siem

(Русский) Как понять, что компания доросла до SIEM?

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.


Установка SIEM-системы требует много денег, времени, высокой экспертизы ИТ-специалистов. Она упрощает жизнь предприятиям, поскольку помогает составлять отчеты на соответствие популярным стандартам ИБ для внешнего аудита. Для того чтобы выжать из SIEM максимум ее возможностей и не разочароваться, необходимо ее правильно настроить и не ожидать от системы того, на что она изначально не способна.

Российские компании начинают тратить больше денег на организацию комплексной информационной защиты. Приходит понимание того, что обеспечение ИБ – важная часть стратегии бизнеса. Вместо разовых акций, появляется планирование, отдельный бюджет. Значит, найдутся и те, кто поможет этот бюджет освоить. Вопрос в том, как бы не хватить лишнего и не переплатить за инструменты, до которых компания еще не доросла.

В последнее время на рынке активно продвигают SIEM-системы. Как сами по себе, так и «под соусом» решений Security Analytics, что, по существу, одно и то же. Ожидается, что мировой рынок SIEM к 2021 году достигнет объема в 5,93 млрд. долларов, с ежегодным средним темпом роста 12%. В России в 2017 году он и вовсе вырос на 50%, по оценке Positive Technologies.

Идея Security Information and Event Management проста: в любой организации с развитой ИТ-инфраструктурой установлено множество инструментов защиты данных. Записи антивирусов, DLP, IDS, сетевых экранов, сканеров оборудования (маршрутизаторов и прочее) поступают в разрозненном виде. С этой информацией не очень удобно работать. SIEM собирает эти данные, хранит и помогает выявлять отклонения по заданным критериям, набору вписанных в систему правил.

Мы не будем описывать, что представляют собой SIEM-системы и как они работают. Подробно об этом можно почитать здесь и здесь. Важнее понять, в какой ситуации они действительно необходимы, к чему стоит готовиться их владельцам в процессе эксплуатации и как сделать так, чтобы затраты на дорогостоящий инструмент окупились.

 

Обманутые ожидания

В мировой практике среди специалистов ИБ к SIEM сложилось отношение «любви-ненависти». Аналитики 451 Research собрали порядка 950 отчетов, интервью с представителями предприятий Северной Америки и Европы в разных индустриях и выяснили, что лишь 21,6% из них полностью удовлетворены работой своей SIEM-системы.

Треть респондентов (31,9%) считают, что она отвечает их ожиданиям на 80%. 71 процент специалистов уверены, что задачи по управлению логами корпоративной инфраструктуры можно было бы решить другими (наверняка, более дешевыми) методами.

По отечественным компаниям статистики нет. Можно предположить, что ситуация с удовлетворенностью от использования SIEM в России еще несколько хуже. Вендоры видят в этом вину заказчиков, которые просто не умеют правильно настроить систему и корректно ее обслуживать. Заказчики, разумеется, винят поставщика. В том же исследовании 451 Research говорится о том, что почти половина респондентов планируют в 2018 году сменить вендора.

Если разобраться, проблема в неверном понимании возможностей системы и условий ее функционирования, как со стороны потребителя, так и со стороны продавца. Нам известны случаи агрессивного маркетинга, когда в компанию приходили люди и объясняли, что SIEM способна снять все проблемы по обеспечению безопасности, а установить ее можно быстро и недорого. Быстро и недорого – это точно не про SIEM.

Заказчик, как правило, не обладает достаточной информацией о том, как работает система, не понимает, зачем она ему нужна. Как следствие, сталкивается с низкой отдачей при внедрении, бессмысленной тратой ресурсов.

 

siem


Чего не может SIEM

SIEM не является «волшебной таблеткой», которая поможет защитить корпоративную сеть компании и предотвратить любые попытки проникновения в систему. В ней подобные функции не заложены. В основе ее работы лежит практически голая математика и статистика.

Принято считать, что SIEM способна автоматизировать управление разрозненными средствами защиты, приобретенными в разное время и у разных вендоров. Это уже ближе к истине. Основная ее функция в том, что на Западе называют compliance – корреляция.

На выходе вы получите симпатичные графики, карты сети, отчеты. Но, не имея представления о том, какая модель анализа заложена в систему, что конкретно она сопоставляет и сравнивает, для чего, SIEM останется дорогостоящей игрушкой, только и всего.

В Arbor Networks убеждены, что, даже при правильной настройке правил в SIEM, сами по себе отчеты логов с разных источников не имеют никакой практической ценности, когда отделу ИБ необходимо быстро выявить угрозу и понять, как ее устранить в реальном времени.

Для того чтобы собрать записи разрозненных источников защиты в одном месте и сделать этот процесс наглядным, достаточно взять любой open source движок для работы с данными (Kibana, Elasticsearch, Hadoop, либо даже от открытой SIEM) и посадить на него русскоязычный dashboard, панель визуализации. Выйдет в десятки раз дешевле.

 

Шумно, долго и дорого

Можно выделить четыре проблемы, с которыми придется столкнуться владельцам SIEM в процессе запуска системы в работу и эксплуатации.

  1. Грамотная установка займет не меньше полугода. Для начала понадобится аудит оборудования, составление ТЗ, базовая настройка. «Коробочные» правила корреляции и анализа не покроют и четверти реальных задач предприятия. Потребуется написание своих правил реагирования на инциденты, о которых могут знать только специалисты компании. Тестовый прогон и накопление статистики займет несколько месяцев, после чего нужен этап корректировки.
  1. SIEM подразумевает серьезные затраты, которые быстро не окупятся. Не просто на приобретение самой системы и ее установку, сервер для хранения данных. Без предварительного обследования корпоративной инфраструктуры, тщательной настройки под конкретного заказчика, регулярной корректировки работы, SIEM превращается в ненужный хлам. Это означает, что придется нанимать дополнительных специалистов для ее обслуживания и масштабирования.
  1. SIEM будет генерировать больше шума, чем все средства защиты вместе взятые до этого. В идеале придется создать правило для каждого инцидента, представляющего потенциальную угрозу. Все они начнут выдавать сигналы. По подсчетам LogicHub, 90% сигналов в стандартной SIEM поначалу будут попадать в категорию false positives, отвечающих критериям опасности лишь формально. На проверку каждого будет уходить от 15 до 45 минут.

После накопления достаточной статистики и корректировки правил, проблема смягчится. Здесь надо понимать, что спокойной жизни у сотрудников отдела ИБ больше не будет, но, наверное, это лучше, чем анализировать инциденты вручную и допустить серьезную утечку.

  1. Последний важный момент – системы SIEM не дружественны по отношению к облаку. Об этом нужно помнить, когда компания планирует подключение облачных приложений и сервисов с уже установленной в организации SIEM.

 

Для чего нужна SIEM и что она на самом деле может

Если все так неоднозначно, почему SIEM-решения продолжают быть востребованными и наращивают свою популярность? Ответ прост: автоматизированный мониторинг систем безопасности предприятия, стандартизированные отчеты существенно облегчают аудит компании на соответствие требованиям международных и отечественных стандартов.

Без SIEM фактически невозможно построить операционный центр безопасности SOC, подключиться к FinCert или ГосСОПКА. Сегодня для многих государственных и коммерческих компаний, работающих по госзаказам, подключение к ГосСОПКА является обязательным требованием (закон 183-ФЗ). Да и для крупных коммерческих заказчиков, наличие SOC, соответствие отраслевым стандартам будет дополнительным плюсом.

До недавнего времени основным потребителем SIEM в России была банковская сфера, оперирующая чувствительной информацией. Вторая категория потребителей – крупные предприятия, особенно разнесенные географически, которые ежедневно генерируют тонны данных. Для них важно внедрить общие для всех филиалов стандарты обеспечение ИБ, чтобы эффективнее управлять затратами.

 

При правильном подходе SIEM позволяет:

  • Автоматизировать мониторинг всех служб ИБ, анализировать исходящие от разных источников события на аномалии. Это может быть неожиданный рост сетевого трафика, опасные действия пользователей и администраторов, неопознанное оборудование или программы, любые несанкционированные подключения.
  • Проверка на соответствие различным ИБ-стандартам. В большинстве «коробочных» решений уже встроена система поддержки аудита и формирования отчетов по PCI DSS, COBIT, HIPAA, PCI DSS и SOX.
  • Создавать удобоваримую отчетность по заданным критериям для руководителей: отчет по инцидентам, трафику, серверам, работе устройств, нарушителям и т.д., что позволит принимать взвешенные решения по настройке инфраструктуры и затратам.
  • Собирать доказательную базу по критическим инцидентам, которая требуется для внутренних расследований или для суда.
  • Собирать статистику по событиям информационной безопасности, на основе которой можно писать стратегию, просчитывать риски, обосновывать затраты на покупку дополнительных средств защиты и оборудования при необходимости.

 

Важно понимать, что для того чтобы выжать из дорогостоящей SIEM-системы максимум, а не просто держать ее для красивых отчетов внешним аудиторам, потребуется ее правильно настроить. Прописать для компании пользовательские правила реагирования на инциденты, use-case’ы не сможет никто, кроме вас самих. Возможно, понадобится прогнать корпоративную сеть через пентесты и поискать уязвимости. То есть даже самой умной системе нужен хороший аналитик.

Без понимания, для чего компании нужна SIEM, как она обращается с полученной информацией и для чего ее анализирует, покупка, скорее всего, не оправдает себя.

 

Материал оказался полезным? Поделитесь с друзьями: