ITおよびIB向けSIEM

情報保護の最初の手段の出現により、最初の緊急の質問が発生しました：立てられたバリケードが機能し、保護することをどのように見つけるか？ アラートに迅速に対応する方法は？ 防止された脅威を理解する方法 ICMP pingを実行することにより、ファイアウォールが機能するかどうかを確認できます。ACL（アクセス制御リスト）のルールが機能する場合、エコー応答を含む応答はありません。 デバイスのコンソールからイベントログを表示し、数百または数千の行を手動で解析して、反映または検出された脅威を確認することができます。

時は金なり

重要なサーバー、データベース、アプリケーションは言うまでもなく、アクティブな保護ツールだけから受信したイベントログが多数あります。 これらのログを使用して、不正アクセスの試み、ネットワーク攻撃、ビジネス継続性の中断につながる異常、またはセキュリティポリシーを特定できます。 イベントログを開くには、時間のかかる一連のアクションを実行する必要があります。アプリケーションを起動し、コンソールに接続し、イベントのリストを表示して確認します。 1人の従業員がウイルス対策ソフトウェアの監視（集中管理コンソールがあると仮定）、更新プログラムとIPSのインストール（2〜4個以下と仮定）、これらのソースからのイベントの表示、および最終日には約1時間かかります。 人的要因に注意してください：役員は他のタスクで過負荷になったり、病気や休暇中だったり、仕事から気が散ったり、プロフォーマのためにそれを実行したりする場合があります。 重要な資産のイベントログを少なくとも1日に1回分析するために必要な工数を数えますか？ これらのイベントログで脅威を特定できる資格のある従業員の賃金を計算で考慮し、遅い通信チャネルを介してブランチのSZIに接続するのに必要な時間を考慮してください。 高価？ はい、それはラウンドサムであり、経営陣に電話すると、オフィスから露出される可能性が高くなります。



それで、あなたはセキュリティ機能をインストールし、それらを設定し、それらは機能します-他に何が必要ですか？ SIEMは12人以上の人々を交代させ、迅速に働き、昇給を要求しません。

ビジネス保護

情報セキュリティの主な目的は、ビジネスの保護とビジネスプロセスの継続性を確保することです。 これには何が必要ですか？ ビジネスプロセスの説明、資産の決定、監査の実行（スキャンとペンテストを含む）、侵入者のモデルのコンパイル、リスクの調査、およびそれらを最小化する計画の策定を行います。 リスクを最小限に抑えるためにどのような対策が取られていますか？ ポリシーが作成され、ユーザートレーニングが実施され、情報保護ツールがインストールされ、構成が変更され、更新プログラムがインストールされます。 次のPDCAサイクルまで？

パルスに指を置いてください

IBの「設定して忘れる」という原則は適用されません。 絶対的な保護はありません。そして、最もありそうもないリスクは、ビジネスの停止と大きな金銭的損失を伴います。 ソフトウェアおよびハードウェアは動作を停止するか、正しく構成されていない可能性があり、脅威をスキップします。 現代の航空機のコントロールパネルを見ましたか？ すべての重要な指標は、人間工学と優先順位に従ってまとめられています。 パイロットと彼のアシスタントは、重大なインジケーターの違反を見ずにはいられません。 そのため、SIEMでは、ベースラインまたはポリシー（航空機のコース）から逸脱した場合、または故障や脅威（設備の故障）による資産の故障が発生した場合、パイロットオペレーターに直ちに通知されます。



なぜすぐに、1時間後に何が起こるのでしょうか？ ウイルスは数秒で広がり、攻撃者は脆弱性を分析して悪用するための自動システムを使用しています。 データの一部（またはすべて）が失われるため、商業運用中のシステムでRAID RAIDアレイが発生した場合、明日は興味がありません。 通知が迅速に行われるほど、対策を迅速に講じることができ、ビジネスが受ける経済的損失が少なくなります。 インシデントが結果をもたらさなかった場合は良いことです（飛行機に戻ります：「ボブ、カウントアップ！昨日1つのエンジンでパリからモスクワに飛びました！」）。

予防的保護が存在しない

一元化されたウイルス対策ソフトウェアをインストールする場合、すべての場所にインストールされ、正しく構成され、現在のデータベースで動作することを確認する必要があります。 どうやって？ イベントログを使用します。



なんで？ 企業のウイルス対策ソフトウェアのインストールとデータベースの更新を自動化したと想像してください。 2〜3日ごとにイベントログを監査しますが、障害が発生し、サービスはウェアハウス内のワークステーションのOSで開始されず、ネットワーク全体に広がるウイルスに感染しています。 たとえば、すべてのサーバーで自動実行が禁止されていて、すべてのパッチがインストールされているということは絶対にありません。実際には、これはほとんど起こりません。 自動実行およびネットワーク経由での配布を伴う脆弱性を使用して自動的に配置されたトロイの木馬、またはネットワーク共有上の偽造されたショートカットは、会社全体の崩壊につながります。 緊急モードで何が起こったのかを分析する間、ビジネスはほとんどアイドル状態になり、当局は緊張してinします。 企業のダウンタイムによる損失の財務評価は、それほど難しくないので、自分で簡単に行うことができます。 さらに、このような失敗はボーナスと給与に悪影響を与える傾向があります。

制御された脅威、受け入れられたリスク

実際には、セキュリティがビジネスに反する場合があります。 更新プログラムをインストールして脆弱性を解決できない場合（認証、不安定性、「テストされていない」、他のソフトウェアとの競合など、多くの理由があります）、または、たとえば、ビジネスアプリケーションが機能しなくなるため、RPCを禁止できない場合があります。 脅威を排除するためのコストは潜在的な損失を超える可能性があるため、リスクは「受け入れられます」。 ただし、SIEMを使用してこのようなリスクを制御し、インシデントに対応し、年末に運用リスクをカバーするために割り当てられた資金を予算に戻すことができます。 当然、この場合、リスクを管理する方法としてインシデントを自動的に分析および記録することなく、オペレーターがファイアウォールのログを表示することに疑問の余地はありません。

理由なし-誰もが責任がある

おそらく、インシデントを解決するためのデータがない場合に遭遇するでしょう。正確な発生時刻と発生場所（ユーザーからの呼び出しはカウントしません）、インシデントの前の情報はありません。 そして、私たちは主な質問に答えることができません-事件が発生した理由と誰が責任を負うべきか。 いいえ、これは加害者を罰するために必要ではありません（ただし、これも必要な場合があります）。 インシデントに基づいて明確にする必要がある主なことは、インシデントの再発を防ぐために何をすべきかです。 さらに、OS（Windowsイベントログまたはsyslog）にログインするだけでは不十分な場合があります。

私は神ではない、私はただのシステム管理者です

成熟した分岐インフラストラクチャでは、管理者権限はかなり広い範囲の従業員に委任されます。 当然、これらすべての従業員はセキュリティチェックを受け、私たちはそれらを信頼しています。 しかし、実際には、人間の心理学はしばしば影響を及ぼします：データベースをクラッシュさせた従業員RAIDは、個人のフラッシュドライブにウイルスを持ち込みました。イベント。 これらの雑誌が時間通りに収集されない場合、ビジネスは経済的損失と評判の低下という形で損害を与えられます。 時間通りに収集され、リポジトリに統合されたイベントログは、インシデントの結果について正しい判断を下すのに役立ちます。 SIEMからデータ（イベントとインシデント）を慎重に削除することはできません。レコードはシステムログに残り、整合性の監視が実行されます。 SIEMシステムのイベントログの形での証拠は、あなたの組織が裁判所の問題を解決するのに役立ちます。

このスクリプトが何であるか誰が知っていますか？..

もちろん、「自己記述」シナリオでログ管理と何らかのイベント管理を構築できます。 syslogまたはオープンソースソフトウェアを介してログを収集します。 PowerShell、バッチファイル、shスクリプト、およびレポートインシデントに関するすべてを電子メールで整理できます。 なんて便利で安い！



はい、これは中小企業に受け入れられます。 飛行機の例に戻ります。 ダッシュボードからすべてのインジケーターをメンタル的に削除（または名前を消去）し、エラーメッセージをSMSと電子メールでパイロットに送信します。パイロットは、ポケットに携帯電話を突っ込んで、着信文字を整理するのにどれほど早く疲れますか？



SIEMシステムには、コンポーネントの動作を自己診断および監視する機能があります。 これらはあちこちに散らばる「バッチファイル」ではなく、その整合性とパフォーマンスを制御するのは非常に困難です。 異なるシナリオを使用する場合、コンテンツのなりすましや暗号化されていない形式の管理アカウントの表示から身を守ることは事実上不可能です。 SIEMとは異なり、イベントの継続的な収集、コンポーネントの動作の失敗、システム機能へのアクセスなどについて報告する包括的なシステムです。

重要な資産だけでなく保護

たとえば、ビジネスアプリケーションやデータベースなど、重要な（あなたの意見では）資産を保護しているとします。 すべてがうまくいき、私たちの能力を最大限に活用してお金が費やされ、ワー​​クステーション用のSISとモバイルユーザー用の2要素認証の欠如を節約しました。 ユーザーはグループポリシーによって「ピンチ」されます。 彼らはただ、フィールドの真ん中にロックが立っているドアが絶対に無効であることを考慮しませんでした。 攻撃者は、保護されていないワークステーションまたはモバイルデバイスからユーザーおよび管理アカウントを取得し、スーパー保護されたデータベースへの完全に正当なリクエストにより、可能なすべてを「引き出し」ます。 破壊的な行動は昔から時代遅れでした。 ニュースからの情報漏洩について学びます。驚いたことに、すべてのサーバーが確実に保護されました。 これは典型的なAPT攻撃の例です。 実行中のプロセス、OSの新しいライブラリ、新しいサービス、開いているポートと接続、特権の昇格-これらはすべて、あなたの意見では重要な資産ではなかったワークステーションのイベントログで確認できます...



保護は包括的なものでなければなりません。 これの証拠はBit9とRSAの事件であり、何らかの理由で彼らが開発した保護を自分のワークステーションに置かなかった。

視聴回数

セキュリティツールは通常、署名ベースです。つまり、既知の脅威（ウイルス、ネットワーク攻撃、DLPの辞書など）の分析に基づいて作成されます。 数百万のイベントと指標、およびベースライン分析に基づいて、複雑な相関アルゴリズム（RBR相関について- ブログの記事を参照してください-ここでの質問はありません）を使用するだけで、新しい脅威を識別できます。 人間の脳は、このような大量のデータを常に包括的に分析できるとは限りません。 ただし、SIEMシステムでの表現の抽象化は、オペレーターによる脅威のタイムリーな検出に貢献します。 システムはすべての予備計算を行い、インジケータを表示します。 たとえば、ベースラインの分析に基づいて、システムは新しいDynDNSトラフィックを少なくとも報告し、ドメイン管理者に代わってさまざまな資産からのログイン試行が10回失敗したことを示します。 通常、システムはトロイの木馬またはブルートフォースを報告できます（相関ルールの構成と特定のシステムの機能に応じて）。 より複雑な相関アルゴリズムを使用すると、インシデントの原因を見つけることができます（たとえば、ユーザーに接続しているモデムを特定し、トロイの木馬とブルートフォースに感染した）。 何百万ものテキストイベントに基づいて、このような分析を独立して実行する余裕はありません。 視覚化パネルを構成する機能は、個々の従業員と、SOC（セキュリティオペレーションセンター）の運用、およびITおよび技術サポート部門の両方に役立ちます。

コンプライアンス

多くの地域、国際、国内、および業界標準には、ジャーナルの管理を組織化するための要件が​​あります。 すべてのSIEMシステムには、国際標準を満たすテンプレートがあり、独自のテンプレートを追加して、イベントの収集と保存に関するコンプライアンスレポートを生成する機能があります。 自家製のシステムの場合、レポートや監査人向けのインターフェースの形式でそのようなテンプレートを作成するには、かなりのリソースを費やす必要があります。

アクセント

インシデントに対する不適切な対応は 、不正な信号機の動作に匹敵します。 ISおよびIT部門は、ビジネスプロセスを確保するという主要なタスクを解決できません。 SIEMには、インシデント登録プロセスを編成するために最低限必要なツールがあり（またはサポートサービスと統合する機能があります）、インシデント解決の制御とナレッジベースの蓄積に役立ちます。 SIEMには、ビジネスプロセス、資産の価値、脅威の危険性への影響に応じて、インシデントを統合および優先順位付けする機能があります。 一部のシステムでは、リスク管理システムとの統合が可能です。



SIEMは、IS部門が対応する時間がないだけの多数のインシデントを生成するという誤解があります。 SIEMはすぐに使えるソリューションではなく、DLPシステムの場合のように、適切な実装、イベントソースとの統合、アクティブなルールセットと相関アルゴリズムへの個別のアプローチが必要であることを理解する必要があります。 柔軟な例外システムと正しいSIEM構成により、重要なイベントにのみ重点を置くことが保証されます-フラッディングはありません。

イベントを共有する

SIEMは情報セキュリティのためだけのシステムではありません。 オペレーティングシステム、ネットワーク機器、ソフトウェアのエラーと障害-IT部門のスタッフは、すべての情報をSIEMから取得できます。 IT部門は、ユーザーの電話ではなく、事前に（特にISインシデントのようにITインシデントを防止できるため）インシデントについても知りたいと考えています。



SIEMは雑誌管理プロセスの非常に単純なソリューションではありません。また、中小企業での実装は非常に高価です。 その運用には、イベント収集の継続性を制御し、相関ルールを管理し、新しい脅威の出現に合わせてインフラストラクチャの変更に応じてそれらを調整および更新する有資格の従業員が少なくとも1人必要です。 SIEMを「ブラックボックス」として設定し、適切な監視と制御を行わずに事前定義されたすべての相関ルールを有効にすると、予算が無駄になります。



実装が成功すると、次のものを受け取ります。

• ITおよび情報セキュリティイベントとプロセスがビジネスに与える影響の相関と評価。
• インフラストラクチャの状況をリアルタイムで分析するSOC。
• 脅威と異常を検出するプロセスの自動化。
• インシデント登録および制御プロセスの自動化。
• コンプライアンス、管理、報告のポリシーと基準の監査。
• ビジネスプロセスに対する脅威の影響に応じて優先順位付けを行い、新たなISおよびITの脅威に対する正しい対応を文書化した。
• ずっと前に発生したものを含むインシデントと異常を調査する可能性。
• 訴訟の証拠ベース。
• レポートと指標（KPI、ROI、イベント管理、脆弱性管理）。

SIEMがビジネスの継続性の確保、効率の向上、問題やインシデントの解決にどのように役立つかについて、ほんのいくつかの例を挙げました。 それでも、自動化、反応（シナリオ）、インシデントの防止、およびそれらの調査について多くを書くことができます。 これについては、次の出版物で説明します。 それとは別に、SIEMを使用してビジネスへのITおよび情報セキュリティイベントの影響を追跡する方法の多くを心配する非常に重要なポイントを検討します。



じゃあね！ 質問やコメントを待っています。



ポジティブリサーチセンター、オレシアシェレストバ