Журнал "Information Security/ Информационная безопасность" #4, 2024

Например, наш SIEM Alertix 1 в допол- нение к классическим возможностям класса решений для построения мони- торинга ИБ в организациях предостав- ляет комплекс инструментов, таких как управление инцидентами, пове- денческая аналитика, элементы TIP, средства совместной работы для ана- литиков и ряд других модулей. Плат- форма собирает и обрабатывает дан- ные из различных источников, авто- матизирует выявление и учет инци- дентов ИБ, обеспечивает поддержку процессов расследования инцидентов и принятия решений о реагировании на них. Доступны также: изменение модели данных, подключение внешних хранилищ, корреляция без нормали- зации и другие уникальные возмож- ности. Несмотря на богатый функцио- нал, мы поддерживаем десятки встроенных интеграций с наиболее популярными решениями классов IRP, SOAR, TIP, VM, ITAM, BI, UEBA, кото- рые позволяют заказчику легко выхо- дить за рамки возможностей нашей платформы, если этого требуют стоя- щие перед ним задачи. Использование решений, обладаю- щих набором дополнительных моду- лей, дает заказчикам преимущество в виде более плотной интеграции – не надо преодолевать сложности внед- рения отдельных инструментов. Это более простой, с точки зрения реали- зации, проект по привлекательной стоимости на старте. Но все не так однозначно. Когда дополнительных модулей становится недостаточно Основной минус SIEM-систем, вклю- чающих множество дополнительных инструментов, это привносимые с каж- дым модулем сложность, архитектур- ные и лицензионные ограничения, которые становятся несовместимыми с потребностями клиентов. Кроме того, часто вендор предлагает дополнитель- ные модули к основному продукту, но их функциональность, как правило, отстает от возможностей фокусных решений. А если нужно приобрести только один модуль, то приходится покупать и ядро (базовый продукт). Заменить потом такую систему очень сложно, ее трудно масштабировать, так как возрастающая на ядро нагруз- ка зависит от очень большого количе- ства факторов. От модуля к платформе на при- мере поведенческой аналитики Несмотря на то, что вендоры закла- дывают в SIEM-решения набор правил выявления инцидентов, от специали- стов ИБ все равно требуется посто- янная проработка этих правил. В ИТ- инфраструктуре и во внешнем окру- жении постоянно происходят измене- ния – правила становятся неактуаль- ными, их надо обновлять. UEBA позволяет не тратить время и ресурсы на создание конкретных инструкций для поиска файлов, ката- логов и т.д., а вместо прямых призна- ков учитывать набор косвенных, обна- руживаемых с помощью поведенче- ской аналитики. Имея в арсенале SIEM с функциями UEBA, ИБ-специалист может указывать только интересую- щие его аспекты, а также степень критичности для отклонений от нор- мального поведения по каждому из них. Так, модуль поведенческого ана- лиза в Alertix дает возможность отсле- живать около 50 типов аномалий, свя- занных с сетевым трафиком и пользо- вательской активностью. Инструмент обнаруживает аномалии, которые могут указывать на потенциальные угрозы, даже если они еще неизвестны специалистам по информационной безопасности. Кроме того, фактор аномальности, обозначенный UEBA, можно исполь- зовать как контекст для снижения доли ложноположительных срабаты- ваний правил SIEM. Получается, что усиленное интегри- рованное решение ищет конкретные, уже известные вредоносные сущности с помощью SIEM, а UEBA позволяет находить угрозы и методы, которые еще неизвестны либо претерпели изменения. Благодаря этим преиму- ществам поведенческий анализ уже прочно вошел в арсенал средств защи- ты, а модули UEBA можно встретить во многих классах решений. Как пра- вило, они предоставляют ограничен- ный набор профилей, подготовленных для узкого набора данных. Если биз- несу нужны средства поведенческого анализа с большей самостоятель- ностью и возможностями кастомиза- ции, чем UEBA-модули используемых СЗИ, то стоит обратить внимание на платформенные решения. Платформы имеют высокую авто- номность отдельных компонентов на архитектурном уровне и промежуточ- ное программное обеспечение (middleware). Они дают возможность подключения внешних баз данных (даже собственных баз заказчиков) и других решений, предоставляя уни- версальный интерфейс для взаимо- действия. Слой приема информации и последующего хранения В каждой SIEM и UEBA существует слой приема информации и после- дующего хранения. Неважно, как орга- низован процесс обработки данных, их необходимо собрать и сохранить, а также можно распарсить, обогатить и нормализовать. С ними предстоит работать и после: искать (вручную или автоматизировано), визуализировать, составлять отчеты и т.д. Для хранения информации используются различные системы управления базами данных, каждая из которых имеет свои осо- бенности, поэтому выбор конкретной СУБД для продукта определяет как возможности, так и ограничения. 32 • СПЕЦПРОЕКТ От NG SIEM к платформам истемы SIEM являются одним из инструментов в центрах мони- торинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорого- стоящей и сложной задачей. Как и многие другие классы реше- ний, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно. С Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab Фото: NGR Softlab 1 https://www.ngrsoftlab.ru/alertix