Контакты
Подписка 2025

Тренды развития SIEM-решений в России

Вячеслав Половинко, 07/11/22

Сбор и анализ событий информационной безопасности необходим не только для своевременного обнаружения и пресечения кибератак, но и для выявления наиболее уязвимых точек ИТ-инфраструктуры. Эти задачи особенно актуальны в отношении объектов КИИ: недостаток проактивных действий по их защите может привести к катастрофическим последствиям. Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в этой статье.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

Наиболее опасной угрозой для любого бизнеса являются квалифицированные злоумышленники, владеющие различными методами взлома, способные реализовать сложные кибератаки. Нарушение целостности или конфиденциальности данных, потеря доступности сетевой инфраструктуры могут поставить под угрозу достижение целей компании и нанести ей непоправимый репутационный и экономический ущербы. Поэтому необходимо выявлять кибератаки на ранних этапах развития и своевременно реагировать на инциденты.

SOC (Security Operations Center), или ситуационный центр информационной безопасности, уже стал неотъемлемой частью ИТ-инфраструктуры организаций. Технической основой SOC является система управления событиями информационной безопасности – SIEM (Security Information and Event Management). Обычно она встраивается в ИТ-ландшафт корпоративных сетевых сегментов, а в последнее время все активнее приходит и в сегменты АСУ ТП.

Зачастую защищенный сегмент логически и технологически отделен от остальных корпоративных и внешних сетей. Он может представлять собой слепую или полуслепую зону для инженеров SOC и специалистов ИБ. Более того, могут существовать законодательные и организационные ограничения для сопряжения критических сегментов КИИ с другими сегментами КИИ и сегментами вне КИИ.

Для анализа информации, поступающей от различных устройств сегмента АСУ ТП, подключенных к SIEM, и дальнейшего выявления возникающих инцидентов необходимо обеспечить надежный канал связи. Этот канал используется для доставки событий сегмента АСУ ТП в центр сбора, анализа и принятия решений SOC. Соответственно, внедрение SIEM априори предполагает исключение полной изоляции (типа воздушного зазора) защищаемых сегментов сети.

Таким образом, возникает противоречие между необходимостью передать данные, то есть обеспечить сетевую связность с менее доверенными сегментами, где установлена SIEM, и непрогнозируемым влиянием стороннего программного обеспечения (той же SIEM) на технологические процессы и сегмент АСУ ТП. Сам канал связи и каналообразующее оборудование между защищаемым сегментом и SOC в этом случае могут представлять собой потенциальную брешь для компрометации объекта защиты, снижая уровень его защищенности. Это противоречие усиливается тем, что программное обеспечение SIEM, как правило, создается для выполнения иных задач и не проверяется на совместимость с системами, которые установлены в АСУ ТП и являются технологическими.

Для преодоления этого противоречия можно использовать технологии однонаправленной передачи данных, основанные на принципах физической изоляции одного сетевого сегмента от другого, но обеспечивающие возможность передачи данных из закрытого контура во внешние сети – только в одну сторону. Такие технологии гарантируют целостность и доступность данных в защищенном сегменте, а также полностью исключают риски передачи каких-либо сигналов в обратном направлении – внутрь защищаемого сегмента.

Примером реализации технологии однонаправленной передачи данных могут выступать "диоды", выпускаемые компанией АМТ-ГРУП под брендом InfoDiode. Они позволяют передавать такие виды трафика, как Syslog, Netflow, данные от агентов мониторинга, Winlog, SPAN-трафик, файлы и другую информацию. С целью расширения применимости "диодов", используемых для сбора данных в SIEM, InfoDiode имеет заявления о совместимости практически со всеми решениями отечественных компаний в области ИБ, например с продуктами Positive Technologies (MaxPatrol SIEM и PT ISIM), "Лаборатории Касперского" (KICS for Networks, KPSN), СПБ (СКЗИ "Квазар"), CyberLympha (CL DATAPK), INFOWATCH (IW ARMA INDUSTRIAL FIREWALL, IW ARMA MANAGEMENT CONSOLE) и др.

Важным аспектом применения "диодов" в контексте SIEM-систем является тот факт, что и сам "диод" должен передавать данные о своем функционировании в SIEM. То есть, являясь средством, защищающим сетевой периметр организации, "диод" должен уметь сообщать данные о том, что через него передается, а именно меняются ли параметры доступа к нему, проводятся ли изменения сетевых настроек, нарушен ли контроль целостности ПО, есть ли санкционированные и несанкционированные попытки доступа к консоли управления и т.п.

Что ждет SIEM в обозримом будущем в сегментах КИИ и АСУ ТП?

В условиях наметившихся тенденций более жесткой сегментации сетей могут быть выделены следующие направления развития SIEM в части применения в сегментах КИИ и АСУ ТП:

  • Физическая сегментация (изоляция) сети источника событий при условии сохранения сетевой связности с приемником для обеспечения сбора максимально возможного количества данных для подразделений ИБ и SOC, то есть увеличения фактов применения "диодов" на практике.
  • Поддержка SIEM новых видов источников данных, существующих и возникающих в сегментах АСУ ТП, для целей анализа специалистами ИБ (данные сетевого трафика, данные с рабочих мест операторов, данные технологических процессов и т.п.).
  • Поиск проактивных решений по изоляции обнаруженных средствами SIEM угроз с учетом специфики производственных процессов. Еще только предстоит решить, как, кем и в каком объеме должны быть приняты меры по локализации обнаруженной угрозы. Могут ли такие меры приниматься автоматически – программным обеспечением, без участия специалистов ИБ? Должны ли быть созданы гарантированно изолированные "карантины" и песочницы в рамках исследования обнаруженных угроз и скомпрометированного программного обеспечения?
  • Рост квалификации специалистов ИБ в предметной области АСУ ТП, который критически необходим для эффективного выявления и купирования специфических угроз. Такие специальности ИБ существовали и ранее, но только сейчас стали возникать конкретные практические задачи по внедрению SIEM в АСУ ТП-сегментах и реализации специфических для этих сегментов мер защиты.
Темы:АМТ-ГРУПSIEMInfoDiodeАСУ ТПЖурнал "Информационная безопасность" №4, 2022

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...