Многие представители служб информационной безопасности (ИБ) до последних лет считали, что в этой сфере на технологическом уровне мало что меняется со временем. По крайней мере, с начала этого века радикальных новаций наподобие появления в 1977 году криптосистем с открытым ключом особенно-то и не было. Но это обманчивое впечатление, особенно если дело касается такого высокотехнологичного сегмента, как SOC/SIEM.

Дело в том, что именно при создании и эксплуатации этих систем четко стал проявляться факт: ИБ — это не вещь в себе, не просто крайне дорогостоящий компонент корпоративного IT-ландшафта, а неотъемлемая часть практически всех бизнес-процессов финансовой организации. Поэтому бизнес начал оценивать вклад ИБ не по абстрактным показателям, а по привычным для него бизнес-метрикам. И вот тогда выяснилось, что ИБ далеко не такой консервативный сегмент, как казалось. Мало того, ИБ может стать одним из центров построения фундамента финансовой инфраструктуры, характерной для «экономики 4.0». Для этого есть все предпосылки. Так как же выглядит в этом контексте эволюция SOC/SIEM с точки зрения и бизнеса, и ИБ?

Все началось с «боли»

В 2018 году, по данным компании Positive Technologies (PT), с которыми в то время в целом соглашалось большинство экспертов, «оаботающих SIEM-систем в эксплуатации было не более 10–20% общего количества. Все остальные не работают, и неважно, какой вендор. Главная причина — нет квалифицированных кадров». Этот факт был приведен в статье «SIEM с автопилотом: какая связь между гастритом и системой выявления инцидентов».

Каждое слово в ней находится на своем месте, а заголовок очень точно описывает «боль» безопасников, напоминающую ощущения от хронического гастрита, при работе с SIEM и взаимоотношениях с бизнесом. Как радикальное решение проблемы эксперты PT предлагали наделить соответствующей экспертизой само решение, минимизировав тем самым человеческий фактор. В 2021 году этого предложения, как представляется, уже недостаточно. Причем оппонентом выступает бизнес, который хочет переиспользовать ИБ-функционал системы в других IT-решениях длч сокращения стоимости владения инфраструктурой в целом.

Почему он этого хочет? Ответ можно найти в этой же публикации: «Мы вспомнили идею, с которой все началось: сделать платформу, которая могла бы собирать информацию из множества источников и делать некую виртуальную копию инфраструктуры».

В современных терминах речь идет о появлении цифрового двойника организации, благодаря которому бизнес становится прозрачным для аудита, моделирования и тонкой настройки бизнес-процессов в режиме реального времени не только в ИБ-сегменте, но и в целом по компании. Как тогда казалось, нужно лишь запустить полноценный механизм Asset Management — систему, которая автоматически проводила бы инвентаризацию оборудования и ПО, выявляя при этом связи между ними и локализуя источники рисков ИБ.

Эта идея, надо признать, здравая. Практически все сложные решения в области информационной безопасности сегодня проектируются с учетом требований Asset Management, что не может не радовать бизнес. Однако есть одно «но» — все тот же человеческий фактор. Сергей Добриднюк, преподаватель Финансового университета при Правительстве РФ, в своем блоге на Facebook в ярких красках описал опыты по внедрению прототипов подобных систем еще во времена СССР. Ради достижения плана или KPI сотрудники порой способны на такое, что ни один искусственный интеллект не сможет осмыслить. Отсюда — искажения в моделях, отсюда и запрос на технологические инновации.

Эти исторические факты и достижения в смежных с SIEM секторах некоторым практикам рынка дают в итоге основания заявлять, что изменения в ИБ на самом деле происходят, а бизнесу порой вовсе не нужны решения, которые отвечают исключительно на вопрос о количестве событий, инцидентов, источников фидов и т.д. С этими показателями полный порядок! А риски как были, так и остались. Так, в декабре 2020 года в рамках SOC Forum live 2020 на «АнтиПленарке 2:0» Дмитрий Гадарь, CISO Тинькофф Банка, заявил: «ИБ в банке должна стартовать с оценки рисков и оценки необходимого набора действий по управлению этими рисками. В связи с этим ИБ — это не вещь в себе, а бизнес-ориентированное подразделение. Поэтому нет ничего печальнее того, когда ИБ строится на базе технологий, которые не имеют ничего общего со снижением рисков. Важно ориентироваться на то, что SOC, включая SIEM, как технология, по сути, не является обязательным компонентом контура ИБ».

Есть нюансы

А что же тогда является обязательным элементом в связке SOC/SIEM? Для ответа на этот вопрос необходимо вернуться лет на 15 назад и привести соответствующие тому времени определения рассматриваемых систем:

• SIEM (Security information and event management) это объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности;
• SOC (Центр мониторинга информационной безопасности, Security Operations Center) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки. Информационным ядром обычно выступает SIEM.

Как видно из классических определений, мозговым центром и основным узлом реагирования на киберинциденты в банке (и не только) выступает SOC. Делает он это на основе информации, собираемой отовсюду с помощью SIEM. Последняя родилась из ПО для сбора служебной информации (логов), поступающей от оборудования и программного обеспечения. Собранные данные подвергались корреляционному анализу в целях выявления из разрозненных и внешне не связанных между собой событий цепочек действий, повлекших ИБ-инцидент.

Зачастую корреляционный анализ строился на базе  матрицы MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge). В ИБ бизнес MITRE известен благодаря списку CVE (Common Vulnerabilities and Exposures), представляющему собой базу данных уязвимостей, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, где структурируют и хранят данные по багам в ПО. CVE — не единственный проект MITRE, связанный с защитой информации. Существует и активно развивается масса направлений. Накопленная методологическая база привела к тому, что стала изменяться сама парадигма создания ИБ-решений: все чаще в ход идут OpenSource-компоненты. Консалтинговые компании, используя методологию MITRE, собирают из OpenSource-пазлов решения с необходимым функционалом, синхронизирующиеся с матрицей при помощи API.

Дешево и сердито! Но есть нюансы. MITRE — некоммерческая организация, которая работает в США. Никто не скрывает ее связи с американскими спецслужбами, что после событий 2014 года накладывает некоторые ограничения на работу с ней из России. ФСТЭК как один из регуляторов отечественного рынка ИБ, осознавая проблему, 5 февраля 2021 года выпустила методологическое пособие по оценке угроз безопасности информации. Работа началась!

Что в итоге по теме матрицы MITRE? ИБ-сообщество приняло эту модель, более того, многие начали ее активно использовать на практике. Что касается вендоров SIEM: поскольку банки научились сами писать ПО и активно используют Open Source, на наших глазах начинает качественно меняться расклад на этом рынке. «Б.О» планирует более подробно погрузиться в тематику MITRE ATT&CK и успехов ФСТЭК в имортозамещении, поэтому пока ограничимся сказанным.

Без триады и тут не обошлось

Возвращаясь к эволюции SOC/SIEM-систем, отметим, что сбора логов для анализа стало мало — IT-ландшафт усложняется. Аналитики Gartner в качестве источников данных для SOC в 2019 году уже выделяли триаду систем: SIEM, Network Traffic Analysis (NTA), Endpoint Detection and Response (EDR). Многие эксперты дополняли эту триаду элементом User and Entity Behavior Analytics (UEBA).

• NTA предназначены для перехвата и анализа сетевого трафика, а также для обнаружения сложных и целевых атак (APT). С их помощью можно проводить ретроспективное изучение сетевых событий, обнаруживать и расследовать действия злоумышленников, реагировать на инциденты. Подробный анализ отечественного рынка этих систем можно найти на портале Anti-Malware.
• EDR — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы, поскольку эти две технологии решают разные задачи. EDR позволяют ИБ-специалистам выполнять проактивный поиск угроз (Threat Hunting), анализируя нетипичное поведение и подозрительную активность.
• UEBA — решения, делающие упор на анализе поведения. Как следует из анализа рынка порталом TAdviser, разные игроки пытаются заострить внимание не только на объектах анализа, то есть соответственно на пользователях (User) или сущностях (Entity), но и на целях. Так, консультанты из Forrester называют класс решений по поведенческому анализу SUBA (Security User Behavior Analytics), фокусируясь на обеспечении безопасности. Exabeam и Microsoft используют такие термины, как Advanced Analytics или Advanced Threat Analytics. В настоящее время тенденции в сфере безопасности сводятся к фокусировке внимания на человеке и его поведении, так как именно человек является основным источником рисков, угроз, нарушений и инцидентов (UBA).

