უსაფრთხოების ღონისძიებების მართვის 5 ღია კოდის სისტემა

რით განსხვავდება IT უსაფრთხოების კარგი სპეციალისტი ჩვეულებრივისგან? არა, არა იმით, რომ ნებისმიერ დროს მას შეუძლია მეხსიერებიდან დაასახელოს იმ შეტყობინებების რაოდენობა, რომელიც მენეჯერმა იგორმა გუშინ გაუგზავნა თავის კოლეგას მარიას. უსაფრთხოების კარგი სპეციალისტი ცდილობს წინასწარ გამოავლინოს შესაძლო დარღვევები და რეალურ დროში დაიჭიროს ისინი, ყველა ღონეს ხმარობს, რომ ინციდენტი არ გაგრძელდეს. უსაფრთხოების ღონისძიებების მართვის სისტემები (SIEM, უსაფრთხოების ინფორმაციისა და ღონისძიებების მენეჯმენტიდან) მნიშვნელოვნად ამარტივებს ნებისმიერი მცდელობის დარღვევის მცდელობის სწრაფად ჩაწერისა და დაბლოკვის ამოცანას.

ტრადიციულად, SIEM სისტემები აერთიანებს ინფორმაციული უსაფრთხოების მართვის სისტემას და უსაფრთხოების ღონისძიებების მართვის სისტემას. სისტემების მნიშვნელოვანი მახასიათებელია უსაფრთხოების მოვლენების რეალურ დროში ანალიზი, რაც საშუალებას გაძლევთ უპასუხოთ მათ არსებულ დაზიანებამდე.

SIEM სისტემების ძირითადი ამოცანები:

• მონაცემთა შეგროვება და ნორმალიზება
• მონაცემთა კორელაცია
• გაფრთხილება
• ვიზუალიზაციის პანელები
• მონაცემთა შენახვის ორგანიზაცია
• მონაცემთა ძებნა და ანალიზი
• ანგარიშგება

SIEM სისტემებზე მაღალი მოთხოვნის მიზეზები

ბოლო დროს საინფორმაციო სისტემებზე თავდასხმების სირთულე და კოორდინაცია მნიშვნელოვნად გაიზარდა. ამავდროულად, ინფორმაციული უსაფრთხოების ინსტრუმენტების კომპლექსი, რომელიც გამოიყენება, ასევე უფრო რთული ხდება - ქსელში და ჰოსტზე დაფუძნებული შეჭრის გამოვლენის სისტემები, DLP სისტემები, ანტივირუსული სისტემები და ბუხარი, დაუცველობის სკანერები და ა.შ. უსაფრთხოების თითოეული ინსტრუმენტი წარმოქმნის მოვლენების ნაკადს სხვადასხვა დონის დეტალებით და ხშირად თავდასხმის დანახვა შესაძლებელია მხოლოდ სხვადასხვა სისტემის მოვლენების გადაფარვით.

ბევრია ყველა სახის კომერციული SIEM სისტემების შესახებ написано, მაგრამ ჩვენ გთავაზობთ მოკლე მიმოხილვას უფასო, სრულფასოვანი ღია კოდის SIEM სისტემების შესახებ, რომლებსაც არ აქვთ ხელოვნური შეზღუდვები მომხმარებელთა რაოდენობაზე ან მიღებული შენახული მონაცემების მოცულობაზე, ასევე ადვილად მასშტაბირებადი და მხარდაჭერილი. ვიმედოვნებთ, რომ ეს ხელს შეუწყობს ასეთი სისტემების პოტენციალის შეფასებას და გადაწყვეტს, ღირს თუ არა ასეთი გადაწყვეტილებების ინტეგრირება კომპანიის ბიზნეს პროცესებში.

AlienVault OSSIM

AlienVault OSSIM არის AlienVault USM-ის ღია კოდის ვერსია, ერთ-ერთი წამყვანი კომერციული SIEM სისტემის. OSSIM არის ჩარჩო, რომელიც შედგება რამდენიმე ღია კოდის პროექტისგან, მათ შორის Snort ქსელში შეჭრის აღმოჩენის სისტემა, Nagios ქსელი და ჰოსტის მონიტორინგის სისტემა, OSSEC ჰოსტზე დაფუძნებული შეჭრის აღმოჩენის სისტემა და OpenVAS დაუცველობის სკანერი.

მოწყობილობების მონიტორინგისთვის გამოიყენება AlienVault Agent, რომელიც აგზავნის ჟურნალებს ჰოსტიდან syslog ფორმატში GELF პლატფორმაზე, ან დანამატის გამოყენება შესაძლებელია მესამე მხარის სერვისებთან ინტეგრაციისთვის, როგორიცაა Cloudflare ვებსაიტის საპირისპირო პროქსი სერვისი ან Okta multi. -ფაქტორული ავთენტიფიკაციის სისტემა.

USM ვერსია OSSIM-ისგან განსხვავდება ჟურნალის მართვის, ღრუბლოვანი ინფრასტრუქტურის მონიტორინგის, ავტომატიზაციისა და განახლებული საფრთხის შესახებ ინფორმაციისა და ვიზუალიზაციის გაუმჯობესებული ფუნქციონირებით.

უპირატესობები

• აგებულია დადასტურებულ ღია კოდის პროექტებზე;
• მომხმარებელთა და დეველოპერების დიდი საზოგადოება.

შეზღუდვები

• არ უჭერს მხარს ღრუბლოვანი პლატფორმების მონიტორინგს (მაგალითად, AWS ან Azure);
• არ არსებობს ჟურნალის მართვა, ვიზუალიზაცია, ავტომატიზაცია ან ინტეგრაცია მესამე მხარის სერვისებთან.

წყარო

MozDef (Mozilla თავდაცვის პლატფორმა)

Mozilla-ს მიერ შემუშავებული MozDef SIEM სისტემა გამოიყენება უსაფრთხოების ინციდენტების დამუშავების პროცესების ავტომატიზაციისთვის. სისტემა შექმნილია თავიდანვე მაქსიმალური შესრულების, მასშტაბურობისა და ხარვეზების ტოლერანტობის მისაღწევად, მიკროსერვისის არქიტექტურით - თითოეული სერვისი მუშაობს Docker კონტეინერში.

OSSIM-ის მსგავსად, MozDef აგებულია დროში გამოცდილი ღია კოდის პროექტებზე, მათ შორის Elasticsearch ჟურნალის ინდექსირებისა და ძიების მოდული, Meteor პლატფორმა მოქნილი ვებ ინტერფეისის შესაქმნელად და Kibana მოდული ვიზუალიზაციისა და შედგენისთვის.

მოვლენის კორელაცია და გაფრთხილება ხორციელდება Elasticsearch მოთხოვნების გამოყენებით, რაც საშუალებას გაძლევთ დაწეროთ თქვენი მოვლენების დამუშავების და გაფრთხილების წესები Python-ის გამოყენებით. Mozilla-ს თანახმად, MozDef-ს შეუძლია დღეში 300 მილიონზე მეტი მოვლენის დამუშავება. MozDef იღებს მოვლენებს მხოლოდ JSON ფორმატში, მაგრამ არის ინტეგრაცია მესამე მხარის სერვისებთან.

უპირატესობები

• არ იყენებს აგენტებს - მუშაობს სტანდარტული JSON ჟურნალებით;
• ადვილად მასშტაბირება მიკროსერვისის არქიტექტურის წყალობით;
• მხარს უჭერს ღრუბლოვანი სერვისის მონაცემთა წყაროებს, მათ შორის AWS CloudTrail და GuardDuty.

შეზღუდვები

• ახალი და ნაკლებად ჩამოყალიბებული სისტემა.

წყარო

ვაზუჰ

Wazuh-მა დაიწყო განვითარება, როგორც OSSEC-ის ჩანგალი, ერთ-ერთი ყველაზე პოპულარული ღია კოდის SIEM. ახლა კი ის არის საკუთარი უნიკალური გადაწყვეტა ახალი ფუნქციონირებით, შეცდომების გამოსწორებით და ოპტიმიზებული არქიტექტურით.

სისტემა აგებულია ElasticStack სტეკზე (Elasticsearch, Logstash, Kibana) და მხარს უჭერს როგორც აგენტზე დაფუძნებულ მონაცემთა შეგროვებას, ასევე სისტემის ჟურნალის შეყვანას. ეს ეფექტურს ხდის მოწყობილობების მონიტორინგისთვის, რომლებიც ქმნიან ჟურნალებს, მაგრამ არ უჭერენ მხარს აგენტის ინსტალაციას - ქსელური მოწყობილობები, პრინტერები და პერიფერიული მოწყობილობები.

Wazuh მხარს უჭერს OSSEC-ის არსებულ აგენტებს და ხელმძღვანელობასაც კი აძლევს OSSEC-დან Wazuh-ში მიგრაციის შესახებ. მიუხედავად იმისა, რომ OSSEC ჯერ კიდევ აქტიურად არის მხარდაჭერილი, Wazuh განიხილება, როგორც OSSEC-ის გაგრძელება ახალი ვებ ინტერფეისის, REST API, წესების უფრო სრულყოფილი ნაკრების და მრავალი სხვა გაუმჯობესების გამო.

უპირატესობები

• ეფუძნება და თავსებადია პოპულარულ SIEM OSSEC-თან;
• მხარს უჭერს ინსტალაციის სხვადასხვა ვარიანტს: Docker, Puppet, Chef, Ansible;
• მხარს უჭერს ღრუბლოვანი სერვისების მონიტორინგს, მათ შორის AWS და Azure;
• მოიცავს წესების ყოვლისმომცველ კომპლექტს მრავალი ტიპის თავდასხმის გამოსავლენად და საშუალებას გაძლევთ შეადაროთ ისინი PCI DSS v3.1 და CIS-ის შესაბამისად.
• ინტეგრირებულია Splunk ჟურნალის შენახვისა და ანალიზის სისტემასთან მოვლენის ვიზუალიზაციისთვის და API მხარდაჭერისთვის.

შეზღუდვები

• კომპლექსური არქიტექტურა - მოითხოვს სრულ Elastic Stack-ის განლაგებას Wazuh backend კომპონენტების გარდა.

წყარო

პრელუდია OS

Prelude OSS არის კომერციული Prelude SIEM-ის ღია კოდის ვერსია, რომელიც შემუშავებულია ფრანგული კომპანია CS-ის მიერ. გამოსავალი არის მოქნილი, მოდულური SIEM სისტემა, რომელიც მხარს უჭერს მრავალი ჟურნალის ფორმატს, ინტეგრაციას მესამე მხარის ინსტრუმენტებთან, როგორიცაა OSSEC, Snort და Suricata ქსელის აღმოჩენის სისტემა.

თითოეული მოვლენა ნორმალიზდება შეტყობინებაში IDMEF ფორმატის გამოყენებით, რაც ამარტივებს მონაცემთა გაცვლას სხვა სისტემებთან. მაგრამ მალამოში არის ბუზი - Prelude OSS ძალიან შეზღუდულია შესრულებაში და ფუნქციონირებაში Prelude SIEM-ის კომერციულ ვერსიასთან შედარებით და უფრო მეტად არის განკუთვნილი მცირე პროექტებისთვის ან SIEM გადაწყვეტილებების შესასწავლად და Prelude SIEM-ის შესაფასებლად.

უპირატესობები

• დროში გამოცდილი სისტემა, შემუშავებული 1998 წლიდან;
• მხარს უჭერს მრავალი სხვადასხვა ჟურნალის ფორმატს;
• ახდენს მონაცემების ნორმალიზებას IMDEF ფორმატში, რაც აადვილებს მონაცემთა გადაცემას უსაფრთხოების სხვა სისტემებზე.

შეზღუდვები

• მნიშვნელოვნად შეზღუდულია ფუნქციონალურობითა და შესრულებით სხვა ღია SIEM სისტემებთან შედარებით.

წყარო

საგანი

Sagan არის მაღალი ხარისხის SIEM, რომელიც ხაზს უსვამს Snort-თან თავსებადობას. Snort-ისთვის დაწერილი მხარდაჭერის წესების გარდა, სეიგანს შეუძლია ჩაწეროს Snort მონაცემთა ბაზაში და შეიძლება გამოიყენოს Shuil ინტერფეისითაც კი. არსებითად, ეს არის მსუბუქი მრავალძაფიანი გადაწყვეტა, რომელიც გთავაზობთ ახალ ფუნქციებს Snort-ის მომხმარებლებისთვის მეგობრული დარჩენის დროს.

უპირატესობები

• სრულად თავსებადია Snort მონაცემთა ბაზასთან, წესებთან და მომხმარებლის ინტერფეისთან;
• მრავალძაფის არქიტექტურა უზრუნველყოფს მაღალ შესრულებას.

შეზღუდვები

• შედარებით ახალგაზრდა პროექტი მცირე თემით;
• რთული ინსტალაციის პროცესი, რომელიც მოიცავს მთელი SIEM-ის შექმნას წყაროდან.

წყარო

დასკვნა

თითოეულ აღწერილი SIEM სისტემას აქვს საკუთარი მახასიათებლები და შეზღუდვები, ამიტომ მათ არ შეიძლება ეწოდოს უნივერსალური გადაწყვეტა ნებისმიერი ორგანიზაციისთვის. თუმცა, ეს გადაწყვეტილებები ღია წყაროა, რაც მათ საშუალებას აძლევს განლაგდეს, ტესტირება და შეფასდეს ზედმეტი ხარჯების გარეშე.

კიდევ რა საინტერესო შეგიძლიათ წაიკითხოთ ბლოგზე? Cloud4Y

→ VNIITE მთელი პლანეტის: როგორ გამოიგონეს "ჭკვიანი სახლის" სისტემა სსრკ-ში
→ როგორ ეხმარება ნერვული ინტერფეისები კაცობრიობას
→ კიბერ დაზღვევა რუსეთის ბაზარზე
→ სინათლე, კამერა... ღრუბელი: როგორ ცვლის ღრუბლები კინოინდუსტრიას
→ ფეხბურთი ღრუბლებში - მოდა თუ აუცილებლობა?

გამოიწერეთ ჩვენი დეპეშა-არხი, რომ არ გამოტოვოთ შემდეგი სტატია! ჩვენ ვწერთ არა უმეტეს კვირაში ორჯერ და მხოლოდ საქმიანი.

წყარო: www.habr.com