Управление логами - фундамент любой SIEM, в котором часто зияют прорехи

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(2)
()
Уже совсем скоро пройдет конференция ЦБИ "Мониторинг ИБ: проблемы построения и эксплуатации", на которой я буду вести секцию про полноту и "доступность" источников информации, которые подключаются к SIEM, а потом на их основе работает SOC и принимаются решения о наличии или отсутствии угроз. По сути именно от того, насколько выстроена работа с источниками зависит эффективность всей системы кибербезопасности.

Давайте вспомним вот эту иллюстрацию двухнедельной давности:


В ней атомарным элементом считаются логи. Все логи сразу. Многие компании, да и производители SIEM, могут сказать, что уже они то выстроили достаточно зрелый, может быть даже на пятом уровне, процесс управления логами. И в принципе, не сильно задумываясь, мы можем с ними согласиться, так как о том, как работать с логами, как одним из источников информации ИБ, говорят уже много лет и даже десятилетий. Первые хостовые IDS, появившиеся в начале 80-х годов, как раз опирались в своей работе на данные из журналов регистрации. Можно предположить, что уж с логами-то за почти 40 лет у нас научились работать. Но история умеет преподносить сюрпризы. Вот так выглядит слайд из вчерашней презентации Антона Чувакина из Gartner, который рассказывал про технологию пользовательской поведенческой аналитики (UEBA):


Обратите внимания на первый пункт в списке основных проблем при внедрении и использовании UEBA - сбор данных, их доступность и качество. И это спустя 40 лет после появления первых хостовых IDS и 20 лет после появления первых SIEM. А ведь SIEM, которые в принципе должны уметь работать с источниками данных, потом отдают информацию в UEBA, а также иные системы аналитики ИБ.


Но если источники данных плохие, то и все принятые на их основе решения тоже можно поставить под сомнение. В "лучшем" случае мы просто будем пропускать атаки и инциденты, а в худшем - пойдем по неверному пути, принимая неверные решения, тратя ресурсы не на то.

Какие проблемы можно выделить при работе с источниками информации? Их немало:
  • Множество источников. Это примерно как с DLP, которые вроде и борются с утечками, но когда начинаешь копать, то оказывается, что 2/3 коммуникационных каналов в вашей компании они вообще не отслеживают.
  • Противоречивость данных. Например, в одном источнике у вас указан IP-адрес, но нет, допустим, имени пользователя, а в другом наоборот - имя пользователя есть, а IP-адреса нет. И как связать такие данные между собой? А вот еще простой пример. В одном логе у вас время события записано в формате DD-MMM-YYYY, а в другом - MMDDYYYY. Хорошо, если система управления логами, приводит все к единому формату, а если нет?
  • Противоречивость временных меток. Ну тут все понятно и дело даже не в разных часовых поясах, в которых могли происходить события, а в отсутствии системы синхронизации, что может привести, например, к ситуации, когда в SIEM числится, что события А произошло после события Б через 66 секунд, а на самом деле оно произошло до - на 15 секунд.
  • Множество разных форматов. XML, JSON, syslog, CSV (с разделениями табуляцией или запятыми), SNMP, REST, базы данных и др.
  • Незащищенность логов. Кто мешает злоумышленнику удалить какие-то записи из источника информации или, что еще хуже, подменить их, создавая и поддерживая ложное чувство защищенности? А что с доступностью источников информации?
  • Способы доступа к источникам информации. Часто в описании SIEM/LM написано, что они поддерживают потоковые данные из syslog (а Netflow как, кстати?) и удаленный доступ к логам через API и удаленный доступ. А что с агентами? Некоторые данные без агентов не вытащить и не проанализировать.
  • Неструктурированные данные. Правда, это не совсем задача SIEM или LM, но без них сегодня сложно проводить серьезную аналитику и принимать решения и поэтому стоит задуматься об этой теме заранее.
  • Отсутствие стандартов или отказ от поддержки вендорами уже существующих стандартов. RDEP, CEE, SDEE, IODEF, RID, SecDEF... Их поддерживают средства защиты или системы анализа?

Разумеется, все эти проблемы могут быть решены, но об этом все-таки лучше поинтересоваться у производителя SIEM/UEBA/NTA/IDS и других ИБ-решений. Ну а если вы пишете систему защиты/аналитики сами, то просто подумайте, как вы будете решать эти проблемы? Вот именно этим вопросам и будет посвящена секция на конференции ЦБИ, которую я модерирую. Выступать в ней будут представители:

  • ЦБИ, которые недавно выпустили свою SIEM Neurodat,
  • НТЦ Вулкан, которые активно развивают направление SIEM в своих проектах,
  • Infowatch
  • Код безопасности
  • РТ-Информ
  • R-Vision
и их ждут непростые вопросы от меня :-)
Оцените материал:
Total votes: 77
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Алексей, добрый день!

Хорошая статья (на мой взгляд) - честная. Все точно и как в жизни, все печально и наши "хотелки" реально не учитывают текущую модель экономики:-(((

Только вывода нет - есть ли сейчас время этим всем очень глубоко заниматься и тратить на это ресурсы?

1. Ты же понимаешь, что это интересно только огромным компаниям (толстосумам, которые деньги на "мелкие" проекты не считают - но их круг резко сужается)!?

2. Заявленная тема - это чисто Ит-ные дела (обработка логов, актуальность, доступность и полнота передставления данныъ) - с какого бока рассматривать ее со специалистами по безопасности?...Если только как описание требований по значимым данным - но тогда аудитория не совсем для этого(((?.... непонятно.

Но главные вопросы у меня: 

-  Быть вежущим по подобным вопросам для тебя - это зачем? Кроме PR....

-  Ты с какой позиции там подходишь : специалиста по ИТ или по ИБ? Почему спросил - проблемные вопросы вскрывают "боли" ИБ, а существующие и предполагаемые решения с этим мало связаны и отображают лишь взгляд ИТ на эти проблемы......((((

up
1 user has voted.
Аватар пользователя alukatsk

 

Управление источниками информации - это основа. Независимо от размера компании. И собранные из источников события могут быть интересны и ИТ и ИБ, но для разных задач и целей.

Быть ведущим интересно :-) И новые кейсы услышишь, и аудитории чаяния поймешь, и спикеров можно "потроллить" (учить их правильно выступать), ну и еще по мелочи.

Я там как независимый эксперт :-)

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.