Человек не может анализировать 500 событий в секунду, а программные продукты могут. На этот факт обратил внимание пресейл RuSIEM Алексей Исихара в своем докладе на мартовской онлайн-конференции «День российских IT-решений», организованной OCS Distribution. Речь в данном случае шла о событиях, генерируемых как системами обеспечения информационной безопасности, так и разного рода сетевым оборудованием. А различных ИБ-систем в крупных предприятиях и организациях может быть очень много. При этом каждая из них имеет свой «круг обязанностей». О многообразии ИБ-cистем говорит хотя бы то, что в новом рубрикаторе Единого реестра отечественного ПО, утвержденном приказом Минцифры № 486 от 22 сентября 2020 г., раздел «Cредства обеспечения информационной безопасности» одних только классов ИБ-программ насчитывает 17.

О том, что представляют собой ИБ-системы класса SIEM (Security Information and Event Management, управление информацией безопасности и событиями безопасности) мы рассказывали ещё в 2016-м году. Поэтому не будем повторятся. Добавим лишь, что термин SIEM был предложен Gartner в 2005 г. Эта аналитическая компания до сих пор выпускает соответствующие «магические квадранты». Так, например, в «2020 Gartner Magic Quadrant for SIEM» перечислены продукты 16 вендоров.

Продукт RuSIEM, разработанный одноименной компаний, OCS включила в свой портфель инфраструктурного ПО в ноябре 2019 г. Объяснив это решение тем, что он высоко востребован в России как импортозамещающее SIEM-решение, не только отслеживающее и контролирующее действия пользователей, а также предотвращающее сбои или выявляющее их на ранней стадии, но и автоматически предпринимающее необходимые действия. Тогда отмечалось, что SIEM-решение RuSIEM насчитывает почти десять тысяч установок. Теперь же у компании имеется свыше 100 партнеров по всему миру, а свободно распространяемая версия RuSIEM Free установлена в более чем 10 тыс. компаниях по всему миру. Что же касается коммерческой версии, то она используется в более чем 300 пилотных проектах.

На вопрос «Где может применяться SIEM?» Алексей Исихара отвечает так: «Везде, где из журналов событий можно извлечь полезную информацию». В качестве примеров таких событий он приводит следующие:

  • cетевые атаки;
  • фрод и мошенничество;
  • сообщения о блокировке учетных записей;
  • изменение конфигураций «не админами»;
  • повышение привилегий;
  • выявление несанкционированных сервисов;
  • обнаружение НСД (вход под учетной записью уволенного сотрудника);
  • отсутствие антивирусной защиты на новом установленном компьютере;
  • изменение критичных конфигураций с VPN-подключений;
  • контроль выполняемых команд на серверах и сетевом оборудовании;
  • аудит изменений конфигураций (сетевые устройства, приложения, ОС);
  • аномальная активность пользователя (массовое удаление/копирование);
  • обнаружение вирусной эпидемии;
  • обнаружение уязвимости по событию об установке софта;
  • оповещение об активной уязвимости по запуску ранее отключенной службы;
  • обнаружение распределенных по времени атак и т. д.

Алексей Исихара обращает внимание на то, что «SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников».