Может ли эффективная SIEM-система стоить дешевле
Технология SIEM (Security information and event management) существует уже более 15 лет и за это время де-факто стала мировой практикой при организации управления инцидентами информационной безопасности. В России бум на внедрение SIEM-систем пришелся на 2011-2013 годы. Но и сегодня российский рынок еще далек от насыщения и, по нашим оценкам, продолжает расти в среднем на 20-25% в год.
Первыми SIEM-системы внедрили компании финансового и телекоммуникационного секторов, традиционно стоящие на передовой борьбы с киберпреступниками и, как следствие, нововведений в области ИБ. Сегодня же интерес к решениям данного класса проявляют представители самых различных отраслей. Например, в число наших клиентов входят компании различных сфер: госучреждения, промышленные предприятия и ТЭК. Впрочем, многие компании пока только осознают необходимость использовать системы данного класса и пытаются сформировать свои требования к ним.
Однако более половины[1] (52%) организаций не удовлетворены эффективностью выявления ИБ-инцидентов с помощью SIEM. Большинство существующих на данный момент систем не выявляют целенаправленные и быстрые массовые атаки. Еще один недостаток — высокие затраты на выстраивание процессов реагирования и экспертизу специалистов эксплуатации. Так, по статистике Ponemon Institute LLC, для анализа и реагирования на инциденты 68% компаний вынуждены нанимать дополнительный персонал, а расходы на поддержку SIEM составляют четверть всего ИБ-бюджета!
Возникают закономерные вопросы: возможно ли сократить стоимость эксплуатации SIEM? И при этом повысить эффективность выявления инцидентов? Попробуем разобраться.
Как повысить эффективность SIEM
Основные причины низкой эффективности традиционных SIEM-систем в том, что необходимо постоянно изменять настройки системы – для того чтобы она продолжала собирать актуальные данные из источников и выявлять инциденты, а также отсутствие специалистов с опытом по расследованию инцидентов, аудиту и тестам на проникновение. Чтобы изменить сложившуюся ситуацию на рынке SIEM, нужны новые подходы для эффективного выявления инцидентов ИБ. SIEM должна быть инструментом оперативного реагирования на инциденты и выявлять широкий круг угроз, что возможно при адаптации системы к изменениям ИТ-инфраструктуры, ее полном понимании, работающих правилах корреляции и знаниях об актуальных угрозах. Все эти подходы мы реализовали в системе MaxPatrol SIEM.
Контроль ИТ-инфраструктуры. IТ-инфраструктура крупных компаний разнообразна и состоит из большого количества элементов. Специалисты по информационной безопасности каждой компании должны контролировать изменения в ИТ-инфраструктуре для решения своих повседневных задач. Зачастую компании для контроля ИТ-инфраструктуры приобретают дополнительные решения, которые также требуют интеграции с другими системами, что влечет за собой двойную нагрузку. Поэтому, как правило, специалисты по безопасности имеют устаревшую «картину мира».
В отличие от классических решений, MaxPatrol SIEM поддерживает актуальную модель ИТ-инфраструктуры и механизмы Asset Management. Топология сети строится автоматически и так же автоматически изменения сразу отображаются в модели инфраструктуры. В условиях массовых атак с моментальным распространением, таких как WannaCry или NotPetya, только актуальные знания о топологии сети позволяют выявлять заражение до его масштабного распространения в сети. Таким образом, MaxPatrol SIEM обладает актуальной информацией о состоянии каждого актива и выполняет сразу две задачи: анализирует сеть в режиме реального времени, обеспечивая тем самым моментальное реагирование на инциденты, и контролирует текущее состояние ИТ-инфраструктуры. Решение этих задач с помощью SIEM позволяет IT- и ИБ-службам сэкономить на внедрении дополнительного решения.
Работающие правила нормализации, корреляции и агрегации. Еще одна проблема, из-за которой компании снова и снова вливают деньги в поддержку SIEM-системы, – неработающие правила. Каждый день в инфраструктуре происходят конфигурационные изменения, что приводят к «поломке» правил, ложным срабатываниям или пропуску множества событий. Существующие средства ИБ адаптируются к изменениям с большой задержкой — приходится добавлять новые правила нормализации, корреляции и агрегации и тут у заказчика есть выбор: делать это самостоятельно или с помощью интегратора. Процесс этот бесконечен, так как правила теряют жизнеспособность с подключением новых источников логов и обновлением продуктов. В результате SIEM работают только в тех компаниях, где есть десятки специалистов по безопасности. В остальных случаях SIEM используется как дорогой лог-коллектор.
Очевидно, что необходимо изменить парадигму SIEM: система по архитектуре должна быть не просто доработанным лог-менеджером (что лежит в основе большинства традиционных SIEM) и строить правила корреляции на основе логов, а должна работать с более высокоуровневыми динамическими данными для создания правил корреляции, которые автоматически адаптируются к изменениям ИТ-инфраструктуры и не требуют постоянной перенастройки, а значит, позволяют снизить затраты на эксплуатацию SIEM.
Расследование инцидентов. Традиционные SIEM-системы не могут увидеть историю актива за все время его жизни, что затрудняет проведение ретроспективного анализа при расследовании инцидентов. Как следствие, экспертам приходится вручную изучать «сырые» данные и искать в них закономерности. Чтобы решить эту задачу требуется несколько специалистов, которые смогут анализировать логи нескольких систем-источников. Как следствие – увеличивается экспертозависимость системы и стоимость ее эксплуатации.
В MaxPatrol SIEM присутствуют механизмы точной идентификации ИТ-активов. Например, если один или несколько компьютеров изменили IP-адрес, то система контроля ИТ-инфраструктуры узнает его и будет продолжать видеть историю изменения актива. Вся история изменений сохраняется в паспорте ИТ-актива, который можно просмотреть во времени за всю историю жизни актива, а значит, для расследования инцидентов уже не требуется глубоких знаний в анализе логов различных систем, следовательно ? снижается зависимость от экспертов.
Знания об актуальных угрозах. Пожалуй, наиболее ресурсозатратное условие для эффективной работы SIEM – необходимость выявлять новые угрозы, которые появляются каждый день. Как правило, компания настраивает правила корреляции на выявление инцидентов, которые однажды уже произошли в компании, при этом понимая, что не защитит себя таким образом от атак, в основе которых новые методики проникновения в ИТ-инфраструктуру. Производитель SIEM-системы в свою очередь может поделиться своими знаниями только в ручном режиме — через специализированные форумы или рассылку бюллетеней, в то время как массовые атаки типа WannaCry и NotPetya происходят молниеносно.
Чтобы выявлять новые угрозы, группа эксплуатации SIEM должна включать экспертов, специализирующихся на тестировании на проникновение, исследовании уязвимостей и расследовании инцидентов. Но таких специалистов на рынке крайне мало. Так, по данным Cybersecurity Skills Gap, нехватка ИБ-специалистов к 2019 году в мире составит 2 млн. человек. В России уже сейчас нехватка достигает 60 тысяч человек. Современный бизнес (например, Сбербанк, QIWI, «Тинькофф Банк») вкладывает большие деньги в кибербезопасность и образует новые структуры с лучшими специалистами на рынке. Остальные компании могут попытаться перекупить специалистов, но в условиях ограниченного ИБ-бюджета чаще всего вынуждены обходиться 1-2 специалистами поддержки SIEM-системы.
Однако есть и альтернативный подход. Мы вложили наш пятнадцатилетний опыт проