1

2

Что такое SIEMSIEM – Security Information and Event Management

• Собирает события с различных систем (операционные системы, средства защиты, бизнес-системы, базы данных, сетевая среда)• Приводит к общему формату для дальнейшей обработки• Анализирует разнородные данные и выявляет отклонения, нарушения,

аномалии, выявляет угрозы на основе сигнатур, алгоритмов, математических методов и моделей• Фиксирует инцидент, чтобы он не остался незамеченным, скрытым• Уменьшает время реагирования на возникающие инциденты• *Предотвращает инциденты

3

Что такое SIEMSIEM это не панацея, это не замена

AV/IPS/IDS/DLP/DPI!

• SIEM – аггрегатор информации от различных источников• Получаемые данные слишком разнородны, поэтому приводятся к

одному виду• Данные от источников как «сплетни». Поэтому они проверяются по

нескольким факторам• Это «думалка», визуализация для полученной информации и быстрые

поисковые механизмы• Кроме всего – это защищенное хранилище в котором факты о

случившемся не будут удалены даже администратором.

4

Инциденты

• Сетевые атаки• Вирусные эпидемии• Отключение средств защиты• Злонамеренные действия• Несанкционированный доступ• Использование служебного положения• Отказ в обслуживании• Сбои в работе• Аномалии и всплески• *Мошеннические действия• Несоответствие требованиям Законодательства и регуляторов

5

«Сопутствующие» варианты применения• Расследование инцидентов• Снижение числа ложных срабатываний от СЗИ• Антифрод• Инвентаризация активов• Обнаружение сбоев в работе ИТ инфраструктуры• *Прогнозирование инцидентов ИТ и ИБ• *Прогнозирование состояний активов

6

Зачем SIEM

• Из за большого количества источников – не знаем что происходит в инфраструктуре• Смотреть логи чтобы «понять» - нет ни бюджета ни

свободных сотрудников• Если рассматривать пословицу «Мальчик кричал

волки» - то ваши СЗИ это куча съеденных мальчиков в единицу времени• Слова «Да узнаем когда это случится. Инциденты

ведь происходят не часто» - следует воспринимать как «мне все равно что произойдет с компанией, работу другую найду».

7

А что происходит в инфраструктуре

• Что то «упало». Идут ли бекапы? Или в случае вируса-шифровальщика вам восстановиться будет не из чего?

• «Вася Пупкин» запустил Hamachi. Ваша DLP абсолютно бесполезна так как диск «Васи» подмаплен к домашнему

компьютеру в зашифрованном тоннеле. На другом краю Земли над вашим

Квартальным отчетом смеется группа китайцев.

• «Маша» уже скачала фильм «Злые будни»но не оставлять же других без пира торрента. Интернет то безлимитный. Репликация базы с удаленным филиалом шла безумно долго.

• Администратору Жене было не все равнозаплатите ли премиальные и бонусы после обходного. Скрипт уже был вывешен и сработает автоматически ровно через 7 дней стерев все данные. Спишется все на злых хакеров. Логов ведь все равно не будет.

• Новая внедренная IPS система работает «отлично».Посмотрите сколько писем шлет. Все «видит», обо всем «знает». Видите вот за сегодня 100500 событий.

8

Идеальный кейс в помощь

1. Пригласите хороших пентестеров или объявите «Bug bounty».2. Не ожидайте стороннего воздействия хакеров. Пусть это будет

внезапностью. Считайте что Вы не объявляли никаких конкурсов. Вы же не знаете в другие моменты времени что вас кто то решил взломать.

Постфактум:• Обнаружили ли вы действия посторонних лиц?• Какой процент обнаружения?• Задайте вопрос нам – можно ли это обнаружить?

9

Нужна ли Вам SIEM?

Для начала задайтесь вопросом – а вообще есть что защищать? Есть ли что то ценное и можно ли это защитить?

10

Вам НЕ_нужен_SIEM если:

• У Вас совсем небольшая инфраструктура• Не планируется роста/слияния компаний• Совокупные нижеуказанные стоимости ниже 20% стоимости проекта:

• потери_данных• стоимость_простоя• стоимость_восстановления• потери_преимущества• репутационные/регуляторные риски

• Нет квалифицированных специалистов кто может хотя бы базово понять как закрыть уязвимость и как ее могут проэксплуатировать.

Бюджет можно потратить разумнее купив «бюджетные» продукты и закрыв для начала часть рисков. Ну или open source решения.

11

SIEM не поможет Вам

• В сокращении штата ИТ специалистов• *В автоматическом отражении сетевых атак• Ни в чем, если не обеспечите SIEM необходимыми данными• Ни в чем, если не будет «смотрящего эксперта»/процессов реагирования на

инциденты.

Утро ИТ/ИБ эксперта должно начинаться не с просмотра логов, а с чашечки кофе за просмотром инцидентов SIEM

12

От простого к сложному Откуда, когда и почему блокировались учетные записи Доступ к финансовым сервисам с анонимных сетей Поток данных из продакшн зон в тестовую Изменение конфигураций «не админами» Повышение привилегий (локально, ldap, приложения, бизнес-системы) Выявление несанкционированных сервисов (проброс в продакшн зону, несанкционированный

прокси-сервер) Обнаружение НСД (вход под учеткой уволенного сотрудника) Hacker-profiling (поисковые запросы, попытки повышения привилегий и т.д.) Отсутствие антивирусной защиты на новом установленном компьютере Изменение критичных конфигураций с VPN подключений Статистика работы удаленных пользователей

13

Аудит изменений конфигураций (сетевых устройств, приложений, ОС) Вход в систему под пользователем, отсутствующим в офисе Аномальная активность пользователя (массовое удаление/копирование) Обнаружение распределенной атаки или вирусной эпидемии Обнаружение уязвимости по событию об установке софта Оповещение об активной уязвимости по запуску ранее отключенной службы Обнаружение распределенных по времени атаках (APTx) Влияние отказа в инфраструктуре на бизнес-процессы (отказ базы данных – не сможем оказывать

услугу) ……

От простого к сложному

14

Отличие от конкурентов

Тариф ноль за входящие Отсутствует лицензирование по EPS и объему хранения Нет ограничений по скорости потока и объему хранения Извлечение бОльшего числа полей событий для глубокого детального анализа Приведение событий в читаемый и понятный вид Приведение полей к единому формату Симптоматика, позволяющая понимать о чем событие Обнаружение угроз и аномалий безсигнатурными методами Наличие аналитических моделей и представлений, а не только RBR корреляция Скорость разработки и возможность реализовать ваши «хотелки»

Мы не моем посуду в стиральной машинке

15

Что у нас на входе• События с операционных, бизнес систем, AV, СЗИ, IDM, баз данных и т.п.

(абсолютно любой источник, который может предоставить полезную информацию о состоянии и угрозе)• Сетевой поток (Flow, span/tap порт)• Экспертные данные (симптомы простые и составные, правила корреляции,

аналитические пакетные задания, модели, риск-метрики, параметры нормализации событий и т.д.)• Данные от пользователя (описание границ инфраструктуры и объектов,

запросы, дашборды, прочие настройки)• Фиды (CIF по умолчанию, возможны: *Kaspersky, OTX, Cisco …)• *Данные по инвентаризации, топологии, уязвимостях, открытых портах,

конфигурациях

16

Что на выходе• Инциденты по правилам корреляции• *Инциденты в результате построения и анализа моделей :

• *Поведенческая• Скоринговая• *Baseline• *Регрессионная• *Кластерная• Транзакционная• *Семантическая

• Инциденты в результате анализа «умными» роботами (для определения многофакторных слабозаметных развивающихся во времени угроз)

• Данные для поисковых запросов и аналитики• Скоринговые метрики для акцентирования внимания экспертов• Влияние на соответствие политикам и стандартам

17

Развеем «мифы» и сплетни

С октября 2015 по январь 2015:Мы использовали kibana,logstash,

Чтобы:Быстро стартанутьНаучить разработчиков. В предыдущей компании на

аналогичном проекте я учила на Splunk-е ;)Уменьшить стоимость конечного решения для ЗаказчикаПосмотреть – насколько это будет работать и применимо

18

Что мы усвоили

• SMB рынок большой, но мы не желаем делать siem из г... и веток• У выбранной связки уйма неработающих элементов,

низкая производительность и неприменимость для решения задач больше чем log management.• Доработка open source механизмов до работающего

стабильного релиза обходится дороже собственной разработки• И да. Мы 2 раза поменяли команду собственной

разработки доводя до идеальной

19

Что имеем сейчас• Собственный агент управляемый с сервера для локального и

удаленного сбора Windows event log, событий с таблиц и представлений MsSQL, Oracle, текстовых файлов …

• Написанный с нуля интерфейс для взаимодействия с пользователем

• Корреляцию первой версии• Высокопроизводительные инпуты/аутпуты и обработчики• API• Симптоматику• Трансляторы• Рабочую масштабируемую архитектуру хранения и обработки• Набитую руку на кейсах пилотных внедрений• Обученную команду первоклассных разработчиков

Утопические идеи по разработке собственной базы данных оставим для других

20

На чем построено решение• ОС серверов решения – (Ubuntu Server 14.*/RH-like) X64 на реальном или виртуальном оборудовании.

Разворачивается из OVF или образа

• Агент (пока только под Windows системы) – собственная разработка с защищенным хранилищем и управлением с сервера. Для сервера подписки событий Windows может использоваться дополнительный сервер с win OS и агентом

• Базы данных – Hadoop + Elasticsearch + секрет:)

• MQ: Redis, 0mq, Kafka Apache

• Прием событий – собственные инпуты на с++ и API для агента

• Анализ сетевого трафика – доработанное open source решение

• Нормализация событий – собственные парсеры

• Симптоматика – свое решение

• Корреляция – свое решение

• Интерфейс – свое решение

• Аналитика – свое решение

• Фиды – внешние + наших экспертов

21

• Для Заказчика - black box• Вся настройка – из веб-интерфейса• Доступ к консоли – с браузера по https• LDAP аутентификация• Ролевая модель доступа• Кастомизируемый интерфейс• Возможность добавления пользовательских сущностей (правил, запросов,

симптомов …)• Горизонтальное увеличение производительности и вертикальное

масштабирование• *Возможность автоматического обновления продукта (база знаний, правила

корреляции, батчи, фиды, новые фичи …)

Подробности о продукте

22

Минимальная одно-нодовая конфигурация• Физический сервер или гипервизор• 1 сервер• ОЗУ от 16 GB• Процессор 2x2.4 GHz, суммарно не менее 4х ядер• HDD 100GB под систему + под данные. На что то постарше тестов

желательно RAID/SSD

23

Оптимальная Enterprise конфигурация:

• Минимально 1 нода для сбора и обработки событий• 1 нода для встроенной аналитики и работы с интерфейсом• Опционально: 1 нода для работы с трафиком (span/tap)• Опционально: 1 нода для API к фидам

24

Планы развития (август 2015)

• Интеграция с PaloAlto• Интеграция с Kaspersky SC, Symantec EndPoint• Интеграция с Cisco FireSIGHT (eStreamer)• Допишем ролевую модель• Корреляция v.2.0• Доработаем свои парсеры• Добавим в релиз аналитическую модель• Переработаем работу с источниками и агентами• Добавим раздел работы с трафиком• Группировка весов в симптоматике• Наполнение контента (корреляция, симтоматика, списки)

25

Планы развития (по октябрь 2015)

• Инвентаризация и управление активами• Активное обнаружение активов• Регрессионная модель• Составная симтоматическая модель• Расширенное пассивное обнаружение активов• Интеграция со сканерами уязвимостей• Добавление механизмов обнаружения аномалий и угроз• Динамические активы• Workflow для фиксации и работы с инцидентами• Улучшенный интерфейс и дашборды

26

Планы развития (ближайшие направления)• Расширение управления продуктом через web консоль• Нормализация событий и подключение новых источников

интеграторами через web консоль• Управление конфигурациями в разрезе влияния на соответствие

стандартам и политикам• Интеграции с вендорами для более точного, полного и

оперативного обнаружения угроз• Интеграция с Service Desk системами

27

Варианты внедрения RuSIEM

• All-in-One SIEM решение• Только LM• SOC• Снижение стоимости лицензий имеющихся SIEM систем за

счет фильтрации событий• Антифрод• Аналитическая система

28

Контактная информация:Максим Степченков m.stepchenkov@it-task.ruОлеся Шелестова oshelestova@rusiem.com

Официальный дистрибьютор:

СПАСИБО ЗА ВНИМАНИЕ(Далее – более техническая часть)

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

29

Техническая часть

30

Лишь некоторые принципы в разработке• Пользовательские и системные сущности• Модульность системы• Взаимозаменяемость модулей. Любых. Даже БД.• Буферизация данных между модулями во избежание потерь

данных и сглаживания всплесков• Вертикальная скалируемость• Горизонтальное увеличение производительности• Отсутствие каких либо узлов и архитектуры «звезда»

31

Нормализация

• Все поля сводятся к единому формату• Формат «модели» с вложенными объектами и свойствами• Вложенность рекомендуется до 4-5 уровней• Наименования объектов – вне зависимости от источника. То есть

user.name это имя пользователя и не важен тип источника. Свойство учетной записи определяется другими атрибутами.

Нормализация

33

Производительность одной ноды

• Приемники событий - до 100 000 EPS суммарно• Обработчики – от 5 000 EPS на 1 ядро процессора в 1 поток• Агрегаты – от 4 000 EPS на 1 ядро процессора в 1 поток• Сохранение в БД – от 5 000 EPS на 1 ядро процессора

Производительность кластера не имеет ограничений.

Все тесты производились на реальных событиях при полном разборе полей в JSON формате от источников: MS Windows, Linux Syslog, Bluecoat Proxy, Stonegate. Производительность на элементарном разборе коротких событий как LM - свыше 100 000 EPS

Дашборды

Разделы

Группировка и быстрый поиск

Интервал времени

Количество событий в интервале

АвторефрешНастройка

представления

Выбор представления

Текущий фильтр запроса

Навигация по событиям

Симптоматика и события

Фильтрация запроса

Предварительная фильтрация

запроса

Настройка представления

Поиск с использованнием

симтоматики Настройка полей предварительного

и детального просмотра

событий

Настройка полей грида событий

Настройка представлений

Правила корреляции

Инциденты (пока без воркфлоу)

Мониторинг и управление системой

Управление агентами RuSIEM

Простая симптоматика

Списки

Настройки системы

45

Аналитика• Будет скоро • Задания будут крутиться в фоновом режиме, near real-time,

обрабатывая имеющиеся данные• В первых релизах не будут предоставляться пользователю

возможность управления/изменения аналитических тасков. Пользователю лишь будут доступны результаты в виде инцидентов или простых событий

• Задания работают как по трафику так и по простым событиям• В первых версиях будут учитываться скоринговые,

регрессионные показатели (например, «топ-10 ip адресов имеющих сегодня трафик в сеть DMZ отличный от прошлой недели», «активы, имеющие иные соединения на порт назначения чем на прошлой неделе».

46

Контактная информация:Максим Степченков m.stepchenkov@it-task.ruОлеся Шелестова oshelestova@rusiem.com

Официальный дистрибьютор:

СПАСИБО ЗА ВНИМАНИЕОстались вопросы?

Обращайтесь!

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru