По чему се добар стручњак за ИТ безбедност разликује од обичног? Не, не по томе што у сваком тренутку може напамет да наведе број порука које је менаџер Игор јуче послао својој колегиници Марији. Добар стручњак за безбедност покушава да унапред идентификује могућа кршења и ухвати их у реалном времену, чинећи све напоре да се инцидент не настави. Системи за управљање сигурносним догађајима (СИЕМ, од Сецурити информатион анд евент манагемент) увелико поједностављују задатак брзог снимања и блокирања било каквог покушаја кршења.
Традиционално, СИЕМ системи комбинују систем управљања безбедношћу информација и систем управљања безбедносним догађајима. Важна карактеристика система је анализа безбедносних догађаја у реалном времену, што вам омогућава да на њих одговорите пре него што дође до постојеће штете.
Главни задаци СИЕМ система:
- Прикупљање и нормализација података
- Корелација података
- Alert
- Панели за визуелизацију
- Организација складиштења података
- Претрага и анализа података
- Извештавање
Разлози велике потражње за СИЕМ системима
У последње време, сложеност и координација напада на информационе системе су се знатно повећали. Истовремено, комплекс коришћених алата за безбедност информација такође постаје сложенији — системи за откривање упада на мрежу и хост, ДЛП системи, антивирусни системи и заштитни зидови, скенери рањивости итд. Сваки безбедносни алат генерише ток догађаја са различитим нивоима детаља, а напад се често може видети само преклапањем догађаја из различитих система.
Постоји много о свим врстама комерцијалних СИЕМ система , али нудимо кратак преглед бесплатних, пуноправних СИЕМ система отвореног кода који немају вештачка ограничења броја корисника или обима прихваћених ускладиштених података, а такође су лако скалабилни и подржани. Надамо се да ће ово помоћи да се процени потенцијал оваквих система и одлучи да ли су таква решења вредна интеграције у пословне процесе компаније.
АлиенВаулт ОССИМ
АлиенВаулт ОССИМ је верзија отвореног кода АлиенВаулт УСМ, једног од водећих комерцијалних СИЕМ система. ОССИМ је оквир који се састоји од неколико пројеката отвореног кода, укључујући систем за откривање упада у мрежу Снорт, систем за праћење мреже и хоста Нагиос, систем за откривање упада заснованог на ОССЕЦ хосту и ОпенВАС скенер рањивости.
За надгледање уређаја користи се АлиенВаулт Агент, који шаље евиденције са хоста у сислог формату на ГЕЛФ платформу, или се може користити додатак за интеграцију са услугама трећих страна, као што је Цлоудфларе веб локација реверсе проки сервис или Окта мулти -факторски систем аутентификације.
УСМ верзија се разликује од ОССИМ-а по побољшаној функционалности за управљање евиденцијом, праћење инфраструктуре облака, аутоматизацију и ажуриране информације о претњама и визуелизацију.
Предности
- Изграђен на провереним пројектима отвореног кода;
- Велика заједница корисника и програмера.
Ограничења
- Не подржава праћење платформи у облаку (на пример, АВС или Азуре);
- Не постоји управљање евиденцијама, визуелизација, аутоматизација или интеграција са услугама трећих страна.
МозДеф (Мозилла Дефенсе Платформ)
МозДеф СИЕМ систем који је развила Мозилла користи се за аутоматизацију процеса обраде безбедносних инцидената. Систем је дизајниран од темеља да постигне максималне перформансе, скалабилност и толеранцију грешака, са микросервисном архитектуром – свака услуга ради у Доцкер контејнеру.
Као и ОССИМ, МозДеф је изграђен на временски тестираним пројектима отвореног кода, укључујући модул за индексирање и претрагу дневника Еластицсеарцх, платформу Метеор за изградњу флексибилног веб интерфејса и додатак Кибана за визуелизацију и цртање.
Корелација догађаја и упозорење се изводе помоћу упита Еластицсеарцх, који вам омогућавају да напишете сопствена правила за обраду догађаја и упозорења користећи Питхон. Према Мозили, МозДеф може да обради више од 300 милиона догађаја дневно. МозДеф прихвата само догађаје у ЈСОН формату, али постоји интеграција са услугама трећих страна.
Предности
- Не користи агенте – ради са стандардним ЈСОН евиденцијама;
- Лако се прилагођава захваљујући микросервисној архитектури;
- Подржава изворе података услуге у облаку, укључујући АВС ЦлоудТраил и ГуардДути.
Ограничења
- Нов и мање успостављен систем.
Вазух
Вазух је започео развој као форк ОССЕЦ-а, једног од најпопуларнијих СИЕМ-ова отвореног кода. А сада је то сопствено јединствено решење са новом функционалношћу, исправкама грешака и оптимизованом архитектуром.
Систем је изграђен на ЕластицСтацк стеку (Еластицсеарцх, Логстасх, Кибана) и подржава прикупљање података засновано на агентима и унос системске евиденције. Ово га чини ефикасним за надгледање уређаја који генеришу евиденцију, али не подржавају инсталацију агента – мрежни уређаји, штампачи и периферни уређаји.
Вазух подржава постојеће ОССЕЦ агенте и чак пружа смернице за прелазак са ОССЕЦ на Вазух. Иако је ОССЕЦ и даље активно подржан, Вазух се види као наставак ОССЕЦ-а због додавања новог веб интерфејса, РЕСТ АПИ-ја, комплетнијег скупа правила и многих других побољшања.
Предности
- Заснован и компатибилан са популарним СИЕМ ОССЕЦ;
- Подржава различите опције инсталације: Доцкер, Пуппет, Цхеф, Ансибле;
- Подржава праћење услуга у облаку, укључујући АВС и Азуре;
- Укључује свеобухватан скуп правила за откривање више врста напада и омогућава вам да их упоредите у складу са ПЦИ ДСС в3.1 и ЦИС.
- Интегрише се са системом за складиштење и анализу дневника Сплунк за визуелизацију догађаја и подршку за АПИ.
Ограничења
- Комплексна архитектура - захтева потпуну примену Еластиц Стацк поред Вазух позадинских компоненти.
Прелуде ОС
Прелуде ОСС је верзија комерцијалног Прелуде СИЕМ отвореног кода, коју је развила француска компанија ЦС. Решење је флексибилан, модуларни СИЕМ систем који подржава више формата дневника, интеграцију са алатима треће стране као што су ОССЕЦ, Снорт и Сурицата систем за детекцију мреже.
Сваки догађај се нормализује у поруку користећи ИДМЕФ формат, који поједностављује размену података са другим системима. Али постоји мува у масти - Прелуде ОСС је веома ограничен у перформансама и функционалности у поређењу са комерцијалном верзијом Прелуде СИЕМ-а, и намењен је више за мале пројекте или за проучавање СИЕМ решења и процену Прелуде СИЕМ-а.
Предности
- Временски тестиран систем, развијен од 1998. године;
- Подржава много различитих формата дневника;
- Нормализује податке у ИМДЕФ формат, што олакшава пренос података у друге безбедносне системе.
Ограничења
- Значајно ограничен у функционалности и перформансама у поређењу са другим СИЕМ системима отвореног кода.
Саган
Саган је СИЕМ високих перформанси који наглашава компатибилност са Снорт-ом. Поред тога што подржава правила написана за Снорт, Саган може писати у Снорт базу података и чак се може користити са Схуил интерфејсом. У суштини, то је лагано решење са више нити које нуди нове функције, а истовремено је пријатељски настројено према Снорт корисницима.
Предности
- Потпуно компатибилан са Снорт базом података, правилима и корисничким интерфејсом;
- Архитектура са више нити пружа високе перформансе.
Ограничења
- Релативно млад пројекат са малом заједницом;
- Сложен процес инсталације који укључује изградњу целог СИЕМ-а из извора.
Закључак
Сваки од описаних СИЕМ система има своје карактеристике и ограничења, па се не могу назвати универзалним решењем за било коју организацију. Међутим, ова решења су отвореног кода, што им омогућава да се примењују, тестирају и процењују без превеликих трошкова.
Шта још занимљиво можете прочитати на блогу?
→
→
→
→
→
Претплатите се на наш -канал, да не пропустите следећи чланак! Пишемо не више од два пута недељно и само пословно.
Извор: ввв.хабр.цом