Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.
SIEM — класс программных продуктов для консолидации и обогащения событий безопасности со всех систем и устройств корпоративной сети. Инструмент позволяет не только вести архив данных, оповещать о происшествиях ИБ, но и формировать отчеты для аудита соответствия требованиям регуляторов.
Начните с основных средств защиты
SIEM — своего рода надстройка над другими системами обеспечения ИБ. По этой причине ее польза для бизнеса во многом будет зависеть от того, какие средства защиты уже используются в компании: межсетевые экраны, антивирусы, инструменты для анализа сетевого трафика и другие. При этом важно, чтобы инвентаризация имеющихся средств защиты была проведена до старта внедрения системы — ведь именно эти сведения повлияют как на объем, так и на стоимость лицензии и будущих работ.
К большинству SIEM возможно подключить любой источник событий, которыми и являются средства защиты. Разница лишь в том, что из этого поддерживается «из коробки», а для чего потребуется разработка специальных коннекторов. Поэтому при выборе исполнителя стоит обращать внимания на его компетенции в создании уникальных интеграций с самописными или нишевыми системами российского и зарубежного производства.
Существует расхожее заблуждение, что SIEM — это еще одно средство защиты. В действительности система является инструментом для мониторинга событий, которые фиксируют другие решения. Ее польза — в автоматизации и консолидации этого процесса.
Остается дискуссионным вопрос, стоит ли использовать средства защиты того же вендора, что и будущей SIEM. Тот факт, что решения одного производителя в большинстве случаев легче и быстрее интегрируются друг с другом, — важный аргумент «за». Аргумент «против» — опасение потенциальной зависимости от одного вендора: лицензии, которые требуется обновлять, могут резко вырасти в цене, разработчик может уйти с рынка и другие негативные сценарии.
На наш взгляд, не стоит выбирать средства защиты, ориентируясь на предполагаемую SIEM. Как в случае самой системы, так и средств защиты, важнее выбирать лучшие средства в своих классах и подходящее для ваших задач. Кроме того, ошибочно вести внедрение ИБ-решений, начиная с SIEM — без базовых средств защиты дорогостоящая система будет работать фактически вхолостую. При этом будущий поток входящих данных и событий для обработки, влияющий на выбор типа лицензии, невозможно достоверно предсказать без них. Гораздо эффективнее строить ИБ-инфраструктуру по мере усложнения используемых решений.
Сформируйте работающую ИБ-политику
Для эффективного внедрения SIEM нужна актуальная и адекватная реалиям компании политика в области ИБ. Ее задача — определить, какие события и из каких источников должна собирать система, набор правил для их обработки (правила корреляции) и исключения к ним. Такой регламент дает понимание, что и на основании чего необходимо выявлять SIEM и трактовать как запрещенное.
Обычно в решении «из коробки» уже есть такие правила, но они могут быть неприменимы для конкретной компании с ее инфраструктурой и бизнес-процессами — отсюда тысячи ложных срабатываний, которые отнимают время и внимание персонала.
Например, часто согласно встроенному правилу SIEM детектирует одновременную работу под одной учетной записью с разных устройств. Но существует масса ситуаций, где такая схема считается нормой. Частный тому случай — работа касс самообслуживания в ретейле. Аналогичная ситуация может быть и со служебными учетными записями, которые используются для запуска определенных служб или скриптов на нескольких серверах или компьютерах одновременно.
Существует практика, когда компании решают настраивать правила обработки событий в процессе эксплуатации системы через добавление исключений во встроенные правила корреляции. Нередко это выливается в несогласованность решений участников процесса и провоцирует конфликты в командах. Поэтому эффективнее оговорить и закрепить их на бумаге со всеми заинтересованными лицами заранее.
Случается так, что политики написаны общими словами, которые мало применимы на практике и не приземлены к реальным условиям и функционалу системы. Они даже могут содержать логические противоречия. Например, описывать, что некие события должны регистрироваться в неких источниках, которые в действительности просто не умеют этого делать.
Более того, модели угроз в политиках часто выглядят поверхностными. Для наглядности, задумайтесь, что «потеря данных» значит на языке техники? Как ее выявлять через SIEM? Работающий регламент должен давать ответы и на эти вопросы.
Другая частность — формально такая политика в компании есть, но ее не соблюдают. Хорошая новость: SIEM, сигнализируя о нежелательных событиях, помогает в том числе контролировать исполнение требований регламента.
Позаботьтесь о выделенном персонале
Любая система требует обслуживания. Обычно инженерные работы и поддержку работоспособности SIEM обеспечивает ИТ-персонал. Задача ИБ-специалистов — отслеживать запрещенные события и реагировать на них. Необходимое количество таких сотрудников зависит от размера компании и ее инфраструктуры, при этом минимальная команда должна состоять из двух сотрудников службы ИБ и одного ИТ-подразделения.
При внедрении SIEM компании сталкиваются с выбором между Open Source и Enterprise-решениями. И хотя первый вариант более бюджетен и формально закрывает требования регуляторов, из-за ограниченности в техническом плане на сопровождение такой системы потребность в штате вырастет в разы.
Важный аспект этого пункта — для корректной работы SIEM требуется регулярная отработка ее срабатываний и непрерывное формирование базы знаний об исключениях в правилах корреляции. Если для этих задач не будет выделен персонал, то со временем компания получит большой, но бесполезный объём информации, с которой никто не сможет работать.
Резюме
SIEM — важнейшее звено корпоративной экосистемы кибербезопасности, возможности которого способны значительно усилить ее проактивность и результативность. Но без качественной проработки источников информации, правил функционирований и обслуживания квалифицированным персоналом, система может стать просто строчкой на балансе компании. Чтобы избежать этого, рекомендуем подходить к процессу внедрения комплексно.
Автор: Павел Першин, руководитель группы систем анализа и контроля безопасности УЦСБ.
