Кому и зачем нужны SIEM-системы

А потому крайне важно уметь вовремя обнаружить и предотвратить угрозу. Помогают в этом компаниям системы мониторинга событий информационной безопасности (SIEM).

Эти решения позволяют централизованно собирать и анализировать логи, поступающие в SIEM от разных СЗИ и «подсвечивать» аномалии, что дает возможность службе ИБ обнаружить и устранить угрозу раньше, чем злоумышленники нанесут серьезный ущерб компании. Без SIEM организация работает вслепую, рискуя стать жертвой кибератаки, которая могла быть предотвращена.

В этой колонке расскажу, как SIEM защищают компании, какой ущерб помогают предотвратить. И почему даже предприятиям с сотней и более пользователей ПК мы рекомендуем задумываться об использовании SIEM.

Начну с трех историй, которые наглядно показывают, как угрозу удавалось остановить до точки невозврата благодаря SIEM, когда своевременное предупреждение равно было спасению. Везде потенциальный ущерб измерялся миллионами рублей, тогда как самое это решение могло окупиться уже за один такой случай.

1. Шпионаж через взломанную камеру видеонаблюдения на производственном предприятии.

Хакеры проникли в сеть завода через уязвимость в IP-камерах, которые были подключены к внутренней системе без защиты. Через них они получили доступ к чертежам новых продуктов и попытались передать данные на внешний сервер. SIEM засек необычный трафик с камер и заблокировал соединение. Оказалось, что оборудование годами работало с заводскими паролями, которые легко подобрать. После инцидента уязвимость устранили, а SIEM теперь отслеживает все IoT-устройства. Благодаря SIEM предотвращена утечка коммерческой тайны, потенциальный ущерб был оценен в 10 млн руб.

2. Фишинг + подмена SWIFT-транзакций в банке.

Злоумышленники взломали почту топ-менеджера банка через поддельное письмо «от регулятора» и изучили шаблоны SWIFT-платежей. Затем они инициировали перевод 20 млн руб. на подставной счет, маскируя его под обычную операцию. Но SIEM заметил, что запрос пришел не из защищенной внутренней системы, а через неавторизованный IP. Транзакцию отменили в последний момент, а банк усилил двухфакторную аутентификацию для всех платежей. Расследование выявило, что хакеры месяцами изучали процессы организации, но SIEM сорвал их планы, сохранив банку деньги и репутацию.

3. Целевая атака на ретейл-сеть через кассовые системы.

Крупная розничная сеть столкнулась с масштабной кражей данных клиентов. Хакеры нашли уязвимость в старом ПО кассовых терминалов, которое не обновлялось из-за сложностей интеграции с новой ERP-системой. Злоумышленники внедрили вредоносный код, который перехватывал данные банковских карт прямо в момент оплаты. Чтобы избежать обнаружения, данные передавались не сразу, а небольшими порциями через зашифрованные DNS-запросы — это редко проверяют в логах. SIEM заметил аномалии: кассовые терминалы, которые обычно почти не используют DNS, внезапно начали отправлять десятки запросов в час. Аналитики изучили трафик и обнаружили скрытый канал утечки.

Угроза была нейтрализована до массовой утечки — потенциальные потери — 15 млн руб. Уязвимое ПО срочно обновили, а SIEM научили детектировать аномальный DNS-трафик.

Любой бизнес рискует оказаться втянутым в подобный детектив, поэтому возникает резонный вопрос: а у вас есть тот «сыщик», который поможет вовремя обнаружить и предотвратить кибератаку?

SIEM словно «радар» подсвечивает неочевидные связи между событиями, замечая угрозу по сочетанию мелких аномалий, которые люди способны пропустить. И чем больше информации о действиях злоумышленника в инфраструктуре доступно организации, тем эффективнее она может противостоять кибератакам.

Сегодня на рынке есть недорогие решения, которые подходят для небольших компаний. SIEM тоже бывает разным. Стоит помнить, что по статистике, 60% малых компаний закрываются в течение полугода после серьезной утечки. Автоматизированные атаки не выбирают жертв по размеру бизнеса. Боты сканируют сети на уязвимости, попасть под них может кто угодно.

Ключевые возможности SIEM

• Сбор данных: SIEM агрегирует информацию из различных источников, таких как сетевые устройства, приложения и системы безопасности.
• Анализ и корреляция: благодаря встроенным правилам система выявляет потенциальные угрозы, сравнивая их с историческими данными.
• Реализация ответных мер: на основе собранной информации SIEM помогает запускать меры по устранению инцидентов.

5 главных задач, которые помогает решить SIEM

1. Обнаружение индикаторов атак в реальном времени.

SIEM-система обрабатывает события и метрики от различных систем в инфраструктуре и позволяет отследить начало цепочки злонамеренных действий до нанесения ущерба организации.

2. Расследование инцидентов.

Единая точка обработки событий и их представление в стандартизированном виде позволяет расследовать цепочки отличных друг от друга событий, выявлять виновника инцидента и точки воздействия.

3. Анализ аномального поведения и неправомерного доступа сотрудников.

SIEM позволяет отследить все обходные пути и действия инсайдеров внутри организации, так как получает информацию о пользователе независимо от величины его прав в инфраструктуре.

4. Проверка корректности настройки инфраструктуры организации.

Возможности SIEM позволяют не только отслеживать инциденты, но и видеть проблемы в текущей работе различных систем организации, оптимизировать их работу и помогать как ИБ, так и ИТ-отделам. 

5. Соответствие требованиям регуляторов.

SIEM позволяет закрыть немалый объем требований Роскомнадзора, ФСТЭК, ЦБ РФ, обеспечивает автоматическую отправку данных в ГосСОПКА.

В заключение приведу немного статистики, собранной RED Security: с начала 2025 года отечественная промышленность столкнулась с более чем 20 тысячами атак, почти половина которых пришлась на выходные дни или нерабочие часы, при этом доля критических инцидентов в ночное время возрастала до 25%.

В следующей колонке расскажу про заблуждения относительно SIEM, которые мешают компаниям защищаться.