![Page 1: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/1.jpg)
Российские SIEM-системы: миф или реальность
Алексей Титов, к.т.н. Руководитель проекта SIEM ЗАО «НПО «Эшелон»
![Page 2: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/2.jpg)
Что такое SIEM
2
Security Information and Event Management (SIEM)
Cистемы управления информацией и событиями в безопасности (СУИСБ)
Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия
![Page 3: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/3.jpg)
Развитие технологии SIEM
3
Технология SIEM = SIM+ SEM
SIM («управление информацией
безопасности»)
сбор, хранение и анализ данных
(взятых из журналов)
подготовка отчетов по
соответствию нормативным требованиям
SEM («управление событиями
безопасности»)
мониторинг событий
безопасности в реальном времени
выявление и реагирование на
инциденты безопасности
![Page 4: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/4.jpg)
Лидеры мирового рынка решений класса
SIEM по мнению Gartner (2015 год)
4
• IBM Security QRadar SIEM;
• HP ArcSight ;
• Splunk Enterprise;
• McAfee NitroSecurity;
• LogRhythm.
![Page 5: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/5.jpg)
Задачи SIEM Пример из практики
5
Аномалия работы маршрутизатора Загрузка процессора 97%0 попыток входа на АРМ Нарушение регламента работы c почтовой системой Повышенный уровень привелегий работы процесса Нарушена доступность системы
![Page 6: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/6.jpg)
6
Традиционное управление АС без SIEM
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты, маршрутизаторы
Точки доступа
Средства защиты информации
Объекты АС
![Page 7: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/7.jpg)
7
Система управления информацией и событиями в области безопасности
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты, маршрутизаторы
Точки доступа
Средства защиты информации
Объекты АС
![Page 8: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/8.jpg)
Источники информации об инцидентах
8
Операционные системы
СУБД Сетевое оборудование
Средства Защиты Информации
Системы Управления Контролем Доступа
и многое другое…
![Page 9: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/9.jpg)
A.12.4 Logging and monitoring
A.16 Information security incident management
A.18 Compliance
A.9.2 User access management
A.9.4 System and application access control
A.8.1.2 Ownership of assets
A.8.2 Information classification
A.8.1.1 Inventory of assets
Нормативная база ISO 27001
9
![Page 10: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/10.jpg)
10
Нормативная база СТО БР ИББС
П. 8.12 Требования к мониторингу информационной безопасности и контролю защитных мер П. 8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности П. 8.15. Требования к анализу функционирования системы обеспечения информационной безопасности
![Page 11: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/11.jpg)
Структура мер по обеспечению защиты
11
I. Идентификация и аутентификация субъектов доступа и объектов доступа
(ИАФ)
II. Управление доступом субъектов доступа к объектам доступа
(УПД)
III. Ограничение программной среды
(ОПС)
IV. Защита машинных носителей информации
(ЗНИ)
V. Регистрация событий безопасности
(РСБ)
VI. Антивирусная защита
(АВЗ)
VII. Обнаружение вторжений
(СОВ)
VIII. Контроль (анализ) защищенности
информации (АНЗ)
IХ. Обеспечение целостности
информационной системы и персональных данных
(ОЦЛ)
X. Обеспечение доступности информации
(ОДТ)
XI. Защита среды виртуализации
(ЗСВ)
XII. Защита технических средств
(ЗТС)
XIII. Защита информационной системы, ее средств, систем связи и
передачи данных
(ЗИС)
XIV. Выявление инцидентов и реагирование на них
(ИНЦ)
XV. Управление конфигурацией
информационной системы и системы защиты
персональных данных
(УКФ)
П 21 ФСТЭК
П 17 ФСТЭК
V. Регистрация событий
безопасности
(РСБ)
XIV. Выявление инцидентов и
реагирование на них
(ИНЦ)
![Page 12: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/12.jpg)
Практическое выполнение мер
12
П21 ПДН П17 ГИС
Мера Содержание мер по обеспечению безопасности информации 4 3 2 1 _4 _3 _2 _1
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные
носители персональных данных ? ? ? ? ? ? + +
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + + + + + +
РСБ.2 Определение состава и содержания информации о событиях безопасности,
подлежащих регистрации + + + + + + + +
РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения + + + + + + + +
РСБ.4
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные
и программные ошибки, сбои в механизмах сбора информации и достижение предела
или переполнения объема (емкости) памяти
? ? ? ? + + + +
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и
реагирование на них ? ? + + + + + +
РСБ. 7 Защита информации о событиях безопасности + + + + + + + +
РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных
пользователей в информационной системе - - - - ? ? ? ?
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом
вычислительных ресурсов (мощностей), в том числе по передаче информации - - - - ? ? + +
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ? ? + + - - - -
ИНЦ.3
Своевременное информирование лиц, ответственных за выявление инцидентов и
реагирование на них, о возникновении инцидентов в информационной системе
пользователями и администраторами
? ? + + - - - -
ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения
инцидентов, а также оценка их последствий ? ? + + - - - -
ИНЦ. 5 Принятие мер по устранению последствий инцидентов ? ? + + - - - -
РСБ.1 Определение событий безопасности, подлежащих
регистрации, и сроков их хранения + + + + + + + +
![Page 13: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/13.jpg)
Рынок SIEM в России
13
ТУ
• ArcSight ESM
• RSA enVISION
• RSA Security Analytics
• IBM Security Qradar
РД НДВ 4 и ТУ
• McAfee SIEM
• ПАК «Комрад» проходит сертификацию
Сертифицированные ФСТЭК SIEM-системы
![Page 14: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/14.jpg)
Схема уровней внедрения SIEM
14
Инвентаризация
Анализ доступности
Мониторинг параметров
Корреляция событий
Построение схем
Сбор журналов и событий
![Page 15: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/15.jpg)
Протоколы
15
Поддерживаемые протоколы и интерфейсы для передачи информации о событиях:
Syslog and Syslog-ng SNMPv2 and SNMPv3 HTTP, HTTPS SQL WMI FTP, SFTP SSH Rsync Samba
![Page 16: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/16.jpg)
Уровни масштабирования
16
![Page 17: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/17.jpg)
Уровни масштабирования
17
![Page 18: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/18.jpg)
Сканирование портов
18
![Page 19: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/19.jpg)
Информация о домене
19
#whois 85.202.231.172
inetnum: 85.202.224.0 - 85.202.239.255
netname: MTK-MOSINTER-NET
descr: ZAO MTK MOSINTER
country: RU
org: ORG-MMI5-RIPE
admin-c: BDV67-RIPE
tech-c: BDV67-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: MNT-MTK-MOSINTER
mnt-routes: MNT-MTK-MOSINTER
mnt-domains: MNT-MTK-MOSINTER
source: RIPE # Filtered
sponsoring-org: ORG-NA225-RIPE
![Page 20: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/20.jpg)
Инвентаризация
20
![Page 21: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/21.jpg)
Мониторинг доступности
21
![Page 22: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/22.jpg)
Сканер уязвимостей
22
![Page 23: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/23.jpg)
Отображение дампа трафика
23
![Page 24: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/24.jpg)
Совместимость с открытым ПО
24
![Page 25: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/25.jpg)
ИТ-инфраструктура:
– около 50 серверов, обслуживающих портал торговой площадки
– сложная архитектура: МЭ, СОВ, СУБД, веб-серверы, шлюзы безопасного доступа
– около 150 рабочих станций в офисной сети
– более 50 операторов торговой площадки
– более 1000 зарегистрированных пользователей торговой площадки
История успеха: высоконагруженное web-приложение (торговая площадка).
25
![Page 26: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/26.jpg)
внедрение единого стандарта на сбор, хранение и обработку событий ИБ в обслуживаемой корпоративной сети Заказчика;
контроль параметров конфигурации и работы объектов ИТ-инфраструктуры в масштабе времени, близком к реальному;
оперативное оповещение администратора безопасности и обеспечение возможности реагирования на внутренние и внешние угрозы безопасности;
повышение эффективности управления событиями ИБ в ИТ-инфраструктуре за счёт автоматизации и упрощения процедур администрирования и периодического контроля журналов событий;
Результаты внедрения
26
![Page 27: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/27.jpg)
Перспективы развития
27
Разработка модуля хранения ненормализованных событий с возможностью поиска и агрегации
Разработка модуля корреляции ненормализованных событий
Разработка модуля отказоустойчивой кластеризации
![Page 28: титов российские Siem системы миф или реальность v03](https://reader033.vdocuments.mx/reader033/viewer/2022042600/58a362011a28aba4138b4945/html5/thumbnails/28.jpg)
Контактная информация
107023, ул. Электрозаводская, д. 24
+7(495) 223-23-92
+7(495) 645-38-11
http://www.npo-echelon.ru