пятница, 25 марта 2011 г.

Актуальность и особенности внедрения решений класса SIEM

При нынешних темпах развития информационных технологий, невозможно представить себе компанию, которая бы не пользовалась программными продуктами. Так как они - неотъемлемая часть технологий для управления бизнес процессами. И как следствие, администраторам приходиться следить за работоспособностью всего парка данных систем. Использование программного обеспечения позволяет автоматизировать многие процессы, контролировать безопасность и обеспечивать отказоустойчивость систем. Но с другой стороны  это заставляет персонал тратить огромные человеческие ресурсы на поддержание в функционирующем состоянии, защиту и анализ событий, генерируемый данной информационной инфраструктурой. Что далеко не всегда приемлемо. А если учесть что парк из разнородных систем не редко исчисляется десятками, а то и сотнями типов систем, то трудно представить, сколько задействованного персонала понадобиться, что бы анализировать события с этих систем и своевременно на них реагировать.

Кроме того возникает необходимость хранения всей информации о произошедших событиях, как для статистики, так и для проведения расследований или выявления причин сбоев, спустя длительное время. Так же, собирать и хранить логи требуют международные стандарты и требования Российской Федерации.
При использовании в больших компаниях множества разнородных технологий, анализ логов вручную, становится просто невозможен. В этом случае есть несколько вариантов для решения создавшейся ситуации. Первым вариантом является создание системы фильтров или правил корреляции «на коленках», используя технологии которые не требуют материальных вложений и общедоступны. Даже если кому-то это может показаться не серьезным, я бы не был столь однозначен. Для небольших компаний или компаний, которые стеснены в средствах это все же лучше, чем анализировать события вручную. Тем более что сейчас появились бесплатно распространяемые системы данного класса, правда, с ограниченным функционалом. Но об этом чуть позже.
Каким же образом выбрать, а потом и успешно внедрить систему класса SIEM (SecurityInformationEventManager)? Данная публикация как раз и преследует цель описать основные стадии выбора и внедрения решения данного класса. При этом следует учесть, что все описанное ниже носит сугубо рекомендательный характер и может отличаться от рекомендаций компаний интеграторов, мнений сотрудников отделов информационной безопасности компаний и проектных офисов, курирующих проекты внедрения ИТ и ИБ решений. При написании статьи автор руководствуется опытом, полученным при успешном выполнении проекта по внедрению решения класса SIEMв украинском банке, входящем в десятку крупнейших, опытом ведения проектов в соответствии с методологией  PMI PMBoK (Project Management Body Of Knowledge), профильным образованием и опытом работы в сфере информационной безопасности.
Итак, первое, что необходимо определить компании, это зачем ей нужно решение класса SIEM и нужно ли оно ей вообще. Если речь идет только о соблюдении требований стандартов, например PCIDSS, то отлично подойдет бесплатное решение с ограниченным функционалом (например, OSSIM). Его можно скачать и использовать бесплатно. Данная система в бесплатной версии имеет ограничения по функционалу, но того функционала что присутствует вполне достаточно, что бы обеспечить соответствие требованиям, а так же использовать его как компенсационные меры для снижения рисков.
Если же у Вас есть необходимость в построении реально работающей системы, которая будет отслеживать события с множества устройств в сети, серверов и иных систем, а так же обеспечивать быстрый поиск по заданным параметрам то Вам стоит прочесть статью дальше.
На данный момент на рынке уже достаточно много систем данного класса. Решения предлагают: ArcSight, Symantec, RSA, Nowell и прочие.
Каждое из решений имеет свои преимущества и свои недостатки, но в одном они едины – их цена отнюдь не мала. По этой причине нужно хорошо понимать, зачем Вам данное решение, сколько человеческих ресурсов Вы готовы выделить на его обслуживание, действительно ли ROIот его внедрения будет положительным и за какой период времени оно окупиться?
В данной статье я не буду приводить примеры того, как считать ROI от внедрения решений информационной безопасности. Так как это достаточно объемная, а местами даже спорная тема.  Просто потратьте время, и решите для себя, сколь сильно данное  решение необходимо для Вашей компании .
Если Вы все же готовы к внедрению данного решения, а бюджет позволяет это сделать, то в первую очередь необходимо выполнить следующие действия:
 - описать круг задач, который должен решаться данной системой в будущем;
-  провести оценку решений присутствующих на рынке;
- определить возможность интеграции используемых систем в компании с выбранным решением;
- выбрать опытного интегратора либо обеспечить работу по внедрению силами специалистов вендора;
- построить топологию сети с учетом внедряемого решения;
 - написать список первичных правил корреляции и отчетов;
- определить ответственного за ведение проекта, обеспечить его полномочиями и ресурсами.
Рассмотрим каждый из пунктов чуть более детально.
Для удачного внедрения решения класса SIEMнеобходимо очень хорошо понимать, какие именно правила Вы хотите автоматизировать, какую информацию и с каких систем собирать. Очень хорошо, если это будет описано документом «Границы проекта».
Так же стоит рассмотреть цену решения, на чем, думаю, останавливаться особо не имеет смысла.
Настоятельно рекомендую перед внедрением провести пилотный проект (возможно даже для нескольких конкурирующих решений). Это позволит оценить компетенцию специалистов, которые будут проводить внедрение, увидеть скрытые его недостатки и сделать выбор в пользу наиболее подходящего вам решения.
Отдельно хотелось бы остановиться на особенностях интеграции решений класса SIEM с системами компании. Как правило, есть несколько вариантов сбора информации: агентный, без агентный и посредством удаленного агента. В первом случае агент устанавливается на конечный сервер, откуда и пересылает данные в хранилище или на основной модуль корреляции. Параллельно осуществляя фильтрацию, следя за доставкой и прочие функции. Данный вариант самый лучший, если рассматривать вопрос со стороны функциональности. Но бывает, что установить дополнительное ПО нет возможности.  По ряду причин: недостаточно ресурсов, нарушение основной функциональности сервера после установки агента, отказ администратора сервера от установки агента. В таком случае используется один из следующих методов.
Удаленный агент устанавливается на отдельный сервер и инициирует соединение с конечным сервером для получения необходимой информации. Возможно не для всех систем.
Без агентная архитектура предполагает наличие агента на отдельном сервере, который выполняет только функции анализа полученной информации. Информация направляется, например посредством зеркалирования с сетевого оборудования через SPANпорт либо по протоколу Syslog.
Так же стоит обратить внимание на наличие у решения коннекторов для систем, которые планируется интегрировать с SIEM. Соответствие версий и их совместимость.
Каждый вариант стоит рассматривать исходя из специфики архитектуры и возможностей заказчика.
Каждое из решений данного класса достаточно гибко, настраивается более чем детально и как следствие - требует наличия команды очень грамотных специалистов вендора либо интегратора. По этой причине основными параметрами для сравнения является наличие компетентных специалистов у компании, которая будет вести проект по внедрению решения данного класса. Хотелось бы оговориться, что можно купить решение с поддержкой от вендора и интегрировать его в инфраструктуру компании собственными силами. Но время, затраченное на его качественное внедрение, будет несоизмеримо выше. Так как системы данного класса требуют отличного понимания их функционирования, а написание сложных правил корреляции, еще и досконального знания их настроек. Хотя каждая компания вправе поступать сама, так как считает нужной и тут высказано личное мнение автора.
В процессе подготовки проекта стоит учитывать изменение топологии сети, так как необходимость получения огромного количества данных в единую точку сетевой инфраструктуры, требует наличия сетевых правил, нередко противоречащих политике информационной безопасности компании. Что бы этого не произошло необходимо заранее прописать маршруты следования трафика из всех систем, а так же инициаторов сетевых соединений, выделить отдельные подсети в зависимости от требований и настроить маршрутизацию.
Ниже приведена реальная сетевая топология по результатам внедрения решения класса SIEM:

Перед внедрением решения данного класса, сотрудникам компании необходимо спроектировать несколько правил корреляции, отчетности, список интегрируемых систем и желаемых результатов работы системы. Это позволит получить реальные результаты работы еще на этапе пилотного внедрения. Ниже, для примера, приведены два кейса и два отчета, которые могут быть полезны:
Задействованные системы:
- IDS;
- сетевой сканер.
Кейс: сгенерировать почтовое уведомление администратору информационной безопасности, если на системе IDS детектирован вредоносный трафик на определенный IP адрес, и данный IP адрес имеет таковую уязвимость по результатам сканирования сетевым сканером.
1.       Задействованные системы:
- ActiveDirectory.
Кейс: сгенерировать почтовое уведомление администратору информационной безопасности, если пользователь AD вводит неправильно пароль более 5 раз в течении 12 часов.
2.       Задействованные системы:
- система Интернет мониторинга;
- ActiveDirectory.
Отчет: построить список сотрудников, которые за последнюю неделю провели более пяти часов на интернет ресурсах, из категории «Развлечения» и более 2-х раз включали компьютер на час позже начала рабочего дня в компании.
3.       Задействованные системы:
- система Интернет мониторинга;
- система анализа почтовых сообщений;
- система анализа съемных носителей.
Отчет:  построить список сотрудников компании которые в течении последней недели заходили на сайты поиска работы и отправляли почтовые сообщения с приложениями на общедоступные почтовые ящики (mail.ru, gmail.comи пр.) или копировали данные на съемный носитель.
Отдельного внимания заслуживает тема выбора менеджера проекта по внедрению решения класса SIEMи наделения его необходимыми полномочиями. Так как в интеграции участвуют разнородные системы, которые могут быть в ведении абсолютно разных департаментов, количество задействованного персонала может измеряться десятками человек, а бюджет сотнями тысяч долларов, то требования к менеджеру данного проекта должны предъявляться достаточно жесткие. Это относится как к его опыту ведения масштабных проектов, широких знаний в области ИТ и ИБ, так и высокого уровня коммуникаций и умения нахождения компромиссных решений. В свою очередь менеджеру должны быть предоставлены как можно более широкие полномочия в данном проекте, содействие функциональных руководителей задействованного персонала, спонсора проекта и в первую очередь понимание менеджмента компании, зачем все это нужно.
Если все описанные выше пункты будут выполнены с максимальной отдачей, а задействованные персонал будет обладать высоким уровнем компетенций или получит их в результате обучения в рамках проекта, то по результатам внедрения компания получит решение которое может обеспечить сбор и анализ информации в автоматическом режиме со множества ИТ и ИБ систем. Что в свою очередь позволит выполнять значительно большие объемы работы, используя при этом меньшее количество человеческих ресурсов сотрудников департаментов ИТ и ИБ в компании. Значительно улучшив при этом защищенность сетевой инфраструктуры компании, непрерывность работы систем и сервисов, время реагирования на инциденты и уровень информационной безопасности компании в целом.

Автор:
Давыдыч Виктор
Контакты: 

Комментариев нет: