ПО для аналитики безопасности. Оценка бюджетных вариантов
Игорь Царьков, ведущий инженер по комплексному применению систем связи и средств защиты информации, ИВК
Основными целями оценки бюджетных вариантов ПО для аналитики безопасности являются:
определение основных конкурирующих продуктов на рынке;
оценка функциональных и стоимостных характеристик продукта;
расчет рекомендуемой стоимости продукта.
Для достижения поставленных целей необходимо провести анализ области применения рассматриваемого программного обеспечения, собрать информацию об аналогичных программных продуктах на рынке ИТ. Собранная информация сводится в таблицы с последующим проведением экспертного анализа.
Для оценки стоимостных характеристик рассматриваемых программных продуктов выбирается метод «экспертных оценок». Этот метод основан на дифференциации стоимости программного продукта с помощью весовых коэффициентов.
Стоимость программного продукта рассчитывается, как произведение суммы весовых коэффициентов за каждую функциональную характеристику коробочного программного продукта на средневзвешенную стоимость оценки. Она может быть определена из следующего выражения:
Р = k * D, | (1) |
где
Р – цена продукта;
k – оценка продукта;
D – средневзвешенная стоимость – стоимостная характеристика одной единицы оценки.
Средневзвешенная цена одной единицы оценки может быть определена из следующего выражения:
| (2) |
,где
n – число исследуемых продуктов,
Pi – стоимость i-ого продукта,
Pj – стоимость j-ого продукта,
Pоц i – цена одной единицы оценки i-ого продукта.
Оценка продукта производится на основе следующего выражения:
| (3) |
,где
m – количество групп;
GHi – весовой коэффициент группы функциональных характеристик (табл.1);
Sij – оценка функциональной характеристики (табл.3).
Sij имеет значение 0, если функциональная характеристика отсутствует, иначе оценка имеет значение от 1 до 3 в зависимости от качества (начальный уровень, базовый уровень, высокий уровень).
При оценке используется функциональный подход, при котором, прежде всего, рассматривается состав необходимых при эксплуатации системы функций, задач, целей. Только после этого выявляются возможные способы технологической или организационной реализации функциональных элементов системы. Это позволяет либо выявить в рассматриваемой системе не несущие функциональной нагрузки элементы, либо совместить в одном элементе выполнение различных функций, решение нескольких задач.
Центральное понятие метода - понятие функций: внешнее проявление свойств объекта в рассматриваемой системе отношений, т. е. в определенной, конкретной предполагаемой или сложившейся обстановке. Как известно, совокупность полезных свойств изделия определяет его потребительную стоимость. Только на эти полезные свойства обращается внимание потребителя. Отсюда и связь функционально-стоимостного анализа с потребительной стоимостью.
Критерии, по которым оценивается программное обеспечение следующие:
• продукты предоставляют пользователям набор ключевых возможностей и функций;
• продукты должны быть доступны на рынке и иметь внедрения у пользователей на определенную дату;
• продукты должны быть ориентированы на сегмент рынка и на центры покупки продуктов безопасности;
• количество установок продуктов и по доходам, получаемых от их продажи (рис.1) компаниями производителями (вендорами) на международном рынке.
На текущий момент существует несколько программных изделий для аналитики безопасности, и только единственный коробочный продукт, сертифицированный по требованиям Министерства обороны РФ. Основной рынок сбыта находится среди коммерческих предприятий среднего и крупного бизнеса, а также государственного сектора.
Широкое внедрение продуктов SIEM обусловлено действием двух рыночных факторов – это обеспечение соответствия требованиям регуляторов: PCI DSS, SOX и др., а также требуемого уровня безопасности для корпоративных сетей.
При оценке необходимо учитывать две главные функции в части сбора и обработки событий безопасности части сбора и обработки событий безопасности (которые поступают от разных источников в сети и компьютерах, в общесистемных и прикладных пакетах программ):
SIM («управление информацией безопасности») обеспечивает
• сбор, хранение и анализ данных (взятых из журналов),
• подготовка отчетов по соответствию нормативным требованиям.
SEM («управление событиями безопасности») обеспечивает
• в реальном времени мониторинг событий безопасности в реальном времени мониторинг событий безопасности,
• выявление и реагирование на инциденты безопасности.
При этом системой безопасности решаются следующие задачи.
1. Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты, на основе стандартов информационной безопасности. Они нужны не только для того, чтобы выполнить требование стандарта. Бывают ситуации, когда инцидент увидели поздно, а события уже давно затерты или журналы событий почему-либо недоступны, и причины инцидента выявить фактически невозможно. Кроме того, соединение с каждым источником и просмотр событий займет уйму времени. В противном случае, без анализа событий, есть риск узнать об инциденте в вашей компании из новостных лент.
2. Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. Часть продуктов унифицирует события и делает их более читабельными, а интерфейс визуализирует только важные информационные события, акцентирует на них внимание, позволяет отфильтровывать некритические события.
3. Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — «login failed»: один случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытках подбора. В простейшем случае правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
4. Автоматическое оповещение и инцидент-менеджмент. Основная задача - не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе HelpDesk, а также своевременно информировать о событии.
Численная оценка весов ключевых показателей, определяется в зависимости от постулирования одного из следующего условий:
· ключевые показатели имеют равные веса;
· система безопасности соответствует требованиям регулятора и (или) политике безопасности организации;
· главной задачей является управление угрозами.
Весовые коэффициенты указанных моделей приведены в таблице 1.
Таблица 1
Значение весовых коэффициентов (GHi) групп функциональных характеристик
Ключевые показатели продуктов SIEM: | Модель | Номер группы (i) | |||
Равные веса | Соблюдение соответствия | Управление угрозами | Общая SIEM | ||
Управление журналами | 16,7% | 20,0% | 10,0% | 20,0% | 1 |
Отчеты о соответствии | 16,7% | 30,0% | 5,0% | 15,0% | 2 |
SEM | 16,6% | 5,0% | 70,0% | 40,0% | |
1 Сбор данных в реальном масштабе времени | 4,15% | 2,0% | 52,5% | 20,0% | 3 |
2. Консоль управления событиями безопасности. | 4,15% | 1,0% | 7,0% | 8,0% | 4 |
3 Корреляция и анализ событий в реальном времени | 4,15% | 1,5% | 3,5% | 6,0% | 5 |
4. Поддержка процессов управления инцидентами. | 4,15% | 0,5% | 7,0% | 6,0% | 6 |
Мониторинг пользователей | 16,7% | 5,0% | 5,0% | 10,0% | 7 |
Мониторинг приложений | 16,6% | 5,0% | 5,0% | 5,0% | 8 |
Простота развертывания и сопровождения | 16,7% | 35,0% | 5,0% | 10,0% | 9 |
Всего | 100,0% | 100,0% | 100,0% | 100,0% |
|
Источники выбираются на основании следующих факторов:
• критичность системы (ценность, риски) и информации (обрабатываемой и хранимой);
• достоверность и информативность источника событий;
• покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети);
• решение спектра задач ИТ и ИБ (обеспечение непрерывности, расследование инцидентов, соблюдение политик, предотвращение утечек информации и т. п.).
Полный обзор функциональных характеристик разных программных решений представлен в таблице 2. Оценка стоимостных характеристик программных продуктов мониторинга интеллектуальных сетей проведена с использованием метода экспертных оценок. В целях этого были взяты все функциональные характеристики (ФХ), которыми могут обладать программные продукты класса SIEM. В основе метода лежит утверждение, что цена товара напрямую зависит от количества даваемой пользы.
Таблица 2
Функциональные характеристики, по которым анализировались SIEM
Функциональная характеристика | Группа | Значение весового коэффициента (Ghi) | Значение оценки |
Access Control, Authentication — для мониторинга контроля доступа к информационным системам и использования привилегий. | Сбор данных в реальном масштабе времени (3) | 20% | 6 |
Журналы событий серверов и рабочих станций | 20% | 6 | |
Сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика). | 20% | 6 | |
IDS\IPS. События о сетевых атаках, изменение конфигураций и доступ к устройствам. | 20% | 6 | |
Антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах. | 20% | 6 | |
Сканеры уязвимостей | 20% | 6 | |
Настройка правил сканирования уязвимостей | 20% | 6 | |
GRC-системы для учета рисков, критичности угрозы, приоритизации инцидента. | 20% | 6 | |
Прочие системы защиты и контроля политик ИБ: DLP, антифрода, контроля устройств и т. п. | 20% | 6 | |
Системы инвентаризации и asset-management с целью контроля активов в инфраструктуре и выявления новых. | 20% | 6 | |
NetBIOS | 20% | 6 | |
RPC | 20% | 6 | |
TFTP | 20% | 6 | |
FTP | 20% | 6 | |
Netflow и системы учета трафика. | 20% | 6 | |
Единый журнал | Управление журналами (1) | 20% | 7 |
Дистанционный доступ к журналам аппаратных элементов сети | 20% | 7 | |
Дистанционный доступ к журналам программного обеспечения сети | 20% | 7 | |
Дистанционный доступ к журналам сетевых устройств сети | 20% | 7 | |
Сетевые атаки во внутреннем периметре | Отчеты о соответствии (2) | 15% | 6 |
Сетевые атаки во внешнем периметре | 15% | 6 | |
Вирусные эпидемии илии вирусные заражения | 15% | 6 | |
Неудаленные вирусы, бэкдоры и трояны | 15% | 6 | |
Попытки несанкционированного доступа к конфиденциальной информации; | 15% | 6 | |
Фрод (незаконное использование ресурсов компьютерных сетей и сетей связи) и мошенничество; | 15% | 6 | |
Ошибки и сбои в работе информационных систем; | 15% | 6 | |
Уязвимости | 15% | 6 | |
Ошибки конфигураций в средствах защиты и информационных системах. | 15% | 6 | |
Чтение журнала syslog | Мониторинг пользователей (7) | 10% | 3,5 |
Чтение журнала eventlog | 10% | 3,5 | |
Выявление изменений в сети | 10% | 3,5 | |
Настройка системы отчетов | 10% | 3,5 | |
Информация о версиях программного обеспечения, его конфигурациях | 10% | 3,5 | |
Устанавливаемые агенты на операционную систему Windows | Простота развертывания и сопровождения (9) | 10% | 4 |
Устанавливаемые агенты на операционную систему Linux | 10% | 4 | |
Серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников; | 10% | 4 | |
Сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции; | 10% | 4 | |
Отсутствие коллекторов на агентах для понимания конкретного журнала событий и системы | 10% | 4 | |
Удаленный доступ для управления устройствами | Консоль управления событиями безопасности (4) | 8% | 3 |
Тестирование реакции системы на события информационной безопасности | 8% | 3 | |
Управление расписанием работы SIEM | 8% | 3 | |
Графическое представление | Корреляция и анализ событий в реальном времени (5) | 6% | 1 |
Расчет параметров корреляции событий безопасности | 6% | 1 | |
Корреляция с известными угрозами | 6% | 1 | |
Генерация инцидентов при отклонении событий от базовой линии | 6% | 1 | |
Создание и запоминание базовой линии поведения | 6% | 1 | |
Отклонение от политики по принципу «все, что не разрешено, — запрещено» | 6% | 1 | |
Корреляции причинно-следственной связи (CBR, GBR, statistical, Bayesian и т. п.) | 6% | 1 | |
Создания правил генерации инцидента | Обработка инцидентов (6) | 6% | 1 |
Уведомление по e-mail | 6% | 1 | |
Управление инцидентами по ITSM | 6% | 1 | |
Взаимодействие с внешними системами HelpDesk | 6% | 1 | |
Статистика по инцидентам | 6% | 1 | |
Фильтрация инцидентов | 6% | 1 | |
Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры. | Инвентаризация (8) | 5% | 0,8 |
Создание профилей элементов сети | 5% | 0,8 | |
Наличие сертификата МО РФ | 100% | 20 | |
Наличие сертификат ВСТЭК | 100% | 10 | |
Количество балов | 263,1 | ||
Количество функций | 56 |
Поэтому все ФХ были разделены на три группы (таблица 3) по степени важности для конечного покупателя. Внутри каждой группы ФХ были оценены разным числом балов, в зависимости от значимости. Разница между присваиваемыми балами необходима для численной оценки важности показателя.
Таблица 3
Важность группы ФХ | Количество элементов | Диапазон оценок |
Высокая | 21 | 6 - 7 |
Средняя | 12 | 3 - 4 |
Низкая | 11 | 0 - 1 |
Кроме этих групп было выделено две функциональные характеристики: «Наличие сертификата МО» и «Наличие сертификата ФСТЭК». Такое решение было принято по причине того, что этот показатель оказывает непропорционально большое влияние на конечную стоимость продукта. Сертификация по требованиям МО РФ и ФСТЭК РФ в зависимости от уровня требований приводит к увеличению стоимости в несколько раз. Существуют также факторы, влияющие на стоимость продукта, но которые невозможно оценить в рамках данного исследования (например, репутация компании, дополнительные услуги т так далее).
При оценивании можно использовать ежегодные отчеты компании NitroSecurity «SIEM Magic Quadrant» за гг., являющиеся одними из самых авторитетных исследований рынка SIEM-систем, признаваемых большинством специалистов, а также материалы исследований российской компании ЗАО "ДиалогНаука" и пр. (Рис.1) На основе анализа отчетов компании NitroSecurity за последние четыре года и с учетом снятия с производства популярной SIEM-системы Cisco Security MARS можно выделить следующую пятерку производителей, являющихся на сегодня лидерами рынка SIEM-систем: HP (поглотившая компанию ArcSight с продуктом ArcSight ESM), IBM (купившая компанию Q1 Labs с продуктом QRadar SIEM), McAfee (Nitrosecurity) с продуктом SIEM, NetIQ (Novell) c продуктом Novell Sentinel и LogRhythm с продуктом LogRhythm SIЕМ 2.0.
Рис. 1 Квадрант программных изделий класса SIEM из обзора компании Gartner
Экспертная оценка количества функциональных характеристик указанных программных продуктов, имеющих оценку больше 0, приведена на рис.2.
Первое место по количеству функциональных характеристик занял ArcSight ESM (51 функциональная характеристика). ИВК ЭСКОРТ занял третье место, реализовав 48 функциональных характеристик.
Суммарные экспертные оценки каждого программного продукта были соотнесены с их стоимостью. С помощью формул (1)-(3) была рассчитана средневзвешенная цена одного балла (табл.4) и расчетная стоимость программ изделий класса SIEM.
Рис.2 Диаграмма количества реализованных функциональных характеристик
Таблица 4
Расчет бюджета ведущих программ класса SIEM
ИВК ЭСКОРТ | ArcSight ESM | QRadar SIEM | McAfee ESM | Novell Sentinel | LogRhythm SIЕМ 2.0 | |
Оценка | 71,34 | 75,91 | 60,62 | 63,16 | 55,16 | 57,59 |
Верхняя оценка стоимости, USD | - | 63 000 | 52 500 | 52 500 | 60 000 | 37 500 |
Нижняя оценка стоимости, USD | - | 31 673 | 45 000 | 43 500 | 52 500 | 36 000 |
Источник оценки стоимости | http://www. ***** | http://www. /press/release/arcsight-announces-arcsight-express/ | http:///resource-center/analyst-reports/details. aspx? id=150 | http://www. /SIEM; (SC magazine Reprlkz ints., 2012 г.) | http://searchsecuritychannel. /tip/Selling-SIEM-Security-information-event-management-for-solution-providers | http://www. /logrhythm/product/3605/ |
Средняя стоимость лицензии, руб. | - | 1 | 1 | 1 | 1 | 1 |
Цена одного бала | - | 19 331 | 24 929 | 23 559 | 31 612 | 19 782 |
Средневзвешенная цена одного бала, руб | 23 842 | |||||
Расчетная стоимость лицензии, руб | 1 | 1 | 1 | 1 | 1 | 1 |
