Очень часто, когда заходит речь об обеспечении прозрачности сети и безопасности на базе анализа сетевых потоков с помощью StealthWatch, люди говорят: "Да у нас уже установлена SIEM!", или "наш SIEM уже собирает NetFlow". Давайте попытаемся понять, чем StealthWatch отличается от SIEM, какие проблемы связаны с использованием SIEM и т.п.

Что такое SIEM (для непосвященных)?

SIEM (Security Information and Event Management) - это программная или аппаратная технология, которая выполняет функцию сопоставления информации, полученной из разных источников (log-файлы, SNMP, даже в некоторых случаях NetFlow) с целью идентификации структуры (pattern) в данных, которая может свидетельствовать о аномальном событии. Существует несколько очень качественных SIEM: ArcSight компании HP, Q1 Labs Qradar компании IBM, RSA enVision, LogRhythm и др.
Например, корреляция пиков утилизации интерфейса с данными Syslog, указывающая, что пользователь вошел на хост с ранее неизвестного источника может быть очень интересной. Если такое не происходило ранее, это может быть даже еще более интересным. Если этот хост является сервером, содержащим, скажем, исходные коды вашего софта, это вообще очень интересно. Это простой пример фактов, которые может сопоставлять SIEM, тем не менее этот пример показывает, как подобный тип информации может быть полезен.

Проблема в SIEM

SIEM - очень хорошая система в том, что она делает, и ее полезно иметь всем организациям с распределенной инфраструктурой, но у нее есть несколько врожденных проблем, которые связаны исключительно с данными, которыми оперирует SIEM. Понимание этих проблем не только позволяет лучше использовать эту систему, но и знать, как дополнить информацию, которую она предоставляет (или, в отдельных случаях, не предоставляет).

• SIEM предоставляет аналитическую информацию только о данных, которую они обрабатывают.
  Вы уверены, что все устройства и системы вашей сети посылают информацию в вашу SIEM? Существуют ли области сети или хосты, из которых вы не получаете информацию? Ваша система не может сравнивать данные, которые не передаются в нее, и, когда мы начинаем фокусироваться на уровне хостов, это может означать сотни, тысяч или сотни тысяч хостов, которые должны передавать в SIEM информацию для обеспечения полной прозрачности.
• Зараженные хосты уже не могут быть надежным источником данных логов.
  Когда хост в вашей сети заражен или поврежден (вне зависимости, было ли это вредоносное ПО или просто идиотские действия пользователя), данным логов такого хоста уже доверять нельзя и с ними обращаться надо с осторожностью. Прежде всего, вредоносное ПО совсем не стремится рекламировать свое присутствие, и то, что мы можем найти в Windows Event Log, к примеру, может быть просто попыткой прикрыть свое присутствие такой программой.
• Масштабируемость и цена.
  Тут нет особого выбора, SIEM может стать исключительно дорогой. Масштабируя эту систему согласно требованиям вашей организации для обеспечения прозрачности сети, можно выбиться далеко за бюджет и в некоторых случаях очень далеко. Многие производители SIEM стремятся продавать лицензии в зависимости от такого параметра, как событие в секунду (или аналогичного), и по мере того, как ваш SIEM начинает осуществлять мониторинг все большее количество устройств и систем, цена буде расти. Может быть сложно в рамках бюджета увеличить мощность SIEM до размеров, который вам действительно нужен, и вы поймете, что уровень прозрачности, который вы хотите иметь, уже вам не по силам.

Некоторые SIEM собирают NetFlow

Некоторые системы уже собирают NetFlow и начинают сопоставлять эти данные с информацией, которую они также агрегируют. Это действительно хорошая идея, но, к сожалению, опять в игру вступают масштабируемость и ее цена. Часто (но не всегда) SIEM не способна собирать NetFlow с той скоростью, с которой эти данные генерирует ваша сеть. Ваша SIEM может рассматривать каждую запись потока как событие, что также может повлиять на вашу лицензию. Каждая запись NetFlow с каждого устройства может не быть логически ассоциированной с  масштабным обменом данными, которые осуществляется в сети (кстати, это может делать StealthWatch - это то, что называется сшиванием потоков). SIEM может быть также ограничена в терминах типов сетевого поведения, которые она сможет идентифицировать из потоковых данных, которые собирает.

StealthWatch разработан с целью обработки гигантских объемов потоковых записей, дедуплицирования и сшивки их, привязки каждого из наблюдаемых хостов в сети к различным индексам, основанных на текущем и прежнем поведении хостов, сигнализации о всех типах поведения или, если необходимо, пересылки все сигнальной информации в SIEM или другой источник Syslog. С этой точки зрения, вы получает уже аналитику на базе ваших потоковых данных, а не просто "сырые" потоки.
StealthWatch обеспечивает полную прозрачность сети, используя устройства, которые вы уже имеете. Если устройство поддерживает NetFlow (или какой-либо тип потоков), вы можете контролировать эту часть сети, просто включив это устройство. Чем больше таких устройств включено, тем более "ясную картинку" предоставляет StealthWatch. Эта система не ограничена тем, что вы обрабатываете на уровне хостов - коммуникации хостов по всей сети будут видны, не зависимо от того, происходят ли они благодаря разрешенной активности, или деятельности вредоносного ПО или чего-то еще.
Сбор потоков закрывает пустое место между захватом пакетов и SIEM. Собирая NetFlow, можно обеспечить сбор полного объема коммуникаций между хостами до самой нижней ветви сети, и этот уровень визуализации критичен для обнаружения современных комплексных угроз. Внедрить надежную систему захвата внутренних пакетов для обеспечения полной прозрачности сети практически невозможно с точки зрения затрат и необходимого объема систем хранения и более подходит для более конкретных целей. SIEM лучше всего устанавливать для "рисования очень больших картин". Поэтому почему бы не добавить в картину последние штрихи с помощью системы сбора и анализа NetFlow с помощью StealthWatch?