На что ориентироваться при выборе SIEM: опыт интегратора

Неслучайно требования к информационной безопасности (ИБ) компаний, выступающих субъектами КИИ, операторами персональных данных со стороны регуляторов ужесточаются, растут штрафы за их невыполнение.

Соответствовать строгим требованиям ИБ компаниям помогают системы мониторинга событий информационной безопасности — SIEM-системы.

О том, как SIEM защищают бизнес и какой ущерб помогают предотвратить, а также почему предприятиям даже с сотней пользователей ПК мы рекомендуем задуматься об их использовании, рассказал в колонках «Кому и зачем нужны SIEM-системы» и «SIEM: 5 мифов, мешающих компаниям эффективно защищаться».

В этой статье разберу, что стоит учитывать при выборе SIEM, какие ошибки допускаются при внедрении и как их избежать, дам убедительные аргументы в пользу пилотов, а также приведу чек-лист вопросов к поставщику заинтересовавшей вас системы.  

Зачем вам SIEM

Внедрение SIEM — это не только про выполнение требований законодательства и регуляторов, например, для закрытия предписаний по защите персональных данных или объектов КИИ. SIEM становится жизненно важным, когда у компании количество разнородных систем (рабочие станции, веб-серверы, узлы удаленного доступа) перестает поддаваться ручному контролю и традиционные средства защиты информации (СЗИ) не справляются с корреляцией событий.

Без SIEM-системы при современном уровне кибератак вы просто вовремя не заметите, что уже атакованы, а значит, не успеете сразу предупредить такую атаку и минимизировать возможный ущерб.

Тогда как SIEM комплексно проанализирует события от разных источников (СЗИ) для понимания цепочки атаки, поможет выявить сложные шаблоны кибератак, которые могут остаться незамеченными отдельными системами безопасности, и подсветит аномалии, что позволит вовремя обнаружить и пресечь угрозу.  Кроме того, такая система даст аналитикам полную картину происходящего в корпоративной сети, сразу просигналит о сбое, поможет оптимизировать бизнес-процессы.

Но выбор SIEM — это стратегическое бизнес-решение, такая система должна соответствовать зрелости команды и реальной инфраструктуре, и ее эффективность напрямую зависит от правильной настройки и грамотной эксплуатации.

Многообразие и сложность выбора

Сегодня в реестре отечественного ПО можно обнаружить более 30 решений этого класса, активно продвигается более десятка. Многие представленные SIEM-системы имеют сходное наполнение и сопоставимый базовый функционал. Есть как дорогие рабочие решения, ориентированные в основном на крупных корпоративных заказчиков, так и SIEM-системы с более скромным функционалом, предназначенные для компаний среднего и малого бизнеса.

Различия будут в деталях: качестве обработки событий, скорости работы, правилах корреляции. Но решения, предназначенные для МСП, и стоить будут на порядок дешевле.

Хотя четкого деления, что актуально только для среднего бизнеса, а что для крупного, пожалуй, нет. Например, более скромные технические требования рассматриваются последним не как критерий того, смогут они позволить себе данный SIEM или нет, а то, что решение более оптимизировано, значит, оно более зрелое, имеет меньший цикл доработки вендором и т. д.

Для крупного бизнеса в SIEM будут критичны:

·         Гибкость настройки и масштабируемость «на вырост», отсутствие жестких ограничений, модель развертывания on-premise, развитое API.

·         Стабильность, сопоставимая с критической инфраструктурой.

·         Платформенность: спрос на экосистемные решения, где SIEM — ядро, интегрированное с NTA/NDR, песочницами, SOAR. Это позволяет создать единый контур управления безопасностью.

·         Сервисная модель, качественная поддержка

·         Совокупная стоимость владения: важен не только чек при покупке, но и затраты на ресурсы, обслуживание, обучение.

Для среднего и малого бизнеса:

·         Совокупная стоимость владения

·         Гибкость настройки и масштабируемость «на вырост», модель развертывания on-premise, развитое API. Если не on-prem, то покупается полноценный сервис, а не просто облачные мощности.

·         Скорость внедрения: запуск за недели, а не месяцы.

·         Сервисная модель, качественная поддержка

·         Технические характеристики (доказанная производительность и требуемые ресурсы).

SIEM как часть экосистемы

SIEM остается одним из трех наиболее востребованных решений при создании SOC (Центра мониторинга и реагирования на инциденты информационной безопасности), максимальную эффективность он дает в связке:

• с NTA, который ловит аномалии в сети (то, что не видно в логах),
• с SOAR с элементами ИИ, который автоматически гасит инцидент: для бизнеса это означает переход от реактивной защиты к проактивной.

Как понять, эффективен ли SIEM

Эффективный SIEM помогает выявить «слепые зоны» и ошибки конфигурации еще на этапе внедрения и первичной эксплуатации. С ним вы успеваете закрывать «дыры» до того, как ими воспользуются злоумышленники, и тем самым делаете компанию устойчивее.

С его внедрением внешние аудиторы станут находить у компании меньше нарушений, что обеспечит прямой финансовый и репутационный эффект.

Наконец, такая SIEM-система позволит вручную раскручивать любую цепочку событий. Убедиться в том, что SIEM работает, вы сможете, если будете получать исчерпывающую информацию о любом действии в инфраструктуре за счет смежных событий.

Какие ошибки допускают при внедрении и как их избежать

Ошибочным будет:

1.      надеяться только на коробочные правила или пытаться слепо внедрить правила на основе чужих кейсов и техник (как показывает практика, чаще всего это не работает);

2.      некорректно выбирать источники событий: когда система подключена формально, она не даст реальной картины;

3.      не подключать базовый минимум, наименее защищенные и неконтролируемые зоны (например, ту инфраструктура, с которой взаимодействует человек: рабочие станции пользователей, сетевое оборудование и межсетевые экраны).

Работающий подход:

·         выстраивать правила от ручной аналитики,

·         параллельно устранять первопричины в инфраструктуре, чтобы снизить общий уровень угроз.

Не имея готовых корреляций, аналитику важно начать вручную разбирать поток событий. Именно тогда он сможет заметить аномалии, ошибки конфигурации или подозрительные цепочки действий, специфичные для этой сети. Увидев проблему, подумать: «Что будет, если эту уязвимость раскрутить и эксплуатировать?». Исходя из этого, формулировать логику правил корреляции, которые будут ловить подобные инциденты в будущем.

SIEM эффективен при правильной настройке и обслуживании

Исследования показывают, что до 85 % всех оповещений в типичном SOC составляют ложные срабатывания. Парадокс «SIEM есть, а обнаружения нет» объясняется ошибками архитектуры, логики и процессов, заложенных еще на этапе внедрения.

Процесс часто замыкается в порочный круг: нет модели угроз SIEM собирает «все подряд» система перегружена, команда тонет в шуме правила корреляции не адаптируются важные источники данных остаются вне поля зрения.

Чек-лист: как разорвать этот круг

1. Начинайте с цели: что защищаете и зачем, внедряйте цикл управления правилами детектирования.
2. Собирайте данные осмысленно: подключайте источники, начиная с EDR, NGFW.
3. Учитывайте облака (это новый периметр, интегрируйте его журналы в первую очередь).

И будьте готовы к тому, что недостающие нормализаторы (компоненты, которые приводят сырые логи и события из разных источников к единому, структурированному формату, понятному для корреляции и анализа) при необходимости будут отдельно прописываться вендором под особенности инфраструктуры заказчика.

SIEM должна соответствовать зрелости команды SOC

Современные SIEM с ИИ-ассистентами требуют квалифицированных аналитиков для настройки и интерпретации результатов.

Несоответствие приводит к тому, что даже технологически совершенная платформа не выполняет главную функцию: раннее и точное обнаружение атак.

SIEM распознает атаку как процесс, а не превращается в дорогостоящий архив логов

Проектируйте платформу сверху вниз: от модели угроз, критичных активов к сценариям атак, необходимым источникам данных и проверяемым правилам корреляции.

Отсутствие модели угроз  увеличивает стоимость владения системой и снижает ее реальную эффективность, но это поправимо: современные решения, позволяющие автоматизировать процесс разработки моделей угроз, доступны и позволяют сформировать такой объемный документ как модель угроз в среднем за день вместо недели.

Успех SIEM определяется точностью аналитики и скоростью реакции. Это достигается, когда работа строится как единый цикл:

·         моделирование угроз,

·         целевой сбор данных,

·         контекстное обнаружение и автоматизированный ответ.

Польза пилотов

Обычно решение о покупке SIEM-системы принимается строго через пилот, на котором очень тщательно проверяется заявленный вендором функционал:

·         как он реализован в актуальной версии системы (а не будет доработан в следующем месяце/квартале/полугодии и т.д.),

·         насколько система стабильна,

·         насколько удобен интерфейса управления и т.д.

Нелишним будет попросить у разработчика (особенно если это новая SIEM-система) положительное заключение о том, что система прошла тестирование на отсутствие уязвимостей независимыми экспертами и в ней нет скрытых уязвимостей в программном коде.

Чек-лист: 6 вопросов поставщику

Для того чтобы избежать ситуации, когда «SIEM есть, а обнаружения нет», пройдите пилот и на нем оцените решение по следующим критериям.

 1. Насколько честная история с ложными срабатываниями

Для небольшой команды ложные срабатывания — катастрофа. Если система «пищит» по каждому чиху, специалист отключит уведомления.

На что смотреть: качество поведенческого анализа (UEBA). Система должна обучаться тому, что в вашем бизнесе — норма. Но чтобы все это показал пилот, он должен будет занять примерно год. Все-таки уменьшение ложных срабатываний (False Positive) — это длительный процесс:

·         нужна хорошая обогащенность системы, на что требуется время,

·         затем надо провести корректировку правил корреляции,

·         снова сделать обогащение уже с новыми правилами,

·         при необходимости снова провести корректировку.

Учитывая, что инфраструктура редко бывает статичной, все это — постоянный процесс.

2. «Робот за дядю Васю»

В средней компании часто нет мощного SOC из 10 аналитиков. SIEM должен брать рутину на себя.

Критерий: какие есть встроенные сценарии автоматического реагирования на типовые угрозы.

3. Что с совместимостью: в российском бизнесе старая инфраструктура часто соседствует с новым российским ПО.

На что смотреть: SIEM должен «переваривать» логи российских систем без перестройки всей инфраструктуры. Если у вас «система из коробки», обратите внимание на поддерживаемый SIEM список источников российского ПО и насколько он совпадает с тем, что у вас установлено.

4. Что с отчетами?

На что смотреть: какие есть готовые «коробочные» отчеты для регуляторов, что позволит снизить затраты на подготовку к проверкам.

5. Прозрачность ценообразования

Резкий рост бизнеса не должен приводить к кратному удорожанию лицензий.

Задайтесь вопросом: «Что будет, если наш бизнес вырастет вдвое? Ищите гибкие модели подписки (на объем событий EPS), а не единовременную «тяжелую» лицензию.

6. Что еще учесть?

При выборе также нелишним будет учесть дополнительные бонусы, сервис и условия поддержки.

Если ваша компания относится к среднему бизнесу, то вам, скорее всего, нужен «надежный кроссовер»:

• с прозрачной ценой (по подписке);
• достаточным уровнем автоматизации (чтобы не нанимать армию аналитиков);
• совместимый с тем, что уже стоит в серверной.

И главное: он должен молчать, когда все хорошо, и сразу сигнализировать о реальной атаке. Хочу также предостеречь от чрезмерной экономии при внедрении SIEM, это может обернуться миллионными убытками, если пропустить серьезную кибератаку. На мой взгляд, участие системного интегратора в сфере ИБ в проекте на этапе пилота и внедрения SIEM поможет избежать многих ошибок, и на сегодня это не просто опция, а экономическая целесообразность.