10 вопросов к SIEM (Security Information and Event Management)

SIEM (Security Information and Event Management)

Предварительные итоги 2016 года, согласно отчету всемирного индекса критичности утечек данных (Breach Level Index) совсем неутешительны. Только в первой его половине было зафиксировано порядка 980 серьезных утечек информации, и было похищено около 500 миллионов записей данных.

Какая средняя стоимость этих инцидентов? Несмотря на то, что измерить этот показатель достаточно сложно, исследование Ponemon Institute показывает, что речь идет о сумме примерно в 3.8 — 4 миллиона долларов, и это без оценки потери уровня доверия (лояльности) клиентов, который сложно измерить в финансовых показателях.

Помимо того, что ИБ-департаменты борются с киберпреступниками и вредоносной активностью, они также вынуждены сражаться с потоком данных, генерируемых их собственной ИТ-инфраструктурой. Найти в этом океане информации события реально важные, с точки зрения информационной безопасности, становится совсем нетривиальной задачей.

Именно поэтому в 2005 году в ИБ стало развиваться такое направление как SIEM (Security Information and Event Management), которое было призвано решить данную проблему.

SEIM

На сегодняшний день Gartner выделяет в своем квадранте более 10 различных SIEM систем и несмотря на то, что в исследовании описываются сильные и слабые стороны каждого решения у организаций и заказчиков остаётся ряд открытых вопросов. Например, многие задумываются о том, какой функционал в итоге нужен или какими компетенциями должен обладать сотрудник, который в дальнейшем будет использовать систему.

Компания Solutions Review разработала список из 10 вопросов, 5 из которых адресованы к своей компании и 5 к потенциальному поставщику. Ответив на них, вы сможете более осознано подойти к выбору SIEM решения. Ниже мы подробно рассмотрим эти вопросы.

5 Вопросов, которые стоит задать себе перед выбором SIEM системы

1. Кто будет работать с вашей SIEM системой?

SIEMДля полноценной работы системы вам потребуются сотрудники, которые будут управлять ею, а если речь идет о большой организации, то это может быть целая команда непосредственно работающая именно в этом направлении. В противном случае, без обслуживающего персонала ваша система будет напоминать пустой замок: выглядит внушительно, но захватить его не составит большого труда. SIEM это инструмент ИБ, а не замена части ИБ-департамента, и как любой инструмент требует руки специалиста, в работе которого она будет действительно выдавать результат.

Перед тем как выбирать подходящую вам SIEM систему, вы должны убедиться, что ваша организация готова к этому с точки зрения человеческих ресурсов. Есть ли уже готовые специалисты, которые будут управлять SIEM? Можете ли вы позволить себе нанять новых сотрудников и обучить их? Если нет, то возможно вам лучше обратиться к услугам SOC.

2. Что ваша организация хочет получить от SIEM?

Это может казаться очевидным, но вы должны иметь список требований при оценке SIEM. Перед оценкой вы должны выделить ваши приоритеты (приоритеты отдела безопасности) и приоритеты бизнеса. Какие данные должны поступать в SIEM? Требуется ли от системы возможность режима работы в реальном времени? Какие данные вы хотите хранить долго, а какие нет? Как и для чего будут использоваться собираемые данные (расследования, поиск уязвимостей, compliance)?

3. Вам действительно нужна полноценная SIEM или для начала будет достаточно функционала лог-менеджмента?

Широта функционала SIEM систем иногда превосходит наши ожидания, а иногда и наши потребности. Стоит понимать, что это дорогое средство недешевое удовольствие и достаточно сложное в обслуживании. Если ваша организация небольшая и ей на данном этапе не нужны все комплексные use cases SIEM, вы можете ограничиться менее расширенным функционалом. К примеру, в большинстве случаев для Compliance регулятора достаточно наличия традиционного лог-менеджмент решения. То есть, если ваша основная задача – это обработка логов, то не стоит переплачивать за избыточность.

4. Вам нужна система “Security Analytics” или традиционная SIEM?

Решения “Security Analytics” вносят в традиционные SIEM технологии обработки больших объемов данных и новые аналитические алгоритмы. Это чрезвычайно эффективные решения, но в свою очередь, являются более сложными. В больших организациях с хорошо укомплектованными и структурированными отделами информационной безопасности должна быть такая система, это поможет повысить эффективность в обнаружении уязвимостей и угроз. С другой стороны, если ваша организация испытывает трудности с уже текущим традиционным SIEM, сомнительно, что она сможет справиться с более сложным “Security Analytics” решением.

5. Сколько денег вы собираетесь потратить?

Enterprise SIEM требует серьезных вложений. Обычно это расходы на лицензию, которая в большинстве случае зависит количества пользователей, узлов, источников данных, баз данных (одним из исключений является платформа Splunk, где вы платите только за объем логов), расходы на обучение и подготовку персонала, а также расходы на сервера, где будет работать система. К этому можно прибавить стоимость работы персонала, который будет обслуживать данную систему, чтобы она работала эффективно. Таким образом полномасштабная SIEM может стоить вашему бизнесу сотни тысяч долларов, но не все готовы тратить такие деньги. В некоторых случаях вендоры имеют несколько версий продуктов с разграничением по функционалу. То есть вам могут предложить облегченную версию, с помощью которой вы сможете осуществлять базовые действия по работе с логами и созданию отчетов без расширенных аналитических средств, что может быть актуально для вас и сэкономит ваши деньги.

SIEM

5 Вопросов, которые вам стоит задать вашему SIEM поставщику

1. Как их SIEM система может соответствовать Compliance требованиям?

Compliance – это одна из самых частых причин покупки SIEM системы, поэтому при выборе системы важно уточнить какие встроенные элементы Compliance существуют в системе (HIPAA, PCI DSS, SOX и другие). При совпадении возможностей SIEM и требований регуляторов Ваша организация может значительно сэкономить время, используя встроенные средства Compliance отчетности.

Задавайте вопросы вашему поставщику и просите продемонстрировать возможности системы исходя из ваших специфических Compliance нужд. Какие Compliance отчеты доступны из коробки? Какой уровень кастомизации отчетов доступен?

2. Какой сервис ваш поставщик может оказать на этапе внедрения? Возможно ли провести обучение персонала?

SIEM это комплексная система, и соответственно требует комплексного процесса при внедрении. Статистика компании Gartner показывает, что это достаточно сложный процесс, и 20-30% внедрений в течении 2015 года оказались неудачными. И даже после удачного внедрения вам может потребоваться помощь интегратора в обучении ваших сотрудников, плюс в большинстве случаев необходимо произвести кастомизацию системы. Обязательно спросите вашего поставщика об уровне поддержки при внедрении, настройки и о возможности последующего обучения вашего персонала.

3. Есть ли облачная версия системы и возможность работы с Big Data?

Используете вы облака сейчас или нет – не важно. Есть большая вероятность того, что в будущем Public Cloud Computing и Big Data будут играть довольно значимую роль. И если вы решили потратить порядка сотни тысячи долларов на SIEM систему, было бы неплохо чтобы она могла соответствовать будущим стандартам или в худшем случае стремилась бы к этому. Поэтому вопрос о поддержке Big Data и облаков является достаточно важным.

4. Какие источники лог-данных поддерживает система? Насколько их много? Можно ли внедрить новый, собственный источник?

Понятно, что если SIEM система не может разобрать логи из важных для вас источников, то внедрять ее не имеет большого смысла. Поэтому важно сразу убедиться, что выбираемая система поддерживает все важные для вас источники данных такие как Firewall, IPS, IDS, VPN и другие системы безопасности.
Также важно чтобы система могла обрабатывать логи операционных систем, используемых в вашей организации.

5. Какие функции анализа данных есть в системе?

Помимо отчетов и предупреждений, SIEM используется для обнаружения и расследования инцидентов ИБ, поэтому должна иметь широкие возможности для анализа. Даже самая лучшая SIEM, хуже чем профессиональный аналитик, так как она не сработает без правильно настроенных правил и не сможет связать события по контексту. Поэтому следует убедиться что вашим сотрудникам будет удобно работать с инструментарием системы в процессе ручного анализа. Качественные инструменты поиска и визуализации могут также облегчить расследование инцидентов.