21.08.2020 | Как отличить качественную SIEM-систему: группа компаний Angara о работе с MaxPatrol SIEM | ||||||||
Группа компаний Angara представлена системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance и оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение систем ИТ и ИБ клиентов, а также предлагает сервисы по обеспечению информационной безопасности по модели подписки. Мы работаем с организациями всех отраслей, в том числе компаниями из финансового сектора, телекоммуникаций, медиа, легкой промышленности, здравоохранения. Наш отдел систем мониторинга и реагирования (ОСМР) группы компаний Angara отвечает за реализацию проектов по внедрению и развитию решений класса SIEM, SGRC, IRP/SOAR, Threat Intelligence & Security Feeds и Security Intelligence, активно участвует в жизни российского и международного сообществ ИБ ( OSCD — organization member), осуществляет вклад в развитие открытых репозиториев со Сценариями детектирования угроз ( Sigma (@zinint)), публикует работы на открытых тематических ресурсах ( habr (@ANosarev)) и помогает в переводе работ зарубежных авторов на русский язык ( habr (@zinint)). Все это мы делаем с целью предоставления современных экспертных решений, чтобы решать следующие задачи наших заказчиков:
ОСМР участвует во всех перечисленных задачах на всем жизненном цикле решений. Мы проектируем внедрение решений, занимаемся пусконаладочными работами, оформлением документации, проектной сдачей в эксплуатацию, принятием продукта на сопровождение, техническим сопровождением первой и второй линий поддержки. Кроме того, мы развиваем внутренние ресурсы системы: корреляционные правила, отчеты, дашборды — по желанию клиентов и по собственной инициативе. У нас есть ряд собственных методик по разработке — отчасти мы проектируем эту методику и развиваем ее совместно с нашим коммерческим SOC (security operation center, центр реагирования на киберугрозы), взаимодействуя с ним по направлению Blue Team (защиты). ***О работе отдела систем мониторинга и реагирования
*** По какому принципу выбирать SIEMВ портфеле группы компаний Angara есть все представленные на российском рынке решения класса SIEM, но мы видим, как эти системы стали разительно отличаться между собой по качеству сопровождения. Пять лет назад при выборе SIEM-системы компании зачастую ориентировались на тактико-технические характеристики программно-аппаратных комплексов или виртуальных машин, необходимых для запуска решения и сдачи его в эксплуатацию. Важную роль тогда играл список функциональных возможностей, а точнее, их количество, но без погружения в их содержание и качество реализации. Сегодня при выборе SIEM-системы фокус внимания сдвинулся в сторону потребностей в контенте, под которым мы понимаем экспертизу, а именно в сторону качества и объема наполнения внутренних ресурсов системы — правил корреляции, отчетов, дашбордов — и, самое главное, поддержки всех этих механизмов. Можно заметить это на примере развития экспертизы в MaxPatrol SIEM . Количество правил корреляции из коробки с 2015 года выросло с 120 до 390 (рис. 1).
Рисунок 1. Развитие экспертизы в MaxPatrol SIEM
Казалось бы, если есть service desk, что может быть сложного в подобных системах? Но сопровождение бывает разного качества и с разной скоростью реагирования, и Positive Technologies в этом аспекте заметно отличается от зарубежных вендоров — предоставляет качественную поддержку и удобный service desk. Меня поражает скорость ответа на запросы, вне зависимости от уровня их важности. Учитывая, что я сам управляю второй и третьей линиями поддержки, я представляю, какой объем работы был проделан: скорость реакции выросла на глазах, даже по инцидентам с невысоким уровнем значимости.
Таким образом, два важных аспекта при выборе SIEM-систем сегодня — это качественные реализация наполнения системы (с рекомендациями по подключению источников, экспертизой по обнаружению угроз, материалами по созданию отчетов и анализу информации с дашбордов и др.) и техническая поддержка вендора. От требований регуляторов к ключевой роли в задачах SOCС 2015 года также сильно выросла стабильность MaxPatrol SIEM и предсказуемость взаимодействия ее компонентов. Теперь мы видим переход продукта на новую стадию зрелости в части внедрения и технического сопровождения. Во-первых, в MaxPatrol SIEM лучше прописаны требования и процедуры внедрения, рекомендации по работе с ошибками. Во-вторых, отмечу повышение качества документации, которая предоставляется вместе с решением. Это позволяет более эффективно и быстро работать с системой, в том числе не тратить время партнеров и клиентов на вопросы вендору. Если раньше продукт часто использовали для закрытия регуляторных требований либо в связи с необходимостью импортозамещения, то сейчас появляются отзывы, где MaxPatrol SIEM выбирают просто как единственно подходящий продукт для решения реальных практических задач, с которыми он успешно справляется, стабильно работая с большими объемами данных. Размеры некоторых инсталляций в наших проектах доходят до 30 тысяч событий в секунду. С 2015 года производительность системы в EPS (events per second — число обрабатываемых событий в секунду) на одной инсталляции выросла с 3 тыс. до 40 тыс. (рис. 2).
Рисунок 2. Как росла скорость работы MaxPatrol SIEM
Российская SIEM-система в сравнении с зарубежной
По функциональному наполнению MaxPatrol SIEM не уступает, а в чем-то и опережает большинство западных решений. Объясню свою точку зрения. Например, такого понятия, как инвентаризация активов из коробки в зарубежных решениях не встречается. Обычно это лицензированный модуль либо возможности, которые необходимо выполнять другим средством защиты, будь то сканер или ручные средства (скрипты).
Если говорить о качестве наполнения контента, то MaxPatrol SIEM, по моим оценкам, можно поставить в топ ведущих международных решений — благодаря последним изменениям и уровню проработки экспертизы. Пользователи MaxPatrol SIEM ежемесячно получают свежие пакеты экспертизы, которые сопровождают общие рекомендации по реагированию — их дают далеко не все вендоры. В отдельных, экстренных случаях пакеты выходят даже вне графика: например, во время глобальных атак с использованием шифровальщиков и перехода компаний на удаленную работу[1]. У иностранных вендоров практика наполнения продукта контентом была внедрена давно, но в виде различных маркетплейсов и комьюнити, в которых предлагались готовые сценарии. Сейчас MaxPatrol SIEM эти продукты обгоняет, особенно с точки зрения российских пользователей, в том числе за счет поддержки отечественных источников событий, например 1С и решений «Лаборатории Касперского», тогда как западные решения вынуждают клиентов дорабатывать продукт в этом аспекте.
Компании стабильно интересуются у нас пакетами экспертизы Positive Technologies, они обращаются к нам с просьбой их адаптировать под свою инфраструктуру — например, настроить работу с ложноположительными срабатываниями. Как партнер мы вносим свой вклад в общее дело и адаптируем их для систем конкретной компании. Один из последних примеров — уже упомянутый мной своевременный выпуск пакета , связанного с выявлением сетевых аномалий при удаленной работе. Мы дополнили его исключениями, белыми и черными списками.
Но перед тем, как реагировать, надо подключить источники и понять, как их использовать. Тут есть как стандартные сценарии, так и весьма необычные. Расскажу об этом подробнее. Источники мониторинга и сценарии использования SIEM
Если говорить об источниках подключения, то один из самых стандартных из них — это инфраструктура Microsoft Windows. Далее идут почтовые серверы (Microsoft или других вендоров), периметровые прокси-серверы, обеспечивающие работу с интернетом. Следом — сетевое оборудование, которое находится на периметре демилитаризованных зон (внутренние межсетевые экраны). Но на практике приходится подключать и необычные источники. Например, однажды это был межсетевой экран военной разработки — отечественный продукт, который не был в изначальном списке поддерживаемых источников. Для подключения этого решения мы потратили немало времени, но в итоге справились. О необычных сценариях работы с SIEM из нашей практики
Пример 1. SIEM для стандартизации процесса DevOps
Пример 2. SIEM для обнаружения фишинга, пропущенного другими средствами защиты
Нельзя исключать и сценарии использования SIEM, которые стали актуальными в период самоизоляции и повсеместной удаленной работы. Мы разработали ряд дашбордов, которые в том числе позволяют рассчитать количество проведенного времени сотрудника на работе. Конечно, это не близко к тематике ИБ, но интересно для бизнеса.
Дистанция или близость с вендором
Когда вендор дистанцируется от пользователей и отдает все общение с клиентами на откуп партнеру, клиенты чувствуют себя отстраненными от общей динамики развития продукта, в таком случае потребности конечного клиента вряд ли будут услышаны разработчиком. Positive Technologies ведет диалог с пользователями и партнерами в формате мероприятий, таких как дни открытых дверей, форум PHDays , вебинары , посвященные конкретным задачам использования SIEM-систем, чат пользователей MaxPatrol SIEM в Telegram. Пользователям нужно иметь возможность делиться впечатлениями от работы с продуктом, задавать вопросы, знакомиться с рекомендациями и интересными кейсами коллег. Отмечу и ненавязчивую интенсивность, с которой менеджеры вендора интересуются, все ли у нас в порядке. Чувствуется, что о тебе помнят, это очень важно :)
Как будут развиваться системы SIEM
Мы видим, как массовый переход компаний на удаленную работу повлиял на подходы к мониторингу инцидентов. Сейчас службы ИБ делают основной упор на контроль удаленных сессий, тех же VPN и RDS, хотя это все контролировалось и раньше. Возрос также интерес к различным консультациям, purple teaming (смешение экспертизы blue team (защита) и red team (тестирование защищенности, пентесты), к повышению осведомленности пользователей в вопросах ИБ в связи с активностью фишинговых кампаний, использующих тему коронавируса.
В скором времени мы ожидаем, что на помощь SIEM-систем придут решения EDR (endpoint detection and response — системы обнаружения угроз на конечных точках), так как все больше киберпреступников стали использовать техники living off the land — когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Выявлять подобные техники встроенными средствами журналирования возможно, но обычно в SIEM это становится очень «шумной» практикой с множеством ложноположительных срабатываний. Для этого нужен штат аналитиков, который есть далеко не в каждой компании.
К слову, обнаружение техник living off the land уже присутствует в пакетах экспертизы Positive Technologies и дополнено методиками наших пентестеров: в частности, по детектированию случаев использования штатных средств операционной системы для горизонтального масштабирования внутри сети (стандартных или иногда даже обфусцированных в статическом виде команд PoweSshell, PsExec, WMI и т. д.). Большая часть полезной нагрузки, которая «прилетает» с фишинга, в первую очередь начинает измерять периметр в рамках домена коллизий [2] , в котором она оказалась. Мы данные угрозы выявляем, и это очень популярный запрос среди клиентов группы компаний Angara.
В завершение отмечу, что без SIEM-систем уже невозможно выявлять инциденты — такой большой объем событий генерится сегодня. Число инцидентов быстро растет, что связано, на мой взгляд, с увеличением общедоступных средств проведения атак. На том же GitHub или других общедоступных площадках человек, обладающий минимальным техническим бэкграундом, может найти вредоносное вложение и начать его рассылать, не говоря уже о malware-as-a-service. Чем проще становится злоумышленникам атаковать компании, тем умнее должны становиться SIEM-системы. Поэтому вендоры SIEM будут активно повышать качество внутреннего контента, пополнять экспертизу и улучшать реализацию правил выявления злонамеренной активности.
[1] В период самоизоляции Positive Technologies добавили в продукт правила по выявлению аномалий при удаленном доступе, организованном с помощью OpenVPN, RDG, межсетевых экранов Cisco ASA, Check Point и Palo Alto Networks. [2] Домен коллизий (collision domain) — часть сети Ethernet, все узлы которой конкурируют за общую разделяемую среду передачи, и, следовательно, каждый узел которой может создать коллизию с любым другим узлом этой части сети. |
Проверить безопасность сайта