Открыть сервис

Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (Security Information and Event Management, SIEM; также используется термин «система обнаружения вторжений» — Intrusion Detection System, IDS, и «система предотвращения вторжений» — Intrusion Prevention System, IPS) — это программный или программно-аппаратный комплекс, предназначенный для мониторинга событий безопасности в компьютерных сетях, выявления аномальной или вредоносной активности, а также (в случае IPS) для автоматического блокирования угроз. В зависимости от реализации, такие системы могут работать на уровне сети, хоста или приложений, обеспечивая централизованный сбор, корреляцию и анализ данных о подозрительных действиях. Основной целью является своевременное обнаружение атак, попыток несанкционированного доступа, распространения вредоносного кода и нарушений политик безопасности, а также предоставление инструментария для реагирования (в том числе автоматического) на инциденты.

История развития

Ранние этапы (1980–1990-е годы)

Первые прототипы систем обнаружения вторжений появились в конце 1980-х годов. В 1987 году Дороти Деннинг опубликовала работу «Модель обнаружения вторжений», которая легла в основу большинства современных IDS. Ранние реализации, такие как система Haystack, использовали статистические методы для выявления аномалий в сетевом трафике. К середине 1990-х годов стали популярны сигнатурные методы, основанные на сравнении трафика с базой известных атак (например, система Snort, созданная в 1998 году). Одновременно развивались хостовые системы, анализирующие системные журналы (syslog) и поведение процессов.

Эпоха SIEM (2000-е годы)

С начала 2000-х годов с ростом объёмов сетевого трафика и числа инцидентов возникла потребность в централизованной корреляции событий от разных источников (файрволы, антивирусы, системы авторизации). Это привело к появлению класса SIEM-систем (Security Information and Event Management). Первые коммерческие продукты, такие как ArcSight (основан в 2000 году) и Splunk (изначально как платформа для машинных данных, с 2003 года), начали интегрировать сбор, нормализацию и корреляцию логов. SIEM-решения позволили не только обнаруживать атаки, но и проводить долгосрочный анализ инцидентов, хранить данные для соответствия требованиям регуляторов.

Современность (2010-е – настоящее время)

В 2010-е годы развитие облачных технологий, интернета вещей (IoT) и повышение сложности кибератак (APT-группы, целевые атаки) привели к внедрению методов машинного обучения и анализа поведения (User and Entity Behavior Analytics, UEBA). Многие IDS/IPS перешли на анализ не только сетевого трафика, но и потоков данных, а также стали использовать алгоритмы для выявления аномалий без чётких сигнатур. В России активно развиваются собственные решения (например, «СёрчИнформ SIEM», «Мета»), соответствующие требованиям регуляторов, в частности ФСТЭК России. Сегодня системы обнаружения и предотвращения вторжений делятся на традиционные сетевые IDS/IPS (часто как часть межсетевых экранов нового поколения — NGFW) и более продвинутые платформы SIEM с элементами SOAR (Security Orchestration, Automation, and Response).

Классификация

Системы обнаружения и предотвращения вторжений классифицируются по ряду признаков: по методу обнаружения, по месту установки, по типу анализируемых данных.

По методу обнаружения

По месту установки и типу анализируемых данных

По типу реагирования

Архитектура и ключевые компоненты

Типовая SIEM-система включает несколько функциональных блоков:

В IDS/IPS на уровне сети (например, Snort или Suricata) архитектура проще: пакетный процессор (перехват трафика), декодер (разбор протоколов), движок сопоставления с сигнатурами (для Snort), модуль аномалий, и модуль вывода (alert/pass/block).

Применение и значение

В корпоративной среде

Основные задачи: защита внутренних сегментов сети от атак, мониторинг активности сотрудников, обнаружение вредоносного ПО (трояны, шифровальщики), выявление утечек данных (Data Loss Prevention, DLP). В РФ такие системы используются в организациях, подведомственных ФСБ, ФСТЭК, а также в банковской сфере (в соответствии с требованиями ЦБ РФ по обеспечению кибербезопасности). Для государственных информационных систем (ГИС) обязательным является внедрение сертифицированных SIEM-систем, например, «СёрчИнформ SIEM» или «Мета».

Соответствие регуляторам

Многие системы SIEM/IDS/IPS удовлетворяют требованиям стандартов: ISO 27001, PCI DSS (для платёжных систем), Федеральный закон № 152-ФЗ (о персональных данных), приказы ФСТЭК (требования к СЗИ). Например, наличие системы обнаружения вторжений обязательно для операторов персональных данных, обрабатывающих категории чувствительных данных (здоровье, биометрия).

Критика и ограничения

Примеры коммерческих продуктов

Зарубежные (распространены в мире, но в РФ могут быть ограничены в связи с санкциями)

Splunk (SIEM-платформа с мощным движком корреляции и поддержкой машинного обучения. В России использование Splunk может быть ограничено в связи с санкциями, но продукт по-прежнему доступен в некоторых крупных компаниях.

Отечественные (сертифицированы ФСТЭК)

Перспективы развития

Современные тенденции связаны с интеграцией IDS/IPS в концепции XDR (Extended Detection and Response) и облачных решений. Технологии машинного обучения и искусственного интеллекта позволяют создавать системы, способные выявлять ранее неизвестные атаки с минимальным участием человека. В России также отмечается развитие систем на основе анализа поведения пользователей (UEBA) и автоматизации реагирования (SOAR). На фоне роста числа целенаправленных атак на государственные и коммерческие объекты роль этих систем постоянно возрастает, однако остаются проблемы с полнотой покрытия сетей и необходимостью квалифицированного персонала для настройки и эксплуатации.

См. также

Источники

  1. Деннинг Д. «Модель обнаружения вторжений» (1987).
  2. Северная Кратия (SNORT) — описание архитектуры, Cisco Systems.
  3. «Программно-аппаратные системы защиты информации» — ФСТЭК России, перечень сертифицированных средств защиты информации.
  4. «SIEM-системы: обзор рынка и практическое применение» — журнал «Сети/Network World», 2019.
  5. «Методы обнаружения вторжений в корпоративных сетях» — НИЯУ МИФИ, кафедра Кибербезопасности, 2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →