Мониторинг событий безопасности с помощью SIEM-систем

В любой организации много информационных систем, взаимодействующих друг с другом, которые обеспечивают все бизнес-процессы. Для их защищенности существует масса технических решений: каждое имеет свой интерфейс, элементы управления и мониторинга, включая логирование событий. Одновременно управлять и отслеживать тысячи событий на всех устройствах — сложная задача, особенно в отсутствие квалифицированных сотрудников.

SIEM-система (англ. Security information and event management) собирает все отчеты и события вместе в едином окне, проводя корреляцию событий и «подсвечивая» критичные инциденты. Это позволяет своевременно реагировать на инциденты с учетом данных от всех инфосистем и оборудования, многократно повышая качество обнаружения, одновременно снижая нагрузку на специалистов по ИБ.

Текущие реалии подталкивают предприятия использовать эти системы и построенные на их основе SOC-центры для комплексного мониторинга, включая защищенность персональных данных пользователей и критической информационной инфраструктуры. Кроме того, многим организациям необходимо взаимодействовать с государством по обмену информацией об инцидентах, для чего организуется канал сбора и обмена данных с государственной системой обнаружения, предупреждения и конечной ликвидации последствий компьютерных атак на инфоресурсы РФ (ГосСОПКА). Некоторые продукты SIEM на российском рынке способны решить эту задачу в базовом функционале.

Внедрение SIEM для критичного сервиса — сайта бронирования и оплаты услуг

На момент старта работ у клиента были внедрены защитные системы от DDoS, межсетевой экран для веб-приложений, а также ряд других средств ИБ. Кроме того, сам сайт имел катастрофоустойчивую инфраструктуру, обособленную от других услуг заказчика. Для старта работ мы смоделировали инфраструктуру заказчика, на которой провели все испытания и тесты. Затем — поочередное подключение сервисов с постоянным обзором активности.

После анализа логов подключенных устройств и настройки правил корреляции на «боевой» инфраструктуре мы обнаружили следы посягательств на ряд сервисов. Например, были атакованы поисковые ресурсы, что выяснилось при анализе логов защитных системы от DDоS. 

Кроме того, в системе были зафиксированы ложные и неоплаченные бронирования, что приводило к простою и нерациональному использованию клиентской платформы. С помощью доработок мы сформировали дополнительные метрики, что помогло выявлять среди всех событий угрозы по этим векторам и дать оперативное реагирование на источники взломов. Уже на этапе пилота были зафиксированы инциденты, приводящие к прямым клиентским убыткам на значительные суммы.

Этот кейс также примечателен тем, что наглядно демонстрирует необходимость отдельной проработки охраны как внутренних, так и внешних ресурсов. Любой ресурс подвержен посягательствам извне на регулярной основе.

Для выполнения проекта по развертыванию Security information and event management ГК «РАМАКС» предлагает полный цикл, который включает:

• инфраструктурное обследование;
• проектирование и внедрение;
• поддержку и сопровождение;
• обучение сотрудников.

Мы работаем с крупнейшими отечественными вендорами — RuSIEM, Positive Technologies и Kaspersky. В портфеле ГК «РАМАКС» — успешные проекты по импортозамещению зарубежных решений, созданию и оптимизации существующей системы с ее техническим сопровождением.