Кратко описание
AlienVault OSSIM (Open Source Security Information Management) е SIEM (Security Information and Event Management) система с отворен код, интегрираща набор от инструменти, предназначени да подпомогнат процеса на поддръжка на информационната сигурност – откриването, управление на последици и предотвратяване на прониквания. Представлява security appliance – специализирана Линукс дистрибуция, работеща върху отделен физически или виртуализиран сървър. Понастоящем, AlienVault OSSIM е част от AT&T Cybersecurity.
OSSIM не само събира различни средства с отворен код, но ги интегрира в общ интерфейс за управление, обмен на данни, възможност за корелиране на събития и управление на инциденти свързани със сигурността. Така OSSIM предоставя на системни и мрежови администратори, DevSecOps и аналитици в областта необходимите средства за събиране, обработване, анализ, представяне и визуализация на информация.
AlienVault OSSIM има автоматизирани механизми за събиране на инвентарна (сканиране на мрежи, детекция на операционни системи, работещи услуги) и лог информация. Сканира за уязвимости, управлява събития, техния контекст и взаимна корелация. Генерира аларми, предписания и ескалира действия в рамките на SOC (Security Operations Center) на организацията.
Чрез активиране на сървър и агенти в различните офиси/локации на организацията, може да се обхване цялостната и дейност в единна система.
Компоненти:
- PRADS – използва се за идентифициране на хостове и услуги чрез пасивно наблюдение на мрежовия трафик
- Suricata – използва се като система за откриване на проникване (IDS – Intrusion Detection System)
- Tcptrack – използва се за анализ на данни от TCP сесии, да предоставя полезна информация за корелиращите механизми
- Munin – използва се за трафичен анализ и наблюдение на услуги
- NFSen / NFDump – използва се за събиране и анализ на NetFlow
- FProbe – използва се за генериране на NetFlow от уловен трафик
- Nagios – използва се за наблюдение на хостове и услуги
- OpenVas – използва се за оценка на уязвимостта на наблюдавани хостове и услуги
- В допълнение OSSIM включва разработени от AlienVault инструменти, като най-важният е генерален механизъм за корелация с логическа поддръжка на директиви и обработка на лог информация със специализирани процесори
Подходящ за:
- Поставяне основи на SOC (Security Operations Center) на организацията
Неподходящ за:
- Решаване на проблемите с информационната сигурност в организации, които нямат съответните човешки ресурси.
- Управление информационната сигурност на голяма организация – същественото ограничение е, че OSSIM обработва информацията само на един сървър
За повече информация:
Защо OSSIM:
- Зрял проект с дългогодишно развитие и широка база от разработчици
- Предлага доста от необходимата функционалност в безплатната версия
- Има комерсиална версия с повече възможности и разширена поддръжка
- Безплатната версия има много добра документация, както и достатъчно надеждна поддръжка от общността на потребителите
- Много добра документация, включително обучаващи клипове и редовни уебинари по различни аспекти на информационната сигурност
Недостатъци:
- OSSIM е opensource вариант на комерсиален и скъп продукт, има мек натиск за преминаване към платената версия
- Макар да решава много задачи, OSSIM не позволява изграждането на тотално, цялостно и автоматизирано решение за информационна сигурност
- Съществуват дребни (но отнемащи време на администраторите на OSSIM) проблеми, които не се отстраняват с години. Все пак следва да се отчита, че големите проблеми се отстраняват достатъчно бързо
- Редовните ъпдейти на OSSIM – няколко пъти седмично, отнемат доста време и понякога се налага отстраняване на проблеми предизвикани от самия ъпдейт
Оценка на необходимите ресурси при внедряване:
- Тъй като OSSIM представлява appliance – инсталацията и базовата конфигурация на сървър и агенти е лесна и бърза
- Началната конфигурация – стартиране на базов мониторинг на сигурността, отнема 2-4 часа
- Разширените конфигурации, включително дефинирането на необходимите за спецификата на организацията корелационни правила, отнема време в зависимост от мащаба на организацията и може да отнеме дни
- Дори за средна по мащаб на използваните информационни технологии организация, е необходимо да се осигури хардуер, способен да осигури необходимата производителност
- Добре се виртуализира и може да спестите използването на физически сървър. Все пак – отделете необходимия ресурс.
Степен на завършеност на решението:
- Завършено в голяма степен решение, но в безплатната версия липсат необходими компоненти – например сървър за запазване и обработка на историческа лог информация
- Необходимо е дефиниране нужните на организацията корелационни правила
Съвети към IT мениджъра:
- Струва си – AlienVault OSSIM е добра начална стъпка за осигуряване на информационна сигурност и може да се използва за обучение на персонал и развитие на вътрешна за организацията експертиза
- Доколкото информационната сигурност е процес – развитието на OSSIM в рамките на организацията е също непрекъсната и регулярна задача и следва да се подплати с необходимите хора, технически средства, време и обучение
- Необходима е специализирана в областа на информационната сигурност експертиза
- Ако нямате R&D персонал и достатъчно време да създавате корелатори на събития и отчети за конкретните си нужди на – по-скоро рано, отколкото късно – ще се наложи ИЛИ да преминете към комерсиалната версия ИЛИ да аутсорснете информационната си сигурност към външна организация
- Никога не считайте, че използването на SIEM система и каквато и да е технология за защита е достатъчна за сигурността на организацията. Сигурността е процес, а не само технология.
Операни предлага инсталация, интеграция със съществуващи компоненти, експлоатация и поддръжка на комплексни SIEM решения в инфраструктура на клиента, публични и частни облаци или върху специализиран Operani Operations Cloud
