Эксперты УЦСБ рассказали, что важно учесть до внедрения системы SIEM

Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.

SIEM — класс программных продуктов для консолидации и обогащения событий безопасности со всех систем и устройств корпоративной сети. Инструмент  позволяет не только вести архив данных, оповещать о происшествиях ИБ, но и формировать отчеты для аудита соответствия требованиям регуляторов.

Начните с основных средств защиты

SIEM — своего рода надстройка над другими системами обеспечения ИБ. По этой причине ее польза для бизнеса во многом будет зависеть от того, какие средства защиты уже используются в компании: межсетевые экраны, антивирусы, инструменты для анализа сетевого трафика и другие. При этом важно, чтобы инвентаризация имеющихся средств защиты была проведена до старта внедрения системы — ведь именно эти сведения повлияют как на объем, так и на стоимость лицензии и будущих работ.

К большинству SIEM возможно подключить любой источник событий, которыми и являются средства защиты. Разница лишь в том, что из этого поддерживается «из коробки», а для чего потребуется разработка специальных коннекторов. Поэтому при выборе исполнителя стоит обращать внимания на его компетенции в создании уникальных интеграций с самописными или нишевыми системами российского и зарубежного производства.

Существует расхожее заблуждение, что SIEM — это еще одно средство защиты. В действительности система является инструментом для мониторинга событий, которые фиксируют другие решения. Ее польза — в автоматизации и консолидации этого процесса.

Остается дискуссионным вопрос, стоит ли использовать средства защиты того же вендора, что и будущей SIEM. Тот факт, что решения одного производителя в большинстве случаев легче и быстрее интегрируются друг с другом, — важный  аргумент «за». Аргумент «против» — опасение потенциальной зависимости от одного вендора: лицензии, которые требуется обновлять, могут резко вырасти в цене, разработчик может уйти с рынка и другие негативные сценарии.

На наш взгляд, не стоит выбирать средства защиты, ориентируясь на предполагаемую SIEM. Как в случае самой системы, так и средств защиты, важнее выбирать лучшие средства в своих классах и подходящее для ваших задач. Кроме того, ошибочно вести внедрение ИБ-решений, начиная с SIEM — без базовых средств защиты дорогостоящая система будет работать фактически вхолостую. При этом будущий поток входящих данных и событий для обработки, влияющий на выбор типа лицензии, невозможно достоверно предсказать без них. Гораздо эффективнее строить ИБ-инфраструктуру по мере усложнения используемых решений.

Сформируйте работающую ИБ-политику

Для эффективного внедрения SIEM нужна актуальная и адекватная реалиям компании политика в области ИБ. Ее задача — определить, какие события и из каких источников должна собирать система, набор правил для их обработки (правила корреляции) и исключения к ним. Такой регламент дает понимание, что и на основании чего необходимо выявлять SIEM и трактовать как запрещенное.

Обычно в решении «из коробки» уже есть такие правила, но они могут быть неприменимы для конкретной компании с ее инфраструктурой и бизнес-процессами — отсюда тысячи ложных срабатываний, которые отнимают время и внимание персонала.

Например, часто согласно встроенному правилу SIEM детектирует одновременную работу под одной учетной записью с разных устройств. Но существует масса ситуаций, где такая схема считается нормой. Частный тому случай — работа касс самообслуживания в ретейле. Аналогичная ситуация может быть и со служебными учетными записями, которые используются для запуска определенных служб или скриптов на нескольких серверах или компьютерах одновременно.

Существует практика, когда компании решают настраивать правила обработки событий в процессе эксплуатации системы через добавление исключений во встроенные правила корреляции. Нередко это выливается в несогласованность решений участников процесса и провоцирует конфликты в командах. Поэтому эффективнее оговорить и закрепить их на бумаге со всеми заинтересованными лицами заранее.

Случается так, что политики написаны общими словами, которые мало применимы на практике и не приземлены к реальным условиям и функционалу системы. Они даже могут содержать логические противоречия. Например, описывать, что некие события должны регистрироваться в неких источниках, которые в действительности просто не умеют этого делать.

Более того, модели угроз в политиках часто выглядят поверхностными. Для наглядности, задумайтесь, что «потеря данных» значит на языке техники? Как ее выявлять через SIEM? Работающий регламент должен давать ответы и на эти вопросы.

Другая частность — формально такая политика в компании есть, но ее не соблюдают. Хорошая новость: SIEM, сигнализируя о нежелательных событиях, помогает в том числе контролировать исполнение требований регламента.

Позаботьтесь о выделенном персонале

Любая система требует обслуживания. Обычно инженерные работы и поддержку работоспособности SIEM обеспечивает ИТ-персонал. Задача ИБ-специалистов — отслеживать запрещенные события и реагировать на них. Необходимое количество таких сотрудников зависит от размера компании и ее инфраструктуры, при этом минимальная команда должна состоять из двух сотрудников службы ИБ и одного ИТ-подразделения.

При внедрении SIEM компании сталкиваются с выбором между Open Source и Enterprise-решениями. И хотя первый вариант более бюджетен и формально закрывает требования регуляторов, из-за ограниченности в техническом плане на сопровождение такой системы потребность в штате вырастет в разы.

Важный аспект этого пункта — для корректной работы SIEM требуется регулярная отработка ее срабатываний и непрерывное формирование базы знаний об исключениях в правилах корреляции. Если для этих задач не будет выделен персонал, то со временем компания получит большой, но бесполезный объем информации, с которой никто не сможет работать.