BIS Journal №4(27)/2017

16 ноября, 2017

Может ли эффективная SIEM-система стоить дешевле

Технология SIEM (Security information and event management) существует уже более 15 лет и за это время де-факто стала мировой практикой при организации управления инцидентами информационной безопасности. В России бум на внедрение SIEM-систем пришелся на 2011-2013 годы. Но и сегодня российский рынок еще далек от насыщения и, по нашим оценкам, продолжает расти в среднем на 20-25% в год.

Первыми SIEM-системы внедрили компании финансового и телекоммуникационного секторов, традиционно стоящие на передовой борьбы с киберпреступниками и, как следствие, нововведений в области ИБ. Сегодня же интерес к решениям данного класса проявляют представители самых различных отраслей. Например, в число наших клиентов входят компании различных сфер: госучреждения, промышленные предприятия и ТЭК. Впрочем, многие компании пока только осознают необходимость использовать системы данного класса и пытаются сформировать свои требования к ним.


 
Однако более половины[1] (52%) организаций не удовлетворены эффективностью выявления ИБ-инцидентов с помощью SIEM. Большинство существующих на данный момент систем не выявляют целенаправленные и быстрые массовые атаки. Еще один недостаток — высокие затраты на выстраивание процессов реагирования и экспертизу специалистов эксплуатации. Так, по статистике Ponemon Institute LLC, для анализа и реагирования на инциденты 68% компаний вынуждены нанимать дополнительный персонал, а расходы на поддержку SIEM составляют четверть всего ИБ-бюджета!

Возникают закономерные вопросы: возможно ли сократить стоимость эксплуатации SIEM? И при этом повысить эффективность выявления инцидентов? Попробуем разобраться.

Как повысить эффективность SIEM

Основные причины низкой эффективности традиционных SIEM-систем в том, что необходимо постоянно изменять настройки системы – для того чтобы она продолжала собирать актуальные данные из источников и выявлять инциденты, а также отсутствие специалистов с опытом по расследованию инцидентов, аудиту и тестам на проникновение. Чтобы изменить сложившуюся ситуацию на рынке SIEM, нужны новые подходы для эффективного выявления инцидентов ИБ. SIEM должна быть инструментом оперативного реагирования на инциденты и выявлять широкий круг угроз, что возможно при адаптации системы к изменениям ИТ-инфраструктуры, ее полном понимании, работающих правилах корреляции и знаниях об актуальных угрозах. Все эти подходы мы реализовали в системе MaxPatrol SIEM.

Контроль ИТ-инфраструктуры. IТ-инфраструктура крупных компаний разнообразна и состоит из большого количества элементов. Специалисты по информационной безопасности каждой компании должны контролировать изменения в ИТ-инфраструктуре для решения своих повседневных задач. Зачастую компании для контроля ИТ-инфраструктуры приобретают дополнительные решения, которые также требуют интеграции с другими системами, что влечет за собой двойную нагрузку. Поэтому, как правило, специалисты по безопасности имеют устаревшую «картину мира».

В отличие от классических решений, MaxPatrol SIEM поддерживает актуальную модель ИТ-инфраструктуры и механизмы Asset Management. Топология сети строится автоматически и так же автоматически изменения сразу отображаются в модели инфраструктуры. В условиях массовых атак с моментальным распространением, таких как WannaCry или NotPetya, только актуальные знания о топологии сети позволяют выявлять заражение до его масштабного распространения в сети. Таким образом, MaxPatrol SIEM обладает актуальной информацией о состоянии каждого актива и выполняет сразу две задачи: анализирует сеть в режиме реального времени, обеспечивая тем самым моментальное реагирование на инциденты, и контролирует текущее состояние ИТ-инфраструктуры. Решение этих задач с помощью SIEM позволяет IT- и ИБ-службам сэкономить на внедрении дополнительного решения. 

Работающие правила нормализации, корреляции и агрегации. Еще одна проблема, из-за которой компании снова и снова вливают деньги в поддержку SIEM-системы, – неработающие правила. Каждый день в инфраструктуре происходят конфигурационные изменения, что приводят к «поломке» правил, ложным срабатываниям или пропуску множества событий. Существующие средства ИБ адаптируются к изменениям с большой задержкой — приходится добавлять новые правила нормализации, корреляции и агрегации и тут у заказчика есть выбор: делать это самостоятельно или с помощью интегратора. Процесс этот бесконечен, так как правила теряют жизнеспособность с подключением новых источников логов и обновлением продуктов. В результате SIEM работают только в тех компаниях, где есть десятки специалистов по безопасности. В остальных случаях SIEM используется как дорогой лог-коллектор.

Очевидно, что необходимо изменить парадигму SIEM: система по архитектуре должна быть не просто доработанным лог-менеджером (что лежит в основе большинства традиционных SIEM) и строить правила корреляции на основе логов, а должна работать с более высокоуровневыми динамическими данными для создания правил корреляции, которые автоматически адаптируются к изменениям ИТ-инфраструктуры и не требуют постоянной перенастройки, а значит, позволяют снизить затраты на эксплуатацию SIEM.

Расследование инцидентов. Традиционные SIEM-системы не могут увидеть историю актива за все время его жизни, что затрудняет проведение ретроспективного анализа при расследовании инцидентов. Как следствие, экспертам приходится вручную изучать «сырые» данные и искать в них закономерности. Чтобы решить эту задачу требуется несколько специалистов, которые смогут анализировать логи нескольких систем-источников. Как следствие – увеличивается экспертозависимость системы и стоимость ее эксплуатации.

В MaxPatrol SIEM присутствуют механизмы точной идентификации ИТ-активов. Например, если один или несколько компьютеров изменили IP-адрес, то система контроля ИТ-инфраструктуры узнает его и будет продолжать видеть историю изменения актива. Вся история изменений сохраняется в паспорте ИТ-актива, который можно просмотреть во времени за всю историю жизни актива, а значит, для расследования инцидентов уже не требуется глубоких знаний в анализе логов различных систем, следовательно ? снижается зависимость от экспертов.

Знания об актуальных угрозах. Пожалуй, наиболее ресурсозатратное условие для эффективной работы SIEM – необходимость выявлять новые угрозы, которые появляются каждый день. Как правило, компания настраивает правила корреляции на выявление инцидентов, которые однажды уже произошли в компании, при этом понимая, что не защитит себя таким образом от атак, в основе которых новые методики проникновения в ИТ-инфраструктуру. Производитель SIEM-системы в свою очередь может поделиться своими знаниями только в ручном режиме — через специализированные форумы или рассылку бюллетеней, в то время как массовые атаки типа WannaCry и NotPetya происходят молниеносно.

Чтобы выявлять новые угрозы, группа эксплуатации SIEM должна включать экспертов, специализирующихся на тестировании на проникновение, исследовании уязвимостей и расследовании инцидентов. Но таких специалистов на рынке крайне мало. Так, по данным Cybersecurity Skills Gap, нехватка ИБ-специалистов к 2019 году в мире составит 2 млн. человек. В России уже сейчас нехватка достигает 60 тысяч человек. Современный бизнес (например, Сбербанк, QIWI, «Тинькофф Банк») вкладывает большие деньги в кибербезопасность и образует новые структуры с лучшими специалистами на рынке. Остальные компании могут попытаться перекупить специалистов, но в условиях ограниченного ИБ-бюджета чаще всего вынуждены обходиться 1-2 специалистами поддержки SIEM-системы.

Однако есть и альтернативный подход. Мы вложили наш пятнадцатилетний опыт проведения тестов на проникновение и аудитов защищенности, реверс-инжиниринга, анализа уязвимостей и расследования инцидентов в облачную базу знаний Positive Technologies Knowledge Base (PT KB). Она автоматически наполняет MaxPatrol SIEM новыми способами обнаружения компрометации в виде правил корреляции, агрегации, нормализации, а также информации о способах расследования инцидентов. Таким образом, с помощью PT KB мы предоставляем заказчикам возможность выявлять актуальные угрозы сразу, как только нашим экспертам становится о них известно. Такой подход позволяет снизить требования к экспертизе и числу персонала внутри заказчика.

SIEM-система может стоить дешевле

Мы считаем, что затраты на эксплуатацию SIEM могут быть в разы меньше. Однако для снижения стоимости и повышения эффективности в архитектуре SIEM должны быть заложены новые принципы, которые позволят сократить издержки на эксплуатацию (актуализацию правил и оперативность реагирования), что невозможно при традиционном подходе к построению SIEM-систем. SIEM должна выполнять несколько функций и решать задачи контроля ИТ-инфраструктуры, тем самым убрав необходимость в дополнительном решении.

Решения класса SIEM должны стать не только инструментом для работы экспертов, но и снизить нагрузку на них за счет предоставления актуальной информации о новейших угрозах от экспертных и исследовательских команд.  Это обеспечит SIEM-систему уникальной базой знаний, аккумулирующей актуальные данные об угрозах в формате уже готовых работающих правил корреляции, которые помогут выявлять современные атаки на информационные системы организации. Все эти новые подходы получили свое применение в системе MaxPatrol SIEM, которая учла недостатки существующих систем и уже сейчас выявляет новые угрозы, а также знает, как расследовать инциденты.

[1] Challenges to Achieving SIEM Optimization, Ponemon Institute LLC, March 2017
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.02.2024
«Не являлся значимым кредитором реального сектора экономики». Регулятор лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер
20.02.2024
Китай считает кибератаки из-за рубежа
20.02.2024
«Тинькофф» выявляет скамерский след в кредитных заявках
20.02.2024
Из банков утекает всё больше ПДн россиян
20.02.2024
В январе в открытый доступ попали 62 базы данный
20.02.2024
Национальная база генетической информации уже вот-вот…

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных