V čem se dober strokovnjak za IT varnost razlikuje od običajnega? Ne, ne s tem, da lahko v danem trenutku na pamet poimenuje število sporočil, ki jih je direktor Igor včeraj poslal svoji sodelavki Mariji. Dober strokovnjak za varnost skuša vnaprej prepoznati morebitne kršitve in jih ujeti v realnem času ter si prizadeva zagotoviti, da se incident ne bi nadaljeval. Sistemi za upravljanje varnostnih dogodkov (SIEM, od Security information and event management) močno poenostavijo nalogo hitrega beleženja in blokiranja morebitnih poskusov kršitev.
Tradicionalno sistemi SIEM združujejo sistem upravljanja varnosti informacij in sistem upravljanja varnostnih dogodkov. Pomembna lastnost sistemov je analiza varnostnih dogodkov v realnem času, kar vam omogoča, da se nanje odzovete še preden pride do obstoječe škode.
Glavne naloge sistemov SIEM:
- Zbiranje in normalizacija podatkov
- Korelacija podatkov
- Opozorilo
- Vizualizacijske plošče
- Organizacija shranjevanja podatkov
- Iskanje in analiza podatkov
- Poročanje
Razlogi za veliko povpraševanje po sistemih SIEM
V zadnjem času se je kompleksnost in usklajenost napadov na informacijske sisteme močno povečala. Hkrati postaja vse bolj zapleten tudi kompleks uporabljenih orodij za varovanje informacij – sistemi za zaznavanje vdorov na omrežju in gostitelju, sistemi DLP, protivirusni sistemi in požarni zidovi, pregledovalniki ranljivosti itd. Vsako varnostno orodje ustvari tok dogodkov z različnimi stopnjami podrobnosti in napad je pogosto mogoče opaziti le s prekrivajočimi se dogodki iz različnih sistemov.
Veliko je o vseh vrstah komercialnih sistemov SIEM , ponujamo pa kratek pregled brezplačnih, polnopravnih odprtokodnih sistemov SIEM, ki nimajo umetnih omejitev glede števila uporabnikov ali količine sprejetih shranjenih podatkov, poleg tega pa so enostavno nadgradljivi in podprti. Upamo, da bo to pomagalo oceniti potencial takih sistemov in se odločiti, ali je takšne rešitve vredno vključiti v poslovne procese podjetja.
AlienVault OSSIM
AlienVault OSSIM je odprtokodna različica AlienVault USM, enega vodilnih komercialnih sistemov SIEM. OSSIM je ogrodje, sestavljeno iz več odprtokodnih projektov, vključno s sistemom za zaznavanje vdorov v omrežju Snort, sistemom za nadzor omrežja in gostitelja Nagios, sistemom za odkrivanje vdorov na osnovi OSSEC in skenerjem ranljivosti OpenVAS.
Za spremljanje naprav se uporablja agent AlienVault, ki pošilja dnevnike iz gostitelja v obliki syslog na platformo GELF, ali pa se lahko uporabi vtičnik za integracijo s storitvami tretjih oseb, kot je povratna proxy storitev spletnega mesta Cloudflare ali Okta multi -faktorski sistem avtentikacije.
Različica USM se od OSSIM razlikuje po izboljšani funkcionalnosti za upravljanje dnevnikov, spremljanje infrastrukture v oblaku, avtomatizacijo ter posodobljene informacije o grožnjah in vizualizacijo.
Prednosti
- Zgrajen na preizkušenih odprtokodnih projektih;
- Velika skupnost uporabnikov in razvijalcev.
Omejitve
- Ne podpira spremljanja oblačnih platform (na primer AWS ali Azure);
- Ni upravljanja dnevnikov, vizualizacije, avtomatizacije ali integracije s storitvami tretjih oseb.
MozDef (obrambna platforma Mozilla)
Sistem MozDef SIEM, ki ga je razvila Mozilla, se uporablja za avtomatizacijo procesov obdelave varnostnih incidentov. Sistem je zasnovan od samega začetka, da doseže največjo zmogljivost, razširljivost in toleranco na napake, z arhitekturo mikrostoritve – vsaka storitev teče v vsebniku Docker.
Tako kot OSSIM je tudi MozDef zgrajen na časovno preizkušenih odprtokodnih projektih, vključno z modulom za indeksiranje in iskanje dnevnikov Elasticsearch, platformo Meteor za izdelavo prilagodljivega spletnega vmesnika in vtičnikom Kibana za vizualizacijo in risanje.
Korelacija dogodkov in opozarjanje se izvajata s poizvedbami Elasticsearch, kar vam omogoča pisanje lastnih pravil za obdelavo dogodkov in opozarjanje z uporabo Pythona. Po podatkih Mozille lahko MozDef obdela več kot 300 milijonov dogodkov na dan. MozDef sprejema samo dogodke v formatu JSON, vendar obstaja integracija s storitvami tretjih oseb.
Prednosti
- Ne uporablja agentov - deluje s standardnimi dnevniki JSON;
- Enostavno skaliranje zahvaljujoč mikrostoritveni arhitekturi;
- Podpira vire podatkov storitev v oblaku, vključno z AWS CloudTrail in GuardDuty.
Omejitve
- Nov in manj uveljavljen sistem.
Wazuh
Wazuh se je začel razvijati kot fork OSSEC, enega najbolj priljubljenih odprtokodnih SIEM. In zdaj je lastna edinstvena rešitev z novo funkcionalnostjo, popravki napak in optimizirano arhitekturo.
Sistem je zgrajen na skladu ElasticStack (Elasticsearch, Logstash, Kibana) in podpira tako zbiranje podatkov na osnovi agentov kot vnos sistemskega dnevnika. Zaradi tega je učinkovit za nadzor naprav, ki ustvarjajo dnevnike, vendar ne podpirajo namestitve agentov – omrežne naprave, tiskalniki in zunanje naprave.
Wazuh podpira obstoječe agente OSSEC in celo nudi smernice o selitvi z OSSEC na Wazuh. Čeprav je OSSEC še vedno aktivno podprt, velja Wazuh za nadaljevanje OSSEC zaradi dodajanja novega spletnega vmesnika, REST API-ja, popolnejšega nabora pravil in številnih drugih izboljšav.
Prednosti
- Temelji na priljubljenem SIEM OSSEC in je združljiv z njim;
- Podpira različne možnosti namestitve: Docker, Puppet, Chef, Ansible;
- Podpira spremljanje storitev v oblaku, vključno z AWS in Azure;
- Vključuje obsežen nabor pravil za odkrivanje več vrst napadov in omogoča njihovo primerjavo v skladu s PCI DSS v3.1 in CIS.
- Integrira se s sistemom za shranjevanje in analizo dnevnikov Splunk za vizualizacijo dogodkov in podporo za API.
Omejitve
- Kompleksna arhitektura – zahteva popolno uvedbo Elastic Stack poleg zalednih komponent Wazuh.
Prelude OS
Prelude OSS je odprtokodna različica komercialnega Prelude SIEM, ki ga je razvilo francosko podjetje CS. Rešitev je prilagodljiv, modularen sistem SIEM, ki podpira več formatov dnevnikov, integracijo z orodji tretjih oseb, kot so OSSEC, Snort in sistem za zaznavanje omrežja Suricata.
Vsak dogodek se normalizira v sporočilo v formatu IDMEF, kar poenostavi izmenjavo podatkov z drugimi sistemi. A tu je tudi muha – Prelude OSS je v primerjavi s komercialno različico Prelude SIEM zelo omejen v zmogljivosti in funkcionalnosti in je namenjen bolj majhnim projektom oziroma proučevanju rešitev SIEM in ocenjevanju Prelude SIEM.
Prednosti
- Časovno preizkušen sistem, razvit od leta 1998;
- Podpira veliko različnih formatov dnevnikov;
- Normalizira podatke v format IMDEF, kar olajša prenos podatkov v druge varnostne sisteme.
Omejitve
- Močno omejena funkcionalnost in zmogljivost v primerjavi z drugimi odprtokodnimi sistemi SIEM.
sagan
Sagan je visoko zmogljiv SIEM, ki poudarja združljivost s Snort. Poleg tega, da podpira pravila, napisana za Snort, lahko Sagan piše v bazo podatkov Snort in se lahko uporablja celo z vmesnikom Shuil. V bistvu je to lahka večnitna rešitev, ki ponuja nove funkcije, hkrati pa ostaja prijazna uporabnikom Snort.
Prednosti
- Popolnoma združljiv z bazo podatkov Snort, pravili in uporabniškim vmesnikom;
- Večnitna arhitektura zagotavlja visoko zmogljivost.
Omejitve
- Relativno mlad projekt z majhno skupnostjo;
- Zapleten postopek namestitve, ki vključuje gradnjo celotnega SIEM iz vira.
Zaključek
Vsak od opisanih sistemov SIEM ima svoje značilnosti in omejitve, zato jih ni mogoče imenovati univerzalna rešitev za katero koli organizacijo. Vendar so te rešitve odprtokodne, kar omogoča njihovo uvajanje, testiranje in ocenjevanje brez pretiranih stroškov.
Kaj še zanimivega lahko preberete na blogu?
→
→
→
→
→
Naročite se na našo -kanal, da ne zamudite naslednjega članka! Pišemo največ dvakrat na teden in samo poslovno.
Vir: www.habr.com