех SIEM-систем, и с этими инцидентами будет активно работать центральный аппарат ФСБ. А если мы говорим про коммерческий сегмент, то, скорее всего, будут созданы отраслевые дата-центры обработки информации и обмена инцидентами, а также коммерческие SOC на базе крупных интеграторов, которые будут обслуживать компании на условиях аутсорсинга. Иметь свою SIEM – это одно, а знать, как реагировать на инциденты, – это совсем другое. Очень интересен опыт Центробанка по объединению банковских инцидентов. Наверно, дальше развитие будет в этом направлении.

Елена Нагорная

– Считаю, что следующим шагом в развитии SIEM станет развитие DATA LAKE и развитие искусственного интеллекта, так как зачастую необходимо описывать собственные правила корреляции и осуществлять сбор событий ИБ из различных источников данных.

Для того чтобы обеспечить большую вероятность выявления событий ИБ, необходим инструмент, позволяющий автоматизировать работы по внесению и описанию правил корреляции (различные социальные форумы на просторах Интернета, площадки обмена опытом и информацией и т.д.).

Лев Палей

– Мне изначально казалось, что технология UEBA будет гармонично вписываться в практику управления событиями не как отдельный продукт, а как сервис внутри SIEM. В принципе, продолжая эту цепочку, хотелось бы более плотной и "вендоронезависимой" интеграции решений класса SIEM и EDR для перехода на следующий уровень автоматизации.

Сергей Рысин

Следующим шагом развития SIEM по хорошей давней традиции должно стать использование инструментов MachineLearning, что позволит облегчить работу по эксплуатации данных систем. И назовут эти системы по тому же принципу, что и всегда, – NGSIEM.

 

Темы:ТехнологииPositive TechnologiesStaffCopСО ЕЭСЛев ПалейЕлена НагорнаяТехснабэкспортДмитрий КандыбовичSIEMВладимир БенгинСергей Рысин
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...