SIEM-системы: а есть ли перспективы у OpenSource?

Хочу поприветствовать всех, кто читает эту заметку.
Изначально, хотел откомментировать статью «Cистема управления безопасностью OSSIM» в «песочнице» ( habrahabr.ru/post/157183 ), но комментарий получался очень большим. Основной вопрос — к какому типу SIEM относится OSSIM?
Сейчас много людей интересуется SIEM, но представление о них складывается, в основном, по красивым маркетинговым листовкам. В большинстве случаев, эти листовки отвечают достаточно скупо на вопрос «Зачем нужна SIEM?», уделяя большее внимание рекламированию конкретного «современного» SIEM-продукта.

А что сейчас может считаться «современным» SIEM-продуктом? Давайте посмотрим, какие вообще бывают SIEM-системы. На данный момент существуют системы 2-х поколений. 2-е поколение в большинстве случаев называется «Next-Generation SIEM».
Давайте посмотрим, из чего состоит SIEM первого поколения:

А вот что считают Next-Generation SIEM:


Как видно, для SIEM второго поколения характерно большее число источников и они получили возможность реагировать на «нештатные» ситуации: например, если у пользователя внезапно поменялась активность (раньше просто просматривал страницы, используя HTTP, а сейчас начинает активно гонять трафик «наружу» через другие протоколы, например) — то это повод сгенерировать «событие». Помимо этого, Next-Generation SIEM способны анализировать проходящий в сети трафик без использования дополнительного «железа» или ПО (путем перевода свободной сетевой карты сервера SIEM в «неразборчивый» режим работы), отслеживать активность приложений — и это помимо оставшейся основной функции «сбор логов с источников» и «анализ событий». Также Next-Generation SIEM могут отслеживать и виртуальные инфраструктуры, что не всегда хорошо делают SIEM первого поколения.
Да и сам анализ стал более интеллектуальным — число «преступлений», требующих рассмотрения специалистом, при использовании SIEM второго поколения уменьшается где-то на 25-30%, это достигается за счет того, что уже накоплена какая-то статистика рутинных операций, устанавливается некий порог срабатывания для «нетипичных» операций (скажем, пользователь user1 обычно занимается редактированием и отправкой документов по smtp, но если он для отправки вдруг станет использовать иной протокол — то событие, требующее внимания, будет сгенерировано не сразу, а только при преодолении некоторого порога частоты (или количества) таких событий. Разумеется, учитываются данные сетевой активности и т.д.).
Но! Многие менеджеры утверждают, что если у вас есть SIEM %siem_name%, то нет необходимости установки DLP, IDS, сканеров уязвимостей и т.д. На самом деле, это не так. Next-Generation SIEM может отследить какие-то аномалии в сетевом потоке, но нормальный анализ она провести не сможет. SIEM, собственно говоря, бесполезна без прочих систем безопасности. Основное преимущество SIEM — сбор, хранение и анализ логов — будет низведено на 0 без источников этих самых логов.
Частая фраза в листовках «SIEM %siem_name% — легкость и быстрота внедрения, минимум ложных срабатываний, не требует перенастройки уже имеющихся средств безопасности...». Это не так. Можно, конечно, обойтись минимумом перенастроек — просто перенаправить весь поток событий с устройств и систем безопасности на SIEM. На правильно настроенной SIEM это не вызовет значительного увеличения числа ложных срабатываний, но серьезно нагрузит сервер БД (и вызовет разрастание БД). Что в итоге выльется в увеличении времени обслуживания БД и, возможно, к пропуску каких-то действительно важных инцидентов безопасности. Поэтому, подумать — что же именно отправлять на SIEM с уже имеющихся устройств, а что оставить на откуп уже имеющейся системы безопасности — придется. Пример — можно перенаправить все логи антивируса, установленного на ПК пользователя, непосредственно на SIEM — включая события об обновлении баз — но нужно ли это вам? Особенно если учесть, что некоторые источники могут генерировать однотипные или повторяющиеся события. Конечно, в SIEM в большинстве случаев предусмотрена возможность их объединения, но это опять-же вызывает излишние нагрузки на сервер SIEM.
Следует особо обратить внимание на возможность собирать flow-потоки (NetFlow, sFlow и т.д.) — полезная вещь для отсечки лишней информации о трафике в сети и, в то же время, получения дополнительной полезной информации о состоянии сети, полученной непосредственно с сетевых устройств.
Также как не бывает легкого внедрения. Перед запуском нужно провести массу аналитической работы, определить, какие события важны, какие нет и т.д.
В конечном итоге — вопрос — кому нужны системы такого класса? Нужны эти системы, на взгляд автора, тем, у кого большая сетевая инфраструктура и кто хочет хоть как-то упорядочить события и быть в курсе инцидентов. Но при этом готов к большим затратам, окупаемость таких систем не моментальна, польза, на первый взгляд, не очевидна. К тому же, данные системы требовательны к «железу».Хотя, была в одной листовке удачная фраза: «SIEM позволяет CIO объяснить проблемы IT на языке бизнеса». К тому же, данные системы требовательны к «железу».
Фраза не лишена оснований: отчеты, создаваемые современными SIEM, мало того, что в различных форматах, так еще и настраиваемые под нужды конкретной организации, зачастую позволяют получить все необходимые данные на двух-трех листах формата А4, представленные в виде понятных и наглядных графиков или цифр.
В заключение, хочется подвести итог: SIEM (или продуктов, называющих себя таковыми) — много. Но, поскольку по карману они в основном лишь крупным заказчикам — они будут обращать внимание на лидеров. Абсолютных лидеров на сегодняшний день всего 3: ArcSight ESM, QRadar SIEM (от IBM Q1 Labs), McAfee ESM (бывший NitroView ESM). К ним еще можно отнести достаточно интересную разработку LogRhythm и NetIQ — согласно Гартнеру.
В свете этого, не совсем ясно, какие перспективы у опенсорсных SIEM-систем, которые, в большинстве своем, относятся к первому поколению, на мой взгляд, это не тот продукт, который легко можно можно заменить опенсорсным без риска потери преимуществ в виде регулярных обновлений и квалифицированной поддержки. С другой стороны, существует положительный пример OpenBSD…
А как вы считаете, есть ли перспективы у опенсорсных SIEM сейчас?

P.S> До недавнего времени считал, что нет простых и понятных статей по SIEM, отрадно видеть, что потихоньку это положение исправляется — на Securitylab.ru в разделе «Аналитика» есть цикл статей по SIEM, на мой взгляд — статьи из разряда обязательного прочтения перед работой. Они хорошо поясняют теорию работы систем такого класса.
  • +2
  • 24,5k
  • 2
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 2

    0
    «ArcSight обладает отвратительной технической поддержкой» — это то, что я слышал от клиентов.

    Давайте вспомним основную идею OpenSource: клиенты ничего не покупают, они загружают и используют ПО свободно. Авторы и прочие получают деньги за поддержку и предоставление сервисов на базе этого ОПО.

    Собственно, вся фишка SIEM-ов, включая опенсурсные бандлы в том, что за ними нужно постоянно наблюдать. Нет такой реальной сети, которая бы сразу подошла под устанавливаемый SIEM — везде нужно допиливать источники событий, правила реагирования, распределение алертов по сегментам сетей и т.д.

    Причина всего: пользователи везде разные, цели разные, даже если взять DLP решения, то их тоже нужно постоянно обучать новыми базами документов, чтобы те накопили достаточно ключевых слов и мощно развили внутренние нейросетки, чтобы можно было отлавливать даже измененные тексты утекаемой информации.

    Например, сейчас бравые парни из европейской (Австрийской) компании RadarServices активно шагают по России, предлагая удачный бандл: набор предварительно настроенных опенсурсных SIEM на базе сервера под управлением Linux + собственный сервис по постоянной адаптации этого решения под конкретные сетки заказчика.

    Т.е. прошаренные профи, которые съели не одну собаку на проведении аудитов по инфобезу, реально каждый день/неделю/месяц подключаются к установленному софту и корректируют правила, его работу, уточняют источники данных и проч, причем по просматриваемым со стороны заказчика каналам, чтобы никакие данные не покидали сеть заказчика (не используется никаких внешних серверов обработки). Слышал, что они даже жесткие диски оставляют у клиентов (даже если это был всего-лишь тестовый сервер), в случае если клиент отказывается продолжать использовать продукт, чтобы ну уж совсем гарантировать, что данные никуда не уйдут. В таком виде перспективы у открытых SIEM определенно есть!

    Ну а так как ПО используется не проприетарное, то имеем два огромных плюса:
    1. перцы могут допилить любую часть софта под каждого заказчика
    2. сервис оказывается в разы дешевле, чем тот же ArcSight
      0
      Спасибо за наводку на RadarServices, посмотрю, что это такое. radarservices.com — они? Не работает что-то пока.

      По поводу техподдержки ArcSight ничего говорить не буду, т.к. лично я с ним мало работал и поводов обращаться в техподдержку не было. Сам продукт, в общем, на мой взгляд неплох, хотя и замороченней по сравнению с тем же QRadar или McAfee.

      Да, действительно, SIEM «из коробки» не встанет в реальную сеть, весь вопрос в том, сколько времени потребуется на ее допиливание. Скажем, когда ставили QRadar, он сразу подхватил все источники клиента — имелась большая внутренняя база источников + регулярное ее обновление на сайте. Т.е. руками надо было только их переименовать более-менее осмысленно. Есть ли такие же базы источников у OpenSource SIEM — вопрос, который меня сильно занимает. Есть ли у них возможность развертывания агентов, чтобы получать события непосредственно из ОС юзера?

      По поводу корректировки правил — каждый день-неделю-месяц их корректировать? Это имеет смысл на этапе внедрения, скорректировать, скажем, правила сетевых аномалий, аномального поведения пользователя и т.д., на основе которых мы будем генерировать «преступления» (offenses). Корректировку проводим исключительно для того, чтобы не нагенерировать излишних «преступлений». С источниками аналогично, хотя тут облегчается тем, что SIEM их может найти сама. Так что, в конечном итоге, нормально настроенная SIEM после ее сдачи в эксплуатации не должна нуждаться в еженедельной и ежедневной корректировке правил. В основном корректируются ложно-положительные реакции SIEM.
      В части случаев система успешно работает с предустановленным базовым набором правил (которые шли вместе с ней).

      По OpenSource, в итоге:
      1) А не окажется ли, что результат этого «допиливания» не будет работать криво и не превысит по стоимости проприетарное решение?
      2) А могут ли они нормально работать в виртуальном окружении? McAfee, например, выпускает отдельно свои продукты в сборке Virtual Appliance — что дает гарантию не наступить на какие-нибудь неприятные грабли при установке в виртуальную среду

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое