SIEM est mort, vive le Next-Gen SIEM!

Все беды в этом мире происходят оттого, что вещи не называются своими именами.

Иногда возникает ощущение, что современный мир превратился в войну buzzwordов, сокращений и названий. Различные корпорации, государственные организации и активисты в общем-то говорят об одном и том же, но каждый хочет «пропихнуть» своё слово, своё определение, свою аббревиатуру.

И немудрено, под старые вещи, названные новыми именами выделяются государственные средства, маркетингом осваиваются новые рекламные бюджеты, корпоративным заказчикам продвигаются новые продукты и решения, взамен «устаревших» вещей под старыми терминами.

Рассмотрим, например, публикацию 65% of security pros say SIEM is dead. Провокационный и даже наверное пугающий заголовок, в самой заметке всё ещё страшнее:

John Linkous, vice president and chief security and compliance officer at eIQnetworks, explains, “Just as signature-based technologies long ago stopped being the only effective line of defense for enterprise and government networks, the SIEM approach of relying entirely on logs and other event-based information to effectively address modern enterprise threats is now dead, as well.

Поиск по сигнатурам не помог, анализ логов и вообще событий ИБ тоже уже не тянет! Куда податься?! Что делать?! Неужели есть какой-то новый подход вместо корреляции событий?

Похоже у elQnetworks есть что предложить вместо SIEM? Безусловно! Читаем просто заголовки:

From SIEM to Unified Situational Awerness

Чем же оно более unified, чем SIEM?

NGS — next generation siem

Ура! Новое сокращение.

Так что же в итоге? Может действительно пора SIEM-системы похоронить? Ответ от практиков ИБ:
SIEM: Dead or alive?

Dr. Anton Chuvakin, research director at Stamford, Conn.-based Gartner, says no single security measure is adequate on its own, but that SIEM is a tool, and still a good one. «If the question is, ‘Does it stop hackers?’ then the answer is no. It’s not supposed to stop anything,» he says. «It is a monitoring technology, and it is still effective — more so than before.»

Ed Bellis, CEO of HoneyApps Inc., notes that, «every year we go ’round and ’round, saying ‘X’ technology is dead,» but he says the reality is what he declared in a recent speech: «The era of declaring a specific technology dead is dead.»

+1: не прибавишь, не убавишь. Пора вспомнить принцип старого монаха-францисканца Уильяма Оккама и не плодить сущности без необходимости.

Однако, справедливости ради, конечно, стоит заметить, что и термин SIEM — далеко не первый, в череде подобных, описывающих системы мониторинга и анализа событий АС. Что же попробуем посмотреть, что у нас есть в этой области и попробуем как-то разграничить эти определения:

Meta-Intrusion Detection Systems (MIDS)

cистемы, использующие набор правил для анализа не обычного сетевого трафика, а уже полученного набора событий от других типов IDS (HIDS,NIDS и т.п.), переданного ими на основе стандартизированного протокола обмена, например IDMEF.

Security information management (SIM)

cистемы, обеспечивающие сбор информации, связанной с ИБ организации в центральный репозиторий для долговременного хранения, и последующего анализа с целью выявления общих тенденций (trend analysis) в области ИБ. В первую очередь к этой информации относят журналы событий различных программных систем (log files, eventlogs), именно поэтому второе название класса таких систем – Log Management (управления журналами). Разумеется, события и информация в области ИБ имеют гораздо более широкое определение, к ним, например, относится не только появление очередной строчки в лог-файле веб-сервера, но и например отметка об изменении аппаратной конфигурации рабочей станции или установка нового ПО.

Security event manager (SEM)

cистемы, обеспечивающие оперативную обработку событий в области информационной безопасности, в отличие от предыдущих решений они концентрируется не на полноте сбора информации и долговременном хранении событий, а на максимально быстрое обнаружение и реагирование на инциденты в области информационной безопасности, зачастую эти системы имеют в своём составе развитые средства оповещения персонала и реагирования (автоматическая проактивная реакция и интеграция с ticket-системами для постановки задач персоналу на устранения проблемы и последующего контроля его работы).

Security Information and Event Management (SIEM)

системы управления информацией и событиями безопасности системы, ставят своей целью объединить и совместить в себе преимущества SIM и SEM. По сути, это – класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия.
SIEM позволяет объединить, а впоследствии провести анализ и корреляцию для обработки следующей информации:

• события, угрозы, риски, инциденты в области ИБ
• сетевая топология, конфигурация АРМ, серверов, СЗИ, сетевого оборудования АС
• внутренние и внешние требования к безопасности АС