Классические источники данных для SOC

Источник: Habr.ru, 2019 год

На рисунке представлена структура ядра SOC, которая сложилась примерно к началу пандемии COVID-19. Его особенностью стала новая модель интеграции SIEM с дополнительными компонентами. SIEM-системы, кроме того, начали «заползать» на поле других продуктов, вбирая в себя ранее несвойственный им функционал. Но проявилась и иная тенденция: NTA и т.д. сами пошли в бой и обзавелись собственными мини-SIEM, превращая «поле боя» в очередное «лоскутное одеяло».

Отдельного внимания заслуживает появление на рисунке аббревиатуры Cloud Access Security Broker — брокер безопасного доступа в облако (CASB). Облака постепенно становятся преобладающей частью инфраструктуры компаний, количество облачных потребителей в ближайшие годы значительно увеличится, поэтому придется уделять пристальное внимание вопросам обеспечения безопасности доступа в облака и защиты данных, хранящихся в них. Да и сами SOC/SIEM стали уходить в облака.

Какие еще могут быть альтернативы построения SIEM? Об этом в ходе SOC Forum live 2020 рассказал Алексей Лукацкий, эксперт в области ИБ: «Помимо двух очевидных вариантов (собственного и аутсорсингового центров мониторинга) я рассматриваю еще два, встречающиеся в тех случаях, когда у заказчика есть инструменты, но нет людей или, наоборот, есть люди, но нет инструментов для мониторинга. В этих вариантах можно использовать варианты Managed SIEM (кто-то управляет вашим, когда-то купленным, SIEM) и облачные SIEM, или SOC-платформу. Первый из них в России не представлен (хотя на Западе популярен), а вот второй вполне доступен. И хотя большинство игроков облачных SIEM/SOC-платформ — тоже зарубежные, в России представлены как минимум два из них — Cisco и Microsoft».

XDR vs SIEM

Беда пришла неожиданно. Пока SIEM-системы отчаянно воевали за доминирующую роль с соседями по приведенному выше рисунку, на рынок вышло решение, которое эксперты предпочитают сегодня на равных сравнивать с SIEM. Речь идет о системах класса XDR.

Как утверждают в компании Cisco, эта расширенная система обнаружения и устранения угроз (XDR) обеспечивает мониторинг данных на уровне сети, облака, оконечных устройств и приложений, а также функции аналитики и автоматизации для обнаружения, анализа, активного поиска и устранения сегодняшних и будущих угроз. Система XDR собирает и сопоставляет данные на уровне электронной почты, оконечных устройств, серверов, облачных рабочих нагрузок и сетей, обеспечивая мониторинг и контекст для анализа сложных угроз. Специалисты затем могут проанализировать угрозы, приоритизировать, найти и устранить их, предотвратив потерю данных и нарушения безопасности.

Источник: Habr.ru, 2021 год

Решения XDR отличаются от EDR тем, что они ориентированы на оконечные устройства (например, ноутбуки) и регистрируют действия и события в системе, создавая более полную картину происходящего, необходимую для выявления инцидентов, которые обычно ускользают от внимания специалистов по безопасности. Таким образом, можно быстрее предотвратить дальнейшее распространение угрозы, сократив серьезность атаки и ее масштабы.

Так в чем же разница и сходство между XDR и SIEM? На сайте издания netwitness.com в статье экспертов компании RSA можно найти детальный анализ «XDR versus Evolved SIEM». В частности: 

• XDR фокусируется на выявлении, расследовании и принятии мер по разрешению инцидентов как можно быстрее и эффективнее. SIEM, в целом делая то же самое, фокусируется на мониторинге соответствия нормативным актам, хранении данных и отчетности;
• для поддержки сервисов обнаружения угроз и реагирования на них, а также соблюдения требований соответствия нормативным актам SIEM используют как можно больше данных организации, включая журналы логов, сетевые данные и данные c конечных точек. В отличие от этого, поскольку решения XDR не предназначены для выполнения требований комплаенса, они, как правило, не собирают журналы данных логов. Вместо этого им обычно достаточно данных о сети и конечных точках. Даже если организации иногда требуются данные журналы для решения проблем безопасности, у платформ XDR на их создание уходит гораздо меньше ресурсов;
• платформы SIEM, которым необходимо собирать огромное количество логов, требовательнее к пропускной способности каналов и производительности оборудования.

В итоге авторы анализа делают вывод: «В ряде случаев XDR может быть лучшим (и более экономичным) вариантом по сравнению с продвинутой SIEM».

В качестве главного недостатка отмечается, что некоторые XDR-системы совместимы только с защитными решениями определенного вендора или ограниченного их числа. В связи с этим возможны ситуации, когда пользователям XDR придется искать компромисс между оптимальными для них узкоспециализированными решениями и полнотой использования XDR. Если этот вопрос решаем, то использование EDR в рамках SOC позволит организациям:

• повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;
• обогатить SOC предобработанными релевантными данными с рабочих мест и серверов в целях сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;
• значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные с анализом данных с рабочих мест и серверов, а также реагирование на инциденты.

Так чего еще хочет бизнес?

Многое из сказанного выше, за исключением последнего абзаца, вероятнее всего, мало заинтересует бизнес, который оперирует метриками отличными от тех, которые ему зачастую представляют службы ИБ. Наверное, топ-менеджерам будет не до тонкостей в технологических различиях между SIEM и XDR. 

Но феномен XDR — как раз не в технологиях, а в том, что это ответ ИБ-вендоров на требования рынка, находящего в кризисных условиях. XDR — это единый центр сбора, нормализации, анализа, корреляции данных, расширенного расследования и реагирования с применением максимально возможной автоматизации. Ситуация, в которой разработчики SIEM вынуждены тратить колоссальные ресурсы на интеграцию всего со всем и закладывать это в цену ПО, — не самая радужная. Если же этого не делать, то невозможно будет получить оперативную картину инцидентов. 

А вот положительный эффект от внедрения XDR довольно легко подсчитать в рублях: сэкономленное рабочее время меньшего количества сотрудников за счет автоматизации, организации сквозных бизнес-процессов и тотальной инвентаризации активов. Иными словами, это все то, чего не хватало для успешного продвижения SIEM-систем раннего поколения, как отмечалось выше. 

Учитесь считать деньги

Прогноз, вытеснит XDR технологию SIEM или нет, будут ли далее востребованы технологии SOAR и SASE т.д., не является целью данного анализа. Задача — зафиксировать тот факт, что вендорам ИБ, а также службам безопасности в кои-то веки удалось найти общий язык с бизнесом.

Связка SOC/SIEM-систем прочно вошла в ИБ-инфраструктуру, отказываться от нее никто не будет. Однако резервы повышения ее экономической эффективности, как показал пример XDR, существуют. Мало того, появляются новые классы ИБ-решений, которые «из коробки» отлично интегрируются как SOC, так и обычными IT, допуская переиспользование. Например, системы DLP благодаря машинному обучению помимо своей основной задачи способны помогать департаментам HR выявлять неформальные каналы коммуникаций сотрудников, «теневые» центры компетенций, а также неформальных лидеров. И таких примеров множество.

В заключение хотелось бы вернуться к словам специалистов из PT о том, что бизнесу было бы полезно наличие виртуальной копии инфраструктуры. То, что цифровые двойники — это реальность, убеждать никого не надо. Вопрос в том, что является их ядром. В случае с финансовыми организациями таким ядром при ряде допущений и ограничений может стать SIEM(EDR)-система. У банка нет промышленных активов, все его бизнес-процессы используют традиционные IT-системы, полная информация о которых доступна благодаря механизмам Asset Management и т.д. Так, может, стоит попробовать?