SIEM est mort, vive le Next-Gen SIEM!

3 комментария

Все беды в этом мире происходят оттого, что вещи не называются своими именами.

— Конфуций

Иногда возникает ощущение, что современный мир превратился в войну buzzwordов, сокращений и названий. Различные корпорации, государственные организации и активисты в общем-то говорят об одном и том же, но каждый хочет «пропихнуть» своё слово, своё определение, свою аббревиатуру.

И немудрено, под старые вещи, названные новыми именами выделяются государственные средства, маркетингом осваиваются новые рекламные бюджеты, корпоративным заказчикам продвигаются новые продукты и решения, взамен «устаревших» вещей под старыми терминами.

Рассмотрим, например, публикацию 65% of security pros say SIEM is dead. Провокационный и даже наверное пугающий заголовок, в самой заметке всё ещё страшнее:

John Linkous, vice president and chief security and compliance officer at eIQnetworks, explains, “Just as signature-based technologies long ago stopped being the only effective line of defense for enterprise and government networks, the SIEM approach of relying entirely on logs and other event-based information to effectively address modern enterprise threats is now dead, as well.

Поиск по сигнатурам не помог, анализ логов и вообще событий ИБ тоже уже не тянет! Куда податься?! Что делать?! Неужели есть какой-то новый подход вместо корреляции событий?

Похоже у elQnetworks есть что предложить вместо SIEM? Безусловно! Читаем просто заголовки:

From SIEM to Unified Situational Awerness

Чем же оно более unified, чем SIEM?

NGS — next generation siem

Ура! Новое сокращение.

Так что же в итоге? Может действительно пора SIEM-системы похоронить? Ответ от практиков ИБ:
SIEM: Dead or alive?

Dr. Anton Chuvakin, research director at Stamford, Conn.-based Gartner, says no single security measure is adequate on its own, but that SIEM is a tool, and still a good one. «If the question is, ‘Does it stop hackers?’ then the answer is no. It’s not supposed to stop anything,» he says. «It is a monitoring technology, and it is still effective — more so than before.»

Ed Bellis, CEO of HoneyApps Inc., notes that, «every year we go ’round and ’round, saying ‘X’ technology is dead,» but he says the reality is what he declared in a recent speech: «The era of declaring a specific technology dead is dead.»

+1: не прибавишь, не убавишь. Пора вспомнить принцип старого монаха-францисканца Уильяма Оккама и не плодить сущности без необходимости.

Однако, справедливости ради, конечно, стоит заметить, что и термин SIEM — далеко не первый, в череде подобных, описывающих системы мониторинга и анализа событий АС. Что же попробуем посмотреть, что у нас есть в этой области и попробуем как-то разграничить эти определения:

Meta-Intrusion Detection Systems (MIDS)
cистемы, использующие набор правил для анализа не обычного сетевого трафика, а уже полученного набора событий от других типов IDS (HIDS,NIDS и т.п.), переданного ими на основе стандартизированного протокола обмена, например IDMEF.
Security information management (SIM)
cистемы, обеспечивающие сбор информации, связанной с ИБ организации в центральный репозиторий для долговременного хранения, и последующего анализа с целью выявления общих тенденций (trend analysis) в области ИБ. В первую очередь к этой информации относят журналы событий различных программных систем (log files, eventlogs), именно поэтому второе название класса таких систем – Log Management (управления журналами). Разумеется, события и информация в области ИБ имеют гораздо более широкое определение, к ним, например, относится не только появление очередной строчки в лог-файле веб-сервера, но и например отметка об изменении аппаратной конфигурации рабочей станции или установка нового ПО.
Security event manager (SEM)
cистемы, обеспечивающие оперативную обработку событий в области информационной безопасности, в отличие от предыдущих решений они концентрируется не на полноте сбора информации и долговременном хранении событий, а на максимально быстрое обнаружение и реагирование на инциденты в области информационной безопасности, зачастую эти системы имеют в своём составе развитые средства оповещения персонала и реагирования (автоматическая проактивная реакция и интеграция с ticket-системами для постановки задач персоналу на устранения проблемы и последующего контроля его работы).
Security Information and Event Management (SIEM)
системы управления информацией и событиями безопасности системы, ставят своей целью объединить и совместить в себе преимущества SIM и SEM. По сути, это – класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия.
SIEM позволяет объединить, а впоследствии провести анализ и корреляцию для обработки следующей информации:

  • события, угрозы, риски, инциденты в области ИБ
  • сетевая топология, конфигурация АРМ, серверов, СЗИ, сетевого оборудования АС
  • внутренние и внешние требования к безопасности АС

Possibly Related Posts:


Эксперт сообщества Андрей Фадин

Выпускник МГТУ им. Н.Э.Баумана по специальности "Информационная безопасность". CISSP

Рубрика: Приколы. Метки: . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

3 Отзывов на «SIEM est mort, vive le Next-Gen SIEM!»


  1. Kane Security Monitor

    Андрей, спасибо, очень интересно.
    А не кажется ли вам, что аббревиатура «siem» — это коммерческий ход, ведь, фактически, ее цель противодействие компьютерным атакам? Иначе говоря, siem — это просто ids, основанная на системные журналы, ну и, в централизованном сетевом исполнении. Такие системы, базируясь на журналах, позволяют тоже самое, что и log-files ids (from the last century): сбор результатов протоколирования (журналирования), анализ (та жа корреляция) в режиме, близком к РВ, оповещение (реагирование), формирование отчетов, ориентированных на нормотребования, даже включая риск-анализ по выявленным уязвимостям.

  2. Андрей Фадин

    В отличие от СОВ, SIEM анализирует не только сетевой трафик, но и разнородные внешние источники событий (ОС, антивирусы, СОВ уровня хоста и сети, МДЗ, средства аутентификации, сигнализация и т.п.

    В отличие от других СЗИ SIEM хранит журналы событий и изменений конфигурации системы за большие периоды времени (годы), это позволяет построить сложные многоуровневые отчёты по соответствию АС тем или иным требованиям, а также контролировать это соответствие в динамике). Так же эта долговременная база очень полезна для расследования произошедших инцидентов (можно поднять всю историю изменений за любое число, любого месяца

    SIEM как правило подключают ко всем доступным средствам оперативного оповещения (e-mail, SMS, сирены, информационное табло), SIEM здесь служит для централизации, поскольку подключать по отдельности каждое СЗИ к таким средствам оповещения накладно и зачастую невозможно из-за разных протоколов и форматов данных, кроме того на уровне отдельного СЗИ (отдельный сегмент или отдельный узел сети) далеко не всегда возможно адекватно оценить уровень важности событий и наличие угрозы

  3. Kane Security Monitor

    >> В отличие от СОВ, SIEM анализирует не только сетевой трафик…

    Позвольте с вами, батенька, не согласиться! Есть IDS, основанные на мониторинге трафика, есть IDS, основанные на системных журналах (например, Kane), есть — комбинированные (RealSecure).

    >> отличие от других СЗИ SIEM хранит журналы событий и изменений конфигурации системы за большие периоды времени…

    Может и так (реально все SIEM???), фактически, получается:
    siem = log-files ids + datawarehouse.

    >> SIEM как правило подключают ко всем доступным средствам оперативного оповещения (e-mail..

    Ну, опять такие функции присущи IDS, итого:
    siem = log ids + add-on alert

    🙂