siem

Как понять, что компания доросла до SIEM?


Установка SIEM-системы требует много денег, времени, высокой экспертизы ИТ-специалистов. Она упрощает жизнь предприятиям, поскольку помогает составлять отчеты на соответствие популярным стандартам ИБ для внешнего аудита. Для того чтобы выжать из SIEM максимум ее возможностей и не разочароваться, необходимо ее правильно настроить и не ожидать от системы того, на что она изначально не способна.

Российские компании начинают тратить больше денег на организацию комплексной информационной защиты. Приходит понимание того, что обеспечение ИБ – важная часть стратегии бизнеса. Вместо разовых акций, появляется планирование, отдельный бюджет. Значит, найдутся и те, кто поможет этот бюджет освоить. Вопрос в том, как бы не хватить лишнего и не переплатить за инструменты, до которых компания еще не доросла.

В последнее время на рынке активно продвигают SIEM-системы. Как сами по себе, так и «под соусом» решений Security Analytics, что, по существу, одно и то же. Ожидается, что мировой рынок SIEM к 2021 году достигнет объема в 5,93 млрд. долларов, с ежегодным средним темпом роста 12%. В России в 2017 году он и вовсе вырос на 50%, по оценке Positive Technologies.

Идея Security Information and Event Management проста: в любой организации с развитой ИТ-инфраструктурой установлено множество инструментов защиты данных. Записи антивирусов, DLP, IDS, сетевых экранов, сканеров оборудования (маршрутизаторов и прочее) поступают в разрозненном виде. С этой информацией не очень удобно работать. SIEM собирает эти данные, хранит и помогает выявлять отклонения по заданным критериям, набору вписанных в систему правил.

Мы не будем описывать, что представляют собой SIEM-системы и как они работают. Подробно об этом можно почитать здесь и здесь. Важнее понять, в какой ситуации они действительно необходимы, к чему стоит готовиться их владельцам в процессе эксплуатации и как сделать так, чтобы затраты на дорогостоящий инструмент окупились.

 

Обманутые ожидания

В мировой практике среди специалистов ИБ к SIEM сложилось отношение «любви-ненависти». Аналитики 451 Research собрали порядка 950 отчетов, интервью с представителями предприятий Северной Америки и Европы в разных индустриях и выяснили, что лишь 21,6% из них полностью удовлетворены работой своей SIEM-системы.

Треть респондентов (31,9%) считают, что она отвечает их ожиданиям на 80%. 71 процент специалистов уверены, что задачи по управлению логами корпоративной инфраструктуры можно было бы решить другими (наверняка, более дешевыми) методами.

По отечественным компаниям статистики нет. Можно предположить, что ситуация с удовлетворенностью от использования SIEM в России еще несколько хуже. Вендоры видят в этом вину заказчиков, которые просто не умеют правильно настроить систему и корректно ее обслуживать. Заказчики, разумеется, винят поставщика. В том же исследовании 451 Research говорится о том, что почти половина респондентов планируют в 2018 году сменить вендора.

Если разобраться, проблема в неверном понимании возможностей системы и условий ее функционирования, как со стороны потребителя, так и со стороны продавца. Нам известны случаи агрессивного маркетинга, когда в компанию приходили люди и объясняли, что SIEM способна снять все проблемы по обеспечению безопасности, а установить ее можно быстро и недорого. Быстро и недорого – это точно не про SIEM.

Заказчик, как правило, не обладает достаточной информацией о том, как работает система, не понимает, зачем она ему нужна. Как следствие, сталкивается с низкой отдачей при внедрении, бессмысленной тратой ресурсов.

 

siem


Чего не может SIEM

SIEM не является «волшебной таблеткой», которая поможет защитить корпоративную сеть компании и предотвратить любые попытки проникновения в систему. В ней подобные функции не заложены. В основе ее работы лежит практически голая математика и статистика.

Принято считать, что SIEM способна автоматизировать управление разрозненными средствами защиты, приобретенными в разное время и у разных вендоров. Это уже ближе к истине. Основная ее функция в том, что на Западе называют compliance – корреляция.

На выходе вы получите симпатичные графики, карты сети, отчеты. Но, не имея представления о том, какая модель анализа заложена в систему, что конкретно она сопоставляет и сравнивает, для чего, SIEM останется дорогостоящей игрушкой, только и всего.

В Arbor Networks убеждены, что, даже при правильной настройке правил в SIEM, сами по себе отчеты логов с разных источников не имеют никакой практической ценности, когда отделу ИБ необходимо быстро выявить угрозу и понять, как ее устранить в реальном времени.

Для того чтобы собрать записи разрозненных источников защиты в одном месте и сделать этот процесс наглядным, достаточно взять любой open source движок для работы с данными (Kibana, Elasticsearch, Hadoop, либо даже от открытой SIEM) и посадить на него русскоязычный dashboard, панель визуализации. Выйдет в десятки раз дешевле.

 

Шумно, долго и дорого

Можно выделить четыре проблемы, с которыми придется столкнуться владельцам SIEM в процессе запуска системы в работу и эксплуатации.

  1. Грамотная установка займет не меньше полугода. Для начала понадобится аудит оборудования, составление ТЗ, базовая настройка. «Коробочные» правила корреляции и анализа не покроют и четверти реальных задач предприятия. Потребуется написание своих правил реагирования на инциденты, о которых могут знать только специалисты компании. Тестовый прогон и накопление статистики займет несколько месяцев, после чего нужен этап корректировки.
  1. SIEM подразумевает серьезные затраты, которые быстро не окупятся. Не просто на приобретение самой системы и ее установку, сервер для хранения данных. Без предварительного обследования корпоративной инфраструктуры, тщательной настройки под конкретного заказчика, регулярной корректировки работы, SIEM превращается в ненужный хлам. Это означает, что придется нанимать дополнительных специалистов для ее обслуживания и масштабирования.
  1. SIEM будет генерировать больше шума, чем все средства защиты вместе взятые до этого. В идеале придется создать правило для каждого инцидента, представляющего потенциальную угрозу. Все они начнут выдавать сигналы. По подсчетам LogicHub, 90% сигналов в стандартной SIEM поначалу будут попадать в категорию false positives, отвечающих критериям опасности лишь формально. На проверку каждого будет уходить от 15 до 45 минут.

После накопления достаточной статистики и корректировки правил, проблема смягчится. Здесь надо понимать, что спокойной жизни у сотрудников отдела ИБ больше не будет, но, наверное, это лучше, чем анализировать инциденты вручную и допустить серьезную утечку.

  1. Последний важный момент – системы SIEM не дружественны по отношению к облаку. Об этом нужно помнить, когда компания планирует подключение облачных приложений и сервисов с уже установленной в организации SIEM.

 

Для чего нужна SIEM и что она на самом деле может

Если все так неоднозначно, почему SIEM-решения продолжают быть востребованными и наращивают свою популярность? Ответ прост: автоматизированный мониторинг систем безопасности предприятия, стандартизированные отчеты существенно облегчают аудит компании на соответствие требованиям международных и отечественных стандартов.

Без SIEM фактически невозможно построить операционный центр безопасности SOC, подключиться к FinCert или ГосСОПКА. Сегодня для многих государственных и коммерческих компаний, работающих по госзаказам, подключение к ГосСОПКА является обязательным требованием (закон 183-ФЗ). Да и для крупных коммерческих заказчиков, наличие SOC, соответствие отраслевым стандартам будет дополнительным плюсом.

До недавнего времени основным потребителем SIEM в России была банковская сфера, оперирующая чувствительной информацией. Вторая категория потребителей – крупные предприятия, особенно разнесенные географически, которые ежедневно генерируют тонны данных. Для них важно внедрить общие для всех филиалов стандарты обеспечение ИБ, чтобы эффективнее управлять затратами.

 

При правильном подходе SIEM позволяет:

  • Автоматизировать мониторинг всех служб ИБ, анализировать исходящие от разных источников события на аномалии. Это может быть неожиданный рост сетевого трафика, опасные действия пользователей и администраторов, неопознанное оборудование или программы, любые несанкционированные подключения.
  • Проверка на соответствие различным ИБ-стандартам. В большинстве «коробочных» решений уже встроена система поддержки аудита и формирования отчетов по PCI DSS, COBIT, HIPAA, PCI DSS и SOX.
  • Создавать удобоваримую отчетность по заданным критериям для руководителей: отчет по инцидентам, трафику, серверам, работе устройств, нарушителям и т.д., что позволит принимать взвешенные решения по настройке инфраструктуры и затратам.
  • Собирать доказательную базу по критическим инцидентам, которая требуется для внутренних расследований или для суда.
  • Собирать статистику по событиям информационной безопасности, на основе которой можно писать стратегию, просчитывать риски, обосновывать затраты на покупку дополнительных средств защиты и оборудования при необходимости.

 

Важно понимать, что для того чтобы выжать из дорогостоящей SIEM-системы максимум, а не просто держать ее для красивых отчетов внешним аудиторам, потребуется ее правильно настроить. Прописать для компании пользовательские правила реагирования на инциденты, use-case’ы не сможет никто, кроме вас самих. Возможно, понадобится прогнать корпоративную сеть через пентесты и поискать уязвимости. То есть даже самой умной системе нужен хороший аналитик.

Без понимания, для чего компании нужна SIEM, как она обращается с полученной информацией и для чего ее анализирует, покупка, скорее всего, не оправдает себя.

 

Материал оказался полезным? Поделитесь с друзьями: