Введение

Появление различных систем межмашинного взаимодействия (M2M,

Mashine to mashine систем), представленных наборами связанных
взаимодействующих устройств, способных взаимодействовать через
Интернет, привело к необходимости постоянного мониторинга безопасности
систем. Количество угроз информационной безопасности возрастает.
Возрастает степень изощренности соответствующих атак и ущербов.
Одновременно совершенствуются системы защиты – разработчики
выпускают все более сильные и сложные средства безопасности. И
возрастает качество таких решений и продуктов защиты.
Однако, к сожалению, киберпреступники идут на шаг впереди
разработчиков средств защиты. Это хорошо видно на примере с
антивирусами. Данные тестов показывают, что антивирусные программы не
успевают обрабатывать все возрастающий "вал" новых зловредов.
Современные антивирусы, используя эвристические механизмы, в среднем,
распознают 30-50% новых вредоносных кодов. Отметим, что антивирусная
часть в рамках отрасли информационной безопасности – самая старая и
богатая. Мировой рынок антивирусов – выше 5 млрд. долл.
Любая комплексная система защиты содержит, кроме антивирусов,
также и многие другие средства защиты – межсетевые экраны, системы
обнаружения атак, сканеры безопасности, средства защиты от утечки
конфиденциальной информации и многие другие. Как отмечалось, эти
продукты и решения становятся все сложнее и сложнее. И не хватает людей
для их обслуживания и сопровождения, для сбора и анализа всех "журналов"
("логов"), которые они постоянно наполняют.
Поэтому необходимо в комплексные системы защиты в обязательном
порядке включать мощные системы мониторинга и анализа событий
безопасности.

1
 Для анализа безопасности крупномасштабных информационных
систем часто используют перспективный подход управления информацией и
событиями безопасности, реализуемый SIEM-системами (Security Information
and Event Management), которые позволяют обнаруживать и расследовать
инциденты. Разработкой SIEM-систем занимаются в том числе такие
известные компании, как IBM, McAfee, Symantec.
Целью разработки данной ВКР является обоснование, выбор и
теоретическое внедрение SIEM-системы на локальной сети организации.
Для успешного достижения вышеуказанной цели предлагаются к
решению следующие задачи:
- предоставление краткой характеристики SIEM как класса систем
обеспечения информационной безопасности;
- проведение сравнительного анализа SIEM, представленных на
рынке (в том числе, с открытым исходным кодом), выбор наиболее
оптимального варианта SIEM-системы;
- формирование технического задания на внедрение SIEM;
- внедрение SIEM на выбранных узлах сети;
- разработка и внедрение политик работы SIEM;
- формирование выводов, полученных в результате внедрения.
Объектом данного проекта является SIEM-система, выбранная в
результате сравнительного анализа функционала и сопоставление условий
«цена/качество» в соответствии с заданными характеристиками необходимой
к внедрению в конкретно взятой организации системы.
Предметом исследования ВКР является эффективность
функционирования SIEM небольшой ИТ-компании, занимающейся
разработкой игрового программного обеспечения. В работе также будет
приведена характеристика выбранной компании.

2
3
 1 Обоснование актуальности проекта внедрения SIEM-системы

1.1 Актуальные задачи защиты информации

Сейчас в мире активно и широко используется "мониторинг" –

видеонаблюдение. Эта тенденция происходит в настоящее время также и в
сфере "информационная безопасность". Именно, одно из основных
направлений совершенствования комплексных систем защиты – это
применение систем мониторинга и управления событиями безопасности.
В литературе на английском языке для таких систем применяется
аббревиатура SIEM (Security Information and Event Management). Системы
мониторинга в рамках какой-то комплексной системы защиты выполняют
роль своего рода "командного пункта" или "генерального штаба" в постоянно
происходящей битве против разнообразных угроз и атак.
Они аккумулируют миллионы событий (в секунду, минуту, час или за
другой промежуток времени – это зависит от масштаба системы), получая
данные от разных источников и подсистем ("информаторов"): от систем
защиты информации, базовых операционных систем, системного и
прикладного ПО, маршрутизаторов и коммутаторов и т.д., и т.п.
Получаемые миллионы событий безопасности в SIEM-продуктах:
 Фильтруются – отбрасывается "мусор", малозначимые события,
 Нормализуются – приводятся к единому "знаменателю" (т.к.
исходные данные идут в многочисленных форматах от разных
ОС, ПП и устройств),
 Агрегируются – одинакового свойства "мелкие" события
объединяются в группу однотипных событий,
 Проходят через процедуру "корреляции" – интеллектуального
сравнения разных событий на принадлежность к одной атаке и,
наконец,
 Получают "приоритеты" – чтобы из потока выделить 3, 5 или 10
самых главных событий, которыми и нужно заниматься в
4
 срочном порядке.
Для выбора системы мониторинга следует использовать, во-первых,
результаты двух отчетов от компании Гартнер, в которых анализируются и
сравниваются между собой продукты на рынке SIEM.

Рисунок 1.1. Из отчета "Ключевые возможности технологий SIEM "

В отчете анализируются и сравниваются между собой продукты от 12

самых значимых участников рынка SIEM. По следующим шести ключевым
показателям – (1) мониторинг поведения пользователей, (2) мониторинг
поведения приложений, (3) анализ соответствия нормативам и выдача
соответствующих отчетов, (4) управление журналами, (5) простота
развертывания и поддержки продукта в корпоративной сети и (6) SEM
(Security Event Management; этот обобщенный показатель включает в себя –
сбор данных в реальном масштабе времени, консоль управления событиями
безопасности, корреляцию и анализ событий в реальном времени, а также и
поддержку процессов управления инцидентами).
Каждый продукт и по каждому показателю оценивается (оценки от 1 до
5), задаются веса показателям и в итоге выполняется их "свертка".

5
 Рисунок 1.2. Из отчета "Волшебные квадранты Гартнера для рынка
SIEM".

В этом отчете анализируются и сравниваются между собой продукты

от 20 самых важных участников рынка SIEM. В этих отчетах нет компании
Cisco с ее продуктом MARS. Причина в том, что компания Cisco перестала
поддерживать в рамках своего продукта источники событий безопасности от
других производителей. Однако это требование является обязательным
условием того, чтобы включать продукт в отчет.
По горизонтальной оси продукты-компании располагаются по их
способностям предвидеть, что именно нужно конечным потребителям.
По вертикальной оси продукты-компании располагаются по их
способностям реализовать это "видение" в тиражируемых продуктах с
соответствующим потребительским качеством, поддержкой и обучением.
Во-вторых, если говорить о внедрении в госсекторе, то важным
представляется также и наличие соответствующих сертификатов ФСТЭК.

6
 Рисунок 1.3. Продукт ArcSight ESM имеет сертификат от ФСТЭК

Наконец, важный показатель при выборе продукта и компании – это

"доля на рынке". Компания ArcSight со своими продуктами класса SIEM в
течение последних 6 лет является лидером и по этому показателю.

7
 1.2Характеристика предприятия

В качестве предприятия, в котором необходимо будет внедрить SIEM,

решено взять небольшую софтверную компанию «Playtox Менеджмент»,
которая, однако, пользуется высокой популярностью на российском рынке
онлайн- игр (далее – «Компания»). Краткая характеристика указанной
предприятия будет приведена ниже.
Компания основана в 2008 году, в год российского экономического
кризиса. Сам факт выживания данной компании уже говорит о её
стабильности и грамотном подходе руководства к процессу управления. На
текущий момент, компания уже почти десять лет занимается разработкой
программного обеспечения, а именно, многопользовательских онлайн-игр.
Компания приобрела известность и в зарубежных странах Европы и
Соединенных Штатов Америки. Как указано на официальном сайте
компании, она позиционирует себя как успешная, но никогда не
останавливающаяся на достигнутом компания, которой есть куда расти и
развиваться.
Крайне важно упомянуть об архитектуре сети и личном составе
настоящей компании. Так, очевидно, что подавляющий состав сотрудников
– разработчики и специалисты других смежных ИТ-специальностей
(аналитики, тестировщики, системные инженеры и прочие).
Соответственно, данным лицам необходимы сильные рабочие ПК,
беспрепятственный и ничем не ограниченный выход в Интернет, серьёзный
набор ПО для разработки и реализации сопутствующих целей.
При этом штатная структура компании насчитывает порядка
пятидесяти сотрудников в целом, и некоторые из указанных сотрудников
частично или полностью работают удаленно – в целях оптимизации
рабочего времени и экономии [5].

8
Структурная схема Компании изображена на рисунке 1.4.

Рисунок 1.4 — Структурная схема «Компании»

1.3 Анализ уровня информационной безопасности

Проведем анализ статистики инцидентов ИБ «Компании». На

текущий момент в «Компании» установлена DLP-система Zecurion,
включающая в себя модули Zlock, ZGate и ZReport. Zlock – это консоль,
посредством которой осуществляется установка, обновление и удаление
клиентов с/на ПК пользователей и на серверах корпоративной сети; ZGate –
это оснастка для разработки и написания политик, в соответствии с
которыми DLP-система должна функционировать, а ZReport – это система
формирования отчетов, информирования администраторов безопасности,
иных заинтересованных и привилегированных пользователей и руководства
об инцидентах кибербезопасности и получения статистических данных.
9
Пример отчёта в Zecurion Reports на рисунке 1.5.

Рисунок 1.5 — Отчёт в Zecurion Reports

Кроме вышеуказанного, данное ПО обладает возможностью

предоставляет администратору безопасности информацию по наличию
каналов утечек и статистику по ним. Как показано на рисунке 1.4, отчет
крайне нагляден, и позволяет формировать представление о существующей
на данный момент статистике по утечкам информации даже у
неподготовленных пользователей, не имеющих образования и опыта
работы в ИТ. Стоит заметить, что большинство топ-менеджеров от бизнеса
как раз и являются такими пользователями. Пример на рисунке 1.6.

10
 Рисунок 1.6 — Статистика каналов утечек в Zecurion Report

Посредством ZReport сотрудниками отдела информационной

безопасности «Компании» была получена статистическая информация об
инцидентах информационной безопасности за прошедший 2020 год. Однако
данная статистика затрагивает только сегмент утечек информации, а
данные о состоянии узлов и иных инцидентов, которые ежедневно
происходят в локально-вычислительной сети, является неохваченной
вниманием специалистов.
Вывод по главе
В наши дни всё больше и больше компаний приходят к пониманию
того, что использование систем мониторинга значительно повышает
эффективность процесса обнаружения и реагирования на инциденты
информационной безопасности. Это обеспечивается за счет автоматизации
процесса сбора и анализа информации, которая регистрируется в
автоматизированной системе компании. При этом применение систем
мониторинга также позволяет значительно повысить эффективность уже
установленных в организации средств защиты.
Итак, основные цели, достигаемые при помощи SIEM-системы
следующие:
11
 - осуществление анализа событий;
- создание информационных сообщений при выявлении
определённых инцидентов (в зависимости от конкретно настроенных
политик, это могут быть неопознанные съемные устройства, иные сетевые
устройства, несвойственный типовой ситуации трафик в сети, нестандартные
действия пользователей, в том числе, привилегированных, и прочие);
- сбор доказательной базы для расследования инцидентов
информационной безопасности;
- дополнительный функционал в помощь ИТ- и ИБ-
подразделениям
- «Компании» в области анализа рисков кибербезопасности;
- возможность проверки ИТ-инфраструктуры и системы
обеспечения информационной безопасности организации на соответствие
международным стандартам, таким, как PCI DSS и COBIT (но это, скорее,
факультативная, а не обязательная функция данной системы).
Безусловно, система SIEM не может функционировать сама по себе –
её необходимо контролировать, и штат специалистов ИБ должен обладать
хорошей подготовкой и набором соответствующих компетенций. Однако
данный инструмент – прекрасная помощь в деле обеспечения
информационной безопасности.
Помимо вышеуказанного, существуют и объективные практически
обоснованные причины необходимости установки SIEM-системы в
«Компании». Они следующие:
- DLP-система, установленная в корпоративной локальной сети,
осуществляет мониторинг утечек информации, но не предоставляет
администратору безопасности информации по другим инцидентам ИБ;
- на ключевых узлах локально-вычислительной сети не
установлены средства мониторинга инцидентов информационной
безопасности, а в условиях современного повышения количества киберугроз

12
в информационном пространстве, ИТ-инфраструктура компании-
разработчика является довольно интересной для внутреннего и внешнего
злоумышленника.
При этом, в рамках проведения анализа SIEM-систем
рассматриваются только коммерческие решения. Это осуществляется
исходя из следующих соображений:
решения, основанные на open source, дёшевы по своей сути, но
требуют специальной подготовки специалистов, которые нечасто
встречаются на рынке и достаточно дорого стоят; кроме того, для open
source не предусмотрена круглосуточная вендорская поддержка, и, в случае
возникновения неполадок, сбоев или иных нештатных ситуаций, решение
вышеуказанных проблем целиком и полностью ляжет на плечи
специалистов ИБ данной «Компании».
Также следует отметить, что каждую секунду в системе «Компании»
регистрируются десятки тысяч событий безопасности. Отслеживать и
выявлять угрозы вручную невозможно – требуется инструмент для
автоматизации и централизации сбора событий из разных источников. В то
же время нужно не только собирать, но еще и сопоставлять, и
анализировать события. Такой способностью обладают решения класса
SIEM.

13