Информационная безопасность по закону: как SIEM выполняет требования регуляторов

Любая служба ИБ должна привести защиту организации в соответствие требованиям регуляторов. Для этого необходимо выполнять конкретные ИБ-задачи, установленные нормативно-правовыми актами, при помощи средств защиты информации (СЗИ). Их выбор при этом никак не ограничен. ИБ-специалисты выбирают решения самостоятельно и часто останавливаются на множестве узкоспециализированных.

Но есть универсальные инструменты, которые выполняют сразу несколько ИБ-задач. Например, SIEM-системы. Они собирают события безопасности из разных источников, выявляют инциденты и уведомляют ответственных. Также SIEM усиливают другие средства защиты и отслеживают общее состояние IT-инфраструктуры. Павел Пугач, системный аналитик «СёрчИнформ», рассказал для Cyber Media, как это работает, на примере «СёрчИнформ SIEM».

Какие ИБ-задачи решает SIEM

Системы SIEM, предназначенные для сбора и анализа информации о событиях безопасности, обеспечивают выполнение широкого спектра задач.

• Регистрация событий безопасности. SIEM собирают события безопасности из разных источников при помощи предустановленных коннекторов. В «СёрчИнформ SIEM» их три типа. Во-первых, персональные для популярного оборудования, ПО и ИБ-инструментов – к антивирусам Kaspersky или Dr.Web, оборудованию Cisco, линейке «Континент», сканерам уязвимостей RedCheck и т.д. Во-вторых, универсальные – к протоколам EventLog, Syslog, SSH, NetFlow и др., по которым можно получить данные от большинства других источников. Наконец, если в инфраструктуре есть нетипичное оборудование или ПО, их можно подключить с помощью пользовательского коннектора или напрямую вычитать данные из их БД. Все коннекторы подключаются в графическом интерфейсе, это не требует навыков программирования.

Выполняет требования АУД.4 Приказа ФСТЭК №239 и РСБ.1, 2 Приказов ФСТЭК №17 и №21.

• Мониторинг безопасности. SIEM выявляют проблемы безопасности в ИТ-инфраструктуре благодаря правилам корреляции. Внутри правил – события, на которые стоит обратить внимание в любой инфраструктуре. Например, повышение привилегий учетной записи или изменение параметров работы системы ИБ. «СёрчИнформ SIEM» поставляется сразу с набором готовых правил (500+). Чтобы они заработали, достаточно подключить источники данных.

Выполняет требование АУД.7 Приказа №239 и ИНЦ.2 Приказа №21.

• Выявление компьютерных инцидентов. Чтобы обнаружить более сложные инциденты, система сопоставляет события из источников в разных частях инфраструктуры, внешне не связанные между собой. За это отвечают правила кросс-корреляции. Обычно для сопоставления событий требуется написать алгоритм. В «СёрчИнформ SIEM» правила кросс-корреляции можно настроить в простом графическом конструкторе, задав источники, события в них и условия, по которым совпадение событий будет считаться инцидентом.

Выполняет требование ИНЦ.1 Приказа №239.

• Анализ компьютерных инцидентов. SIEM сохраняют выбранный объем событий безопасности в специальных журналах – это помогает расследовать и анализировать произошедшее. «СёрчИнформ SIEM» для удобства визуализирует журналы на динамической карте инцидентов. В ней информация структурирована по разным параметрам: дате, коннектору, правилу, пользователю и т.д. Это покажет наиболее уязвимые места в инфраструктуре и вероятных виновников, если за инцидентом стоят внутренние нарушители.

Выполняет требование ИНЦ.3 Приказа №239 и ИНЦ.4 Приказа №21.

• Хранение и защита информации о компьютерных инцидентах. Собранную информацию SIEM хранят в базах, которые защищены паролем. Чтобы данные были в безопасности, проводится регулярное архивное копирование, доступ к архивам защищен шифрованием. В «СёрчИнформ SIEM» также можно задать список доверенных IP-адресов, чтобы запретить авторизацию вне корпоративной сети. Это обезопасит от компрометации, даже если у злоумышленника есть учетные данные администратора.

Выполняет требования АУД.6, ИНЦ.6 Приказа №239 и РСБ.3, 7 Приказов №17 и №21.

• Информирование о компьютерных инцидентах и сбоях при регистрации событий безопасности. Функции уведомлений реализованы в любых СЗИ – вопрос в удобстве. «СёрчИнформ SIEM» может оповещать ИБ-специалиста об инцидентах по почте или в Telegram, а также передает данные в формате JSON. Уведомления можно гибко настроить. Например, чтобы система немедленно высылала письма, если источник не отправлял данные дольше заданного времени или если произошел критичный инцидент.

Выполняет требования АУД.8 и ИНЦ.2 Приказа №239, ИНЦ 3 и РСБ.4 Приказов №17 и №21.

• Проведение внутренних аудитов. После подключения источников SIEM собирают данные оборудования, ОС и ПО в режиме реального времени. Для удобства информация подается в адаптивных дашбордах. Это покажет не только единичные инциденты, но и тенденции: самых частых нарушителей, систематический перегрев оборудования и т.д.

Выполняет требования АУД.10 Приказа №239 и РСБ.5 Приказов №17 и №21.

• Инвентаризация информационных активов. В «СёрчИнформ SIEM» задача решается с помощью встроенного сканера сети. Он визуализирует данные обо всех устройствах или портах, которые передают сигналы о событиях безопасности. Вместе с этим нужно провести аудит всей информации, которая хранится в компании. Обычно это выполняют нетехническими мерами, но есть средства защиты, например, DCAP, которые автоматически найдут и классифицируют все корпоративные данные. В линейке «СёрчИнформ» за эти задачи отвечает FileAuditor, SIEM интегрирована с ним бесшовно и получает от него сведения по FileConnector.

Помогает выполнять требование АУД.1 Приказа №239.

• Контроль безотказного функционирования средств и систем. Кроме событий безопасности SIEM получают информацию о состоянии разных элементов ИТ-инфраструктуры. Это помогает выявлять ошибки при обновлении антивирусных баз, программные и аппаратные сбои, перегрев оборудования и другие важные события, влияющие на корректность работы других систем.

Выполняет требование ОДТ.3 Приказа №239.

• Анализ уязвимостей и их устранение. Обычно поиск уязвимостей – задача специализированных решений. Но в «СёрчИнформ SIEM» такая функция есть: в систему встроен сканер, который использует девять баз данных уязвимостей. Это БДУ ФСТЭК, IBM X-Force, OpenVAS (Nessus), MITRE CVE и др. После обнаружения уязвимости можно поставить задачу на ее устранение при помощи инструмента совместной работы Task Management.

Выполняет требование АУД.2 Приказа ФСТЭК №239.

• Контроль и анализ сетевого трафика. Для контроля корпоративного веб-трафика SIEM должны получать данные по какому-либо из сетевых протоколов. Решение «СёрчИнформ» делает это при помощи коннектора NetFlow. Он получает данные от шлюзов, роутеров и т.д. Коннектор к DLP «СёрчИнформ КИБ» поставляет в SIEM выводы контентного анализа трафика – то есть что именно в нем передавалось и не нарушала ли передача этих данных политики безопасности. Это позволяет увидеть полную ИБ-картину в одном окне.

Выполняет требование АУД.5 Приказа №239.

• Анализ действий отдельных пользователей. Такие сведения собирают контроллеры домена, операционные системы, СУБД. «СёрчИнформ SIEM» получает их из Active Directory, ОС Windows и Linux, включая защищенные российские реализации, СУБД PostgreSQL, MS SQL, Oracle и т.д. Собранные данные, например, об авторизации и завершении сеансов, помогают расследовать инциденты и выявлять пострадавших или причастных к ним сотрудников.

Выполняет требования АУД.9 Приказа №239 и РСБ.8 Приказов №17 и №21.

• Принятие мер по предотвращению повторного возникновения компьютерных инцидентов. SIEM собирают все подробности инцидентов: например, можно отследить цепочку событий, которая привела к происшествию. Эти сведения нужны ИБ-специалистам, чтобы устранить подобные угрозы в будущем: например, создать правила корреляции, которые впредь выявят угрозу «на подходе». В «СёрчИнформ SIEM» также можно настроить автоматические реакции, когда система выявит ранние признаки проблемы. Например, система подаст команду ОС на блокировку учетной записи, если есть признаки, что та скомпрометирована. Это позволит впредь остановить инцидент до наступления критических последствий.

Выполняет требование ИНЦ.5 Приказа №239.

• Генерирование временных меток. SIEM фиксируют все детали обнаруженных инцидентов. В том числе регистрируют: когда произошло ИБ-событие и когда источник сообщил о нем в систему.

Выполняет требования АУД.3 Приказа №239 и РСБ.6 Приказов №17 и №21.

Как SIEM помогает другим средствам защиты

В Приказах ФСТЭК №239, №17 и №21 есть блоки требований (управление доступом, идентификация и т.д.), для которых SIEM выступает в качестве вспомогательного решения. Усиливает или дополняет иное средство защиты, которое работает в качестве основного. Например, отслеживает корректность работы других систем или обеспечивает дополнительный контроль за соблюдением ИБ-политик. К таким задачам можно отнести:

• Управление доступом и распределение прав пользователей. «СёрчИнформ SIEM» имеет встроенные коннекторы к контроллеру домена, ОС, СУБД и т.д. Таким образом система позволяет ИБ-специалисту в одном окне контролировать соблюдение регламентов, связанных с полномочиями пользователей в инфраструктуре: от неправомерного повышения или ошибок в изменении прав доступа до подозрительных действий пользователей.

Помогает выполнить требования блока УПД. Приказа №239.

• Обнаружение и предотвращение компьютерных атак. SIEM получают информацию о компьютерных атаках от межсетевых экранов, коммутаторов, сетевого оборудования и других источников. Это средства защиты, которые самостоятельно противостоят внешним атакам, но SIEM позволяет объединить результаты их работы. Например, сопоставить алерты об атаке из разных систем в правиле кросс-корреляции и послать им команды на реагирование по необходимому сценарию.

Помогает выполнить требование блока СОВ. Приказов №239, №17 и №21.

• Управление физическим доступом. «СёрчИнформ SIEM» интегрирована с разными СКУД, например, RusGuard. Благодаря этому в ней можно отслеживать корректность работы системы, а данные из нее (кто и куда ходит) помогают организовать контроль физического доступа с учетом других рисков.

Помогает выполнить требование ЗТС.3 Приказа №239.

• Блокировка доступа к запрещенным ресурсам. SIEM следит за корректностью работы фильтров и правил, настроенных в NGFW, DLP и других ИБ-системах. ИБ-специалист проконтролирует корректность их работы и сможет скорректировать настройки, если будет зафиксирован доступ к нежелательному ресурсу, еще не включенному в «черные списки». Для этого в SIEM можно импортировать данные систем Threat Intelligence о скомпрометированных IP-адресах, сайтах и доменах. Например, «СёрчИнформ SIEM» поддерживает импорт индексов компрометации из баз ФинЦЕРТ – это актуально для банковского сектора.

Помогает выполнить требование ЗИС.18 Приказа №239.

• Контроль функционирования и перемещения виртуальных машин. SIEM контролируют системы виртуализации, виртуальные среды и действия в них при помощи встроенного VMware-коннектора. Она показывает, когда пользователи заходили или пытались войти в виртуальные машины, удаляли их и т.д.

Помогает выполнить требования ЗИС.39 Приказа №239 и ЗСВ. 2, 6 Приказов №17 и №21.

• Защита машинных носителей информации. В «СёрчИнформ SIEM» реализован DeviceConnector, который получает данные о подключении съемных устройств и действиях с ними пользователей. Эти сведения берутся из DLP, поэтому ИБ-специалист заодно увидит, не копировали ли конфиденциальные данные на флешки, диски или виртуальные машины в нарушение политик безопасности. Дополнить картину помогают события из ОС, антивирусов и других источников. Поэтому контроль инцидентов со съемным оборудованием будет полным.

Помогает выполнить требования ЗНИ.2 и 7 Приказов №17 и №21.

• Управление изменениями. Любая SIEM контролирует конфигурацию ИТ-инфраструктуры, выявляет неправомерные изменения или сбои. В «СёрчИнформ SIEM» для этого есть готовые правила корреляции, например, мониторинг изменений Active Directory. Как контроль изменений работает на практике, мы рассказывали на вебинаре.

Помогает выполнить требование УКФ.2 Приказа №239.

Для удобства разместили все нормативные требования, выполняет «СёрчИнформ SIEM», в памятку.

Внутри нее графические таблицы с названиями ИБ-задач, категориями систем, для которых они обязательны, а также указание, насколько их выполняет SIEM: частично или полностью.

Бонус: как SIEM облегчает взаимодействие с регуляторами

ИБ-требования регуляторов распространяются не только на организацию защиты, но и на конкретные действия при обнаружении инцидентов. Субъекты КИИ должны незамедлительно уведомлять уполномоченные органы о компьютерных инцидентах через систему ГосСОПКА, а о результатах расследования в течение 72 часов. Операторы персональных данных – сообщать в Роскомнадзор об инцидентах с персональными данными в течение суток с момента обнаружения.

SIEM помогают вовремя зафиксировать инцидент, быстро и полно провести расследование. Но кроме того помогают удобно и быстро отчитаться регулятору «по форме». Например, «СёрчИнформ SIEM» интегрирована с ГосСОПКА. Можно автоматически сформировать отчет для НКЦКИ на основе любого инцидента, он отправляется нажатием одной кнопки.

Что это дает?

«СёрчИнформ SIEM» выполняет основные задачи класса SIEM и решает ИБ-задачи, установленные регуляторами. Проводит аудит корпоративной сети, собирает события безопасности из разных источников, безопасно хранит их и выявляет инциденты. Показывает и пересылает собранную информацию для информирования уполномоченных органов и проведения расследований.

Также система усиливает другие средства защиты и объединяет их эффект. Показывает общее состояние инфраструктуры в одном окне, отслеживает корректность и эффективность работы других решений и выявляет комплексные инциденты, которые невозможно заметить в рамках одной системы.

«СёрчИнформ SIEM» не только помогает выполнить требования регуляторов, но и повышает общий уровень ИБ. При этом эффективно работать с системой может даже специалист уровня Junior. Попробовать функционал «СёрчИнформ SIEM» и убедиться в этом можно бесплатно на 30 дней.

 

erid: 2SDnjcPr397

* Реклама, Рекламодатель ООО «СерчИнформ», ИНН 7704306397