BIS Journal №4(27)/2017

16 ноября, 2017

Может ли эффективная SIEM-система стоить дешевле

Технология SIEM (Security information and event management) существует уже более 15 лет и за это время де-факто стала мировой практикой при организации управления инцидентами информационной безопасности. В России бум на внедрение SIEM-систем пришелся на 2011-2013 годы. Но и сегодня российский рынок еще далек от насыщения и, по нашим оценкам, продолжает расти в среднем на 20-25% в год.

Первыми SIEM-системы внедрили компании финансового и телекоммуникационного секторов, традиционно стоящие на передовой борьбы с киберпреступниками и, как следствие, нововведений в области ИБ. Сегодня же интерес к решениям данного класса проявляют представители самых различных отраслей. Например, в число наших клиентов входят компании различных сфер: госучреждения, промышленные предприятия и ТЭК. Впрочем, многие компании пока только осознают необходимость использовать системы данного класса и пытаются сформировать свои требования к ним.


 
Однако более половины[1] (52%) организаций не удовлетворены эффективностью выявления ИБ-инцидентов с помощью SIEM. Большинство существующих на данный момент систем не выявляют целенаправленные и быстрые массовые атаки. Еще один недостаток — высокие затраты на выстраивание процессов реагирования и экспертизу специалистов эксплуатации. Так, по статистике Ponemon Institute LLC, для анализа и реагирования на инциденты 68% компаний вынуждены нанимать дополнительный персонал, а расходы на поддержку SIEM составляют четверть всего ИБ-бюджета!

Возникают закономерные вопросы: возможно ли сократить стоимость эксплуатации SIEM? И при этом повысить эффективность выявления инцидентов? Попробуем разобраться.

Как повысить эффективность SIEM

Основные причины низкой эффективности традиционных SIEM-систем в том, что необходимо постоянно изменять настройки системы – для того чтобы она продолжала собирать актуальные данные из источников и выявлять инциденты, а также отсутствие специалистов с опытом по расследованию инцидентов, аудиту и тестам на проникновение. Чтобы изменить сложившуюся ситуацию на рынке SIEM, нужны новые подходы для эффективного выявления инцидентов ИБ. SIEM должна быть инструментом оперативного реагирования на инциденты и выявлять широкий круг угроз, что возможно при адаптации системы к изменениям ИТ-инфраструктуры, ее полном понимании, работающих правилах корреляции и знаниях об актуальных угрозах. Все эти подходы мы реализовали в системе MaxPatrol SIEM.

Контроль ИТ-инфраструктуры. IТ-инфраструктура крупных компаний разнообразна и состоит из большого количества элементов. Специалисты по информационной безопасности каждой компании должны контролировать изменения в ИТ-инфраструктуре для решения своих повседневных задач. Зачастую компании для контроля ИТ-инфраструктуры приобретают дополнительные решения, которые также требуют интеграции с другими системами, что влечет за собой двойную нагрузку. Поэтому, как правило, специалисты по безопасности имеют устаревшую «картину мира».

В отличие от классических решений, MaxPatrol SIEM поддерживает актуальную модель ИТ-инфраструктуры и механизмы Asset Management. Топология сети строится автоматически и так же автоматически изменения сразу отображаются в модели инфраструктуры. В условиях массовых атак с моментальным распространением, таких как WannaCry или NotPetya, только актуальные знания о топологии сети позволяют выявлять заражение до его масштабного распространения в сети. Таким образом, MaxPatrol SIEM обладает актуальной информацией о состоянии каждого актива и выполняет сразу две задачи: анализирует сеть в режиме реального времени, обеспечивая тем самым моментальное реагирование на инциденты, и контролирует текущее состояние ИТ-инфраструктуры. Решение этих задач с помощью SIEM позволяет IT- и ИБ-службам сэкономить на внедрении дополнительного решения. 

Работающие правила нормализации, корреляции и агрегации. Еще одна проблема, из-за которой компании снова и снова вливают деньги в поддержку SIEM-системы, – неработающие правила. Каждый день в инфраструктуре происходят конфигурационные изменения, что приводят к «поломке» правил, ложным срабатываниям или пропуску множества событий. Существующие средства ИБ адаптируются к изменениям с большой задержкой — приходится добавлять новые правила нормализации, корреляции и агрегации и тут у заказчика есть выбор: делать это самостоятельно или с помощью интегратора. Процесс этот бесконечен, так как правила теряют жизнеспособность с подключением новых источников логов и обновлением продуктов. В результате SIEM работают только в тех компаниях, где есть десятки специалистов по безопасности. В остальных случаях SIEM используется как дорогой лог-коллектор.

Очевидно, что необходимо изменить парадигму SIEM: система по архитектуре должна быть не просто доработанным лог-менеджером (что лежит в основе большинства традиционных SIEM) и строить правила корреляции на основе логов, а должна работать с более высокоуровневыми динамическими данными для создания правил корреляции, которые автоматически адаптируются к изменениям ИТ-инфраструктуры и не требуют постоянной перенастройки, а значит, позволяют снизить затраты на эксплуатацию SIEM.

Расследование инцидентов. Традиционные SIEM-системы не могут увидеть историю актива за все время его жизни, что затрудняет проведение ретроспективного анализа при расследовании инцидентов. Как следствие, экспертам приходится вручную изучать «сырые» данные и искать в них закономерности. Чтобы решить эту задачу требуется несколько специалистов, которые смогут анализировать логи нескольких систем-источников. Как следствие – увеличивается экспертозависимость системы и стоимость ее эксплуатации.

В MaxPatrol SIEM присутствуют механизмы точной идентификации ИТ-активов. Например, если один или несколько компьютеров изменили IP-адрес, то система контроля ИТ-инфраструктуры узнает его и будет продолжать видеть историю изменения актива. Вся история изменений сохраняется в паспорте ИТ-актива, который можно просмотреть во времени за всю историю жизни актива, а значит, для расследования инцидентов уже не требуется глубоких знаний в анализе логов различных систем, следовательно ? снижается зависимость от экспертов.

Знания об актуальных угрозах. Пожалуй, наиболее ресурсозатратное условие для эффективной работы SIEM – необходимость выявлять новые угрозы, которые появляются каждый день. Как правило, компания настраивает правила корреляции на выявление инцидентов, которые однажды уже произошли в компании, при этом понимая, что не защитит себя таким образом от атак, в основе которых новые методики проникновения в ИТ-инфраструктуру. Производитель SIEM-системы в свою очередь может поделиться своими знаниями только в ручном режиме — через специализированные форумы или рассылку бюллетеней, в то время как массовые атаки типа WannaCry и NotPetya происходят молниеносно.

Чтобы выявлять новые угрозы, группа эксплуатации SIEM должна включать экспертов, специализирующихся на тестировании на проникновение, исследовании уязвимостей и расследовании инцидентов. Но таких специалистов на рынке крайне мало. Так, по данным Cybersecurity Skills Gap, нехватка ИБ-специалистов к 2019 году в мире составит 2 млн. человек. В России уже сейчас нехватка достигает 60 тысяч человек. Современный бизнес (например, Сбербанк, QIWI, «Тинькофф Банк») вкладывает большие деньги в кибербезопасность и образует новые структуры с лучшими специалистами на рынке. Остальные компании могут попытаться перекупить специалистов, но в условиях ограниченного ИБ-бюджета чаще всего вынуждены обходиться 1-2 специалистами поддержки SIEM-системы.

Однако есть и альтернативный подход. Мы вложили наш пятнадцатилетний опыт проведения тестов на проникновение и аудитов защищенности, реверс-инжиниринга, анализа уязвимостей и расследования инцидентов в облачную базу знаний Positive Technologies Knowledge Base (PT KB). Она автоматически наполняет MaxPatrol SIEM новыми способами обнаружения компрометации в виде правил корреляции, агрегации, нормализации, а также информации о способах расследования инцидентов. Таким образом, с помощью PT KB мы предоставляем заказчикам возможность выявлять актуальные угрозы сразу, как только нашим экспертам становится о них известно. Такой подход позволяет снизить требования к экспертизе и числу персонала внутри заказчика.

SIEM-система может стоить дешевле

Мы считаем, что затраты на эксплуатацию SIEM могут быть в разы меньше. Однако для снижения стоимости и повышения эффективности в архитектуре SIEM должны быть заложены новые принципы, которые позволят сократить издержки на эксплуатацию (актуализацию правил и оперативность реагирования), что невозможно при традиционном подходе к построению SIEM-систем. SIEM должна выполнять несколько функций и решать задачи контроля ИТ-инфраструктуры, тем самым убрав необходимость в дополнительном решении.

Решения класса SIEM должны стать не только инструментом для работы экспертов, но и снизить нагрузку на них за счет предоставления актуальной информации о новейших угрозах от экспертных и исследовательских команд.  Это обеспечит SIEM-систему уникальной базой знаний, аккумулирующей актуальные данные об угрозах в формате уже готовых работающих правил корреляции, которые помогут выявлять современные атаки на информационные системы организации. Все эти новые подходы получили свое применение в системе MaxPatrol SIEM, которая учла недостатки существующих систем и уже сейчас выявляет новые угрозы, а также знает, как расследовать инциденты.

[1] Challenges to Achieving SIEM Optimization, Ponemon Institute LLC, March 2017
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2024
«Глонасс»: Видеокамеры в автомобилях могут выдать геопозицию водителя
29.11.2024
Таргетированные информкампании уберегают россиян от скамеров
29.11.2024
YouTube обращается к российским блогерам, но игнорирует Роскомнадзор?
29.11.2024
«Официальные периоды распродаж — это благодатная почва для злоумышленников»
29.11.2024
О последнем (?) сетевом сбое ноября
28.11.2024
AOSP-проблемы: ограничения в модели распространения и настроения Google
28.11.2024
Минцифры строит планы на ближайшие два года по антифрод-направлению
28.11.2024
На телеком-рынке США впервые признали атаку на сети компании
28.11.2024
Конференция Код ИБ ИТОГИ совсем скоро!
28.11.2024
ВШЭ: Навыки для работы с ИИ требуются представителям разных профессий

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных