10 вопросов к SIEM

SIEM (Security Information and Event Management)

Предварительные итоги 2016 года, согласно отчету всемирного индекса критичности утечек данных (Breach Level Index) совсем неутешительны. Только в первой его половине было зафиксировано порядка 980 серьезных утечек информации, и было похищено около 500 миллионов записей данных.

Какая средняя стоимость этих инцидентов? Несмотря на то, что измерить этот показатель достаточно сложно, исследование Ponemon Institute показывает, что речь идет о сумме примерно в 3.8 — 4 миллиона долларов, и это без оценки потери уровня доверия (лояльности) клиентов, который сложно измерить в финансовых показателях.

Помимо того, что ИБ-департаменты борются с киберпреступниками и вредоносной активностью, они также вынуждены сражаться с потоком данных, генерируемых их собственной ИТ-инфраструктурой. Найти в этом океане информации события реально важные, с точки зрения информационной безопасности, становится совсем нетривиальной задачей.

Именно поэтому в 2005 году в ИБ стало развиваться такое направление как SIEM (Security Information and Event Management), которое было призвано решить данную проблему.

На сегодняшний день Gartner выделяет в своем квадранте более 10 различных SIEM систем и несмотря на то, что в исследовании описываются сильные и слабые стороны каждого решения у организаций и заказчиков остаётся ряд открытых вопросов. Например, многие задумываются о том, какой функционал в итоге нужен или какими компетенциями должен обладать сотрудник, который в дальнейшем будет использовать систему.

Компания Solutions Review разработала список из 10 вопросов, 5 из которых адресованы к своей компании и 5 к потенциальному поставщику. Ответив на них, вы сможете более осознано подойти к выбору SIEM решения. Ниже мы подробно рассмотрим эти вопросы.

Для полноценной работы системы вам потребуются сотрудники, которые будут управлять ею, а если речь идет о большой организации, то это может быть целая команда непосредственно работающая именно в этом направлении. В противном случае, без обслуживающего персонала ваша система будет напоминать пустой замок: выглядит внушительно, но захватить его не составит большого труда. SIEM это инструмент ИБ, а не замена части ИБ-департамента, и как любой инструмент требует руки специалиста, в работе которого она будет действительно выдавать результат.

Перед тем как выбирать подходящую вам SIEM систему, вы должны убедиться, что ваша организация готова к этому с точки зрения человеческих ресурсов. Есть ли уже готовые специалисты, которые будут управлять SIEM? Можете ли вы позволить себе нанять новых сотрудников и обучить их? Если нет, то возможно вам лучше обратиться к услугам SOC.

Это может казаться очевидным, но вы должны иметь список требований при оценке SIEM. Перед оценкой вы должны выделить ваши приоритеты (приоритеты отдела безопасности) и приоритеты бизнеса. Какие данные должны поступать в SIEM? Требуется ли от системы возможность режима работы в реальном времени? Какие данные вы хотите хранить долго, а какие нет? Как и для чего будут использоваться собираемые данные (расследования, поиск уязвимостей, compliance)?

Широта функционала SIEM систем иногда превосходит наши ожидания, а иногда и наши потребности. Стоит понимать, что это дорогое средство недешевое удовольствие и достаточно сложное в обслуживании. Если ваша организация небольшая и ей на данном этапе не нужны все комплексные use cases SIEM, вы можете ограничиться менее расширенным функционалом. К примеру, в большинстве случаев для Compliance регулятора достаточно наличия традиционного лог-менеджмент решения. То есть, если ваша основная задача – это обработка логов, то не стоит переплачивать за избыточность.

Решения "Security Analytics" вносят в традиционные SIEM технологии обработки больших объемов данных и новые аналитические алгоритмы. Это чрезвычайно эффективные решения, но в свою очередь, являются более сложными. В больших организациях с хорошо укомплектованными и структурированными отделами информационной безопасности должна быть такая система, это поможет повысить эффективность в обнаружении уязвимостей и угроз. С другой стороны, если ваша организация испытывает трудности с уже текущим традиционным SIEM, сомнительно, что она сможет справиться с более сложным "Security Analytics" решением.

Enterprise SIEM требует серьезных вложений. Обычно это расходы на лицензию, которая в большинстве случае зависит количества пользователей, узлов, источников данных, баз данных (одним из исключений является платформа Splunk, где вы платите только за объем логов), расходы на обучение и подготовку персонала, а также расходы на сервера, где будет работать система. К этому можно прибавить стоимость работы персонала, который будет обслуживать данную систему, чтобы она работала эффективно. Таким образом полномасштабная SIEM может стоить вашему бизнесу сотни тысяч долларов, но не все готовы тратить такие деньги. В некоторых случаях вендоры имеют несколько версий продуктов с разграничением по функционалу. То есть вам могут предложить облегченную версию, с помощью которой вы сможете осуществлять базовые действия по работе с логами и созданию отчетов без расширенных аналитических средств, что может быть актуально для вас и сэкономит ваши деньги.

Compliance – это одна из самых частых причин покупки SIEM системы, поэтому при выборе системы важно уточнить какие встроенные элементы Compliance существуют в системе (HIPAA, PCI DSS, SOX и другие). При совпадении возможностей SIEM и требований регуляторов Ваша организация может значительно сэкономить время, используя встроенные средства Compliance отчетности.

Задавайте вопросы вашему поставщику и просите продемонстрировать возможности системы исходя из ваших специфических Compliance нужд. Какие Compliance отчеты доступны из коробки? Какой уровень кастомизации отчетов доступен?

SIEM это комплексная система, и соответственно требует комплексного процесса при внедрении. Статистика компании Gartner показывает, что это достаточно сложный процесс, и 20-30% внедрений в течении 2015 года оказались неудачными. И даже после удачного внедрения вам может потребоваться помощь интегратора в обучении ваших сотрудников, плюс в большинстве случаев необходимо произвести кастомизацию системы. Обязательно спросите вашего поставщика об уровне поддержки при внедрении, настройки и о возможности последующего обучения вашего персонала.

Используете вы облака сейчас или нет – не важно. Есть большая вероятность того, что в будущем Public Cloud Computing и Big Data будут играть довольно значимую роль. И если вы решили потратить порядка сотни тысячи долларов на SIEM систему, было бы неплохо чтобы она могла соответствовать будущим стандартам или в худшем случае стремилась бы к этому. Поэтому вопрос о поддержке Big Data и облаков является достаточно важным.

Понятно, что если SIEM система не может разобрать логи из важных для вас источников, то внедрять ее не имеет большого смысла. Поэтому важно сразу убедиться, что выбираемая система поддерживает все важные для вас источники данных такие как Firewall, IPS, IDS, VPN и другие системы безопасности.
Также важно чтобы система могла обрабатывать логи операционных систем, используемых в вашей организации.

Помимо отчетов и предупреждений, SIEM используется для обнаружения и расследования инцидентов ИБ, поэтому должна иметь широкие возможности для анализа. Даже самая лучшая SIEM, хуже чем профессиональный аналитик, так как она не сработает без правильно настроенных правил и не сможет связать события по контексту. Поэтому следует убедиться что вашим сотрудникам будет удобно работать с инструментарием системы в процессе ручного анализа. Качественные инструменты поиска и визуализации могут также облегчить расследование инцидентов.