Обзор решений UBA, SIEM и SOAR: в чем различия👨⚕️ |

В целях обеспечения защиты конфиденциальных данных компании все чаще интегрируют системы информационной безопасности в свои ИТ-отделы.

В настоящее время мотивация сводится к решающей роли информации в бизнес-процессах.

Поскольку спектр доступных систем информационной безопасности постоянно расширяется, компаниям необходимо иметь представление о типах этих систем и, что самое важное, знать, как отличать их друг от друга.

Содержание

Вступление
Понимание UBA, или ловля преступника с поличным
Принципы систем UEBA
SIEM: впустить всех и никого
Компоненты SIEM
Автоматизация и мониторинг с помощью SOAR
Заключение

Вступление

Информационная безопасность подразумевает защиту всей информационной среды.

Необходимо защищать не только сами данные, но и средства защиты должны также охватывать носители данных и всю инфраструктуру.

Следовательно, решения ИБ должны обеспечивать технические, административные и правовые аспекты, а также отслеживать поведение пользователей для предотвращения утечек данных и раскрытия коммерческой тайны.

Чтобы обеспечить полное соответствие решения по информационной безопасности требованиям организации, механизмы защиты данных обычно делятся на нормативные (неформальные) и технические (формальные).

Неформальные методы включают административные, а также моральные и этические нормы, такие как кодекс поведения, стандарты поведения на рабочем месте, корпоративная культура и т. д.

Формальные методы охватывают программное обеспечение и различные технические компоненты (аппаратное и другое оборудование).

Программные механизмы защиты могут быть реализованы с помощью автономных приложений или сложных систем.

К последним относятся решения UBA, SIEM и SOAR.

Это наиболее распространенные подходы ИБ.

На данный момент они широко внедряются в бизнес, хотя SOAR появился совсем недавно.

Давайте попробуем выяснить, почему эти три типа являются самыми популярными во всем мире.

Понимание UBA, или ловля преступника с поличным

UBA (анализ поведения пользователей) является наиболее распространенным инструментом кибербезопасности такого рода.

Эта система использует технологии машинного обучения и обработки данных для обнаружения аномальной активности пользователей.

Вот как работает UBA:

Он собирает информацию о типичных шаблонах поведения пользователя в конкретной среде. Например, он может определить список приложений и веб-сайтов, которые сотрудник обычно использует на рабочем месте.
Он генерирует модель типичного поведения.
Он идентифицирует активность, которая отклоняется от нормы, мгновенно регистрируя ее и помечая экземпляр как потенциальную угрозу.

Чтобы построить типичную модель поведения, UBA использует свои основные принципы науки о данных.

В случае компрометации данных деятельность злоумышленника будет резко отличаться от поведения владельца учетной записи.

Давайте проиллюстрируем этот рабочий процесс.

Предположим, нам нужно построить модель того, как сотрудник по имени Андрюха Селиванов использует VPN-серверы.

Мы можем начать с записи атрибутов соединения, включая время начала и окончания сеанса, страну назначения, IP-адреса и т. д. каждый раз, когда он выходит в сеть.

Затем для каждого из этих атрибутов мы можем сгенерировать модель и проанализировать ее, определив, что является нормой и что является аномалией.

В этом примере мы создадим модель, основанную на странах, в которых размещены VPN-серверы, к которым Андрюха Селиванов подключается.

Каждый раз, когда Андрюха Селиванов выходит в сеть, мы регистрируем информацию о стране назначения.

Далее мы агрегируем данные, собранные в течение определенного периода времени, и отсортируем страны в нашем списке по частоте подключений.

После того, как порог нормального поведения был определен, UBA может легко обнаружить аномальную активность.

Решение поднимет красные флажки на любых VPN-соединениях в странах, которые находятся за пределами диапазона нормальных частот соединения.

UBA также может идентифицировать злоупотребление привилегированным аккаунтом и подозрительное время подключения.

Большинство сотрудников организации имеют четкие графики работы, приходя и уходя примерно в одно и то же время.

Когда сотрудник выполняет внутреннюю работу, планирует скопировать проприетарные данные со своего компьютера и в дальнейшем передать их третьему лицу, он может припоздниться с работы, чтобы коллеги не заметили махинации.

Аналитические системы поведения могут обнаружить такую активность.

Принципы систем UEBA

UEBA (анализ поведения пользователей и сущностей) – это расширенная версия UBA, которая позволяет отслеживать не только отдельных пользователей, но и компьютеры в сети, то есть по всему периметру ИТ.

Системы UEBA собирают информацию о хостах, приложениях, сетевом трафике и средах хранения данных.

Таким образом, он может анализировать взаимодействие между операторами и оборудованием, чтобы обеспечить полную прозрачность рабочих процессов и определить более широкий спектр угроз, связанных с пользователями, а также с объектами ИТ-инфраструктуры.

SIEM: впустить всех и никого

По сути, SIEM (информация о безопасности и управление событиями) – это система сбора и сопоставления событий, связанных с информационной безопасностью.

Первоначальная идея, лежащая в основе его появления, заключалась в том, чтобы собирать и регистрировать все события, а затем сопоставлять их для выявления потенциальных угроз.

Такое решение дополнительно позволяет организациям проверяться на соответствие общим стандартам ИБ, таким как GDPR, PCI-DSS и др., а также облегчает отчетность.

Компоненты SIEM

Посмотрев на название этой системы, мы увидим, что это комбинация двух технологий, а именно SIM (управление информацией о безопасности) и SEM (управление событиями безопасности). SIM-карте поручено объединять всю информацию в одном месте и эффективно управлять ею.

SIM-карта поддерживает функции централизованного управления ведением журналов, включая поиск в журналах и отчеты, необходимые для аудита.

SEM, в свою очередь, предназначен для обнаружения и управления угрозами.

Способ работы SEM напоминает анализ угроз в реальном времени в сочетании с использованием правил корреляции для обнаружения инцидентов.

Он также включает функции управления инцидентами, которые позволяют создавать тикеты (администрирование сервера) и предоставлять функции безопасности.

Автоматизация и мониторинг с помощью SOAR

Инструменты для сбора и анализа данных уже есть.

Что дальше?

Управление безопасностью не ограничивается только стадией обнаружения угроз.

Аналитики и группы реагирования на инциденты по-прежнему должны предоставлять отзывы об обнаруженных ими инцидентах.

Эволюция SIEM благодаря добавлению автоматизации различных случаев в смесь породила новую категорию систем, которая фактически опередила прототип.

Она было названа SOAR.

Однако в зависимости от сущности такой системы она может иметь различную интерпретацию:

Security operations, analytics, and reporting (SOAR);
Security orchestration, automation, and response (SOAR).

SOAR – это специально разработанное решение для сбора данных об угрозах, поступающих из разных источников, и последующего анализа этих данных.

Основные характеристики SOAR включают в себя:

Интеграция технологий / инструментов, необходимых для принятия решений на основе отчетов о состоянии системы безопасности и оценки возможного уровня риска;
Автоматизация процессов;
Управление инцидентами с использованием сквозного подхода (определение приоритетов, регистрация всех действий по реагированию на инциденты, принятие решений в соответствии с политикой компании);
Визуализация данных, связанных с ключевыми показателями, отчетами сотрудников и документацией.

Огромным преимуществом использования SOAR является то, что оно позволяет полностью автоматизировать процессы управления информационной безопасностью, начиная от назначения приоритетов и заканчивая реагированием на инциденты.

В отличие от анализа журналов, предоставляемого SIEM, решения SOAR вобрали в себя целый ряд различных технологий, которые поддерживают деятельность сервисных центров и служб мониторинга.

SOAR может интегрировать данные об угрозах для системы безопасности, которые поступают из разных источников.

Это достигается с помощью трех основных модулей:

Модуль реагирования на инциденты безопасности облегчает процесс выявления инцидентов. Он также импортирует информацию из применяемых решений и настраивает процессы.
Чтобы установить приоритеты уязвимостей, системы SOAR используют модуль Response Vulnerability. Он помогает определить степень подверженности критических бизнес-систем угрозам.
Модуль «Аналитика угроз» предназначен для выявления признаков возможного компромисса и отслеживания угроз на более глубоких уровнях. Его основное преимущество заключается в том, что он поддерживает различные стандарты, применимые для обмена данными об угрозах. Кроме того, этот модуль позволяет добавлять пользовательские источники и обмениваться информацией с внешними системами.

Заключение

При выборе решения по информационной безопасности руководители компании должны понимать, какие именно процессы она должна контролировать.

SIEM, UBA, SOAR или любая другая система не решат проблемы ИБ автоматически.

Вместо этого решение поможет автоматизировать рутинные процедуры, которые в противном случае выполняются оператором.

Как правило, крупные компании имеют свои внутренние системы защиты данных.

Если это так, то стоит проанализировать уже имеющиеся инструменты, чтобы избежать избыточности и перегрузки системы.

Поведенческий анализ и оркестровка могут быть чрезвычайно полезны, если есть текущие рутинные задачи, которые можно безопасно автоматизировать.

Решения с открытым исходным кодом должны помочь малым предприятиям.