Впервые термин SIEM в заголовках СМИ появился в 2005 году. Разработчиками технологии «Security information and event management», когда разработчики компании Gartner Марк Николетт и Амрит Вильямс представили новый продукт. Технология SIEM объединяет возможности инструментов SIM и SEM в комплексное решение для кибербезопасности. Разберемся подробнее.
Фактически, сам по себе термин «SIEM» - слияние двух акронимов (и, как следствие, функций):
- управление информацией о безопасности (SIM) - процесс сбора, мониторинга и анализа данных из автоматически генерируемых компьютерных журналов (отчетов);
- и управление событиями безопасности (SEM) - процесс централизации данных журнала компьютера из нескольких источников (систем, конечных точек, приложений и служб) для улучшения обнаружения инцидентов безопасности и управления этими событиями посредством формализованного процесса реагирования.
Для чего нужна и как работает SIEM-система?
Все оценки были основаны на проценте атак за 2018 год. Наиболее подготовленные к кибератакам страны были выбраны по показателям Глобального индекса кибербезопасности (GCI). Актуальность законодательства оценивалась на основе существующих законов (и проектов) по 7 категориям: национальная стратегия, вооруженные силы, контент, конфиденциальность, критическая инфраструктура, торговля и преступность. По мере роста организации, обеспечение информационной безопасности требует больших ресурсов и затрат на специфическое оборудование. Киберзащита предприятия состоит из спектра работающих в тандеме приложений, предназначенных для отражения различных типов атак. К ним относится софт для обнаружения вредоносного ПО, система обнаружения сетевых вторжений (NIDS), защита от потери данных и приложения для обеспечения безопасности конечных точек. Каждое из этих приложений целиком подстраивается под свой тип угроз, но ни одно из них не обеспечивает стопроцентное покрытие цифрового щита.
Типичные функции программного инструмента SIEM включают в себя:
- сбор, анализ и представление данных, связанных с безопасностью;
- анализ «сигнала» безопасности в режиме реального времени;
- регистрация данных и создание отчетов;
- управление идентификацией и доступом;
- журнал аудита и рецензии;
- реагирование на инциденты безопасности.
Программные инструменты SIEM могут сыграть важную роль в повышении эффективности и своевременности действий по реагированию на инциденты безопасности. При обнаружении нарушения, служба безопасности может использовать программное обеспечение SIEM, чтобы быстро определить, как произошла атака и какие хосты или приложения были затронуты нарушением. Инструменты SIEM могут даже реагировать на эти атаки через автоматизированные механизмы.
Программные средства SIEM выступают в качестве управляющего и интегрирующего звена, находящегося поверх существующей системной инфраструктуры и программных средств безопасности. Средства SIEM собирают и интегрируют все генерируемые компьютером отчеты, которые регистрируются каждым отдельным приложением, службой или средством безопасности в системе, отображая полученные данные в удобочитаемом формате и облегчая обнаружение угроз. О них подробнее:
- Сбор данных. Инструменты SIEM объединяют журналы событий и системы, а также данные о безопасности из различных источников и приложений в одном месте.
- Корреляция. SIEM использует корреляцию, чтобы связать вместе определенный объем данных с общими атрибутами и помочь превратить эти данные в полезную информацию для групп SecOps.
- Оповещение. Инструменты SIEM могут быть настроены на автоматическое оповещение SecOps или ИТ-команд при обнаружении предопределенных сигналов или шаблонов, которые могут указывать на событие безопасности.
- Хранение данных. Обеспечивает возможность службе безопасности сопоставлять данные с течением времени и проводить расследования угроз или инцидентов, которые изначально могли остаться незамеченными.
- Анализ инцидентов. Синтаксический анализ, нормализация и категоризация журналов - это дополнительные функции инструментов SIEM, которые делают отчеты доступнее для поиска.
Управление уязвимостями - это непрерывный процесс проактивного тестирования вашей сети и ИТ-инфраструктуры для обнаружения и адресации возможных точек входа для кибератак. Программные средства SIEM являются важным источником данных для обнаружения новых уязвимостей, наряду с тестированием уязвимостей сети, отчетами персонала и непрерывной аналитикой. Анализ угроз можно описать как разбор внутренних и внешних киберугроз, которые могут повлиять на ваш бизнес.
Как итог: SIEM нужна именно для сбора и анализа информации. Информация поступает с различных источников — таких, как DLP-системы, IDS, маршрутизаторы, межсетевые экраны, АРМ пользователей, серверов. К тому же, бывают ситуации, когда внешне безобидные события, полученные с различных источников, в совокупности несут в себе угрозу. Предположим, когда происходит отправка письма с чувствительными для компании данными человеком, имеющим на это право, но на адрес, находящийся вне его обычного круга адресов, на которые он отправляет. DLP система этого может не отловить, но SIEM, используя накопленную статистику, на основании этого уже сгенерирует инцидент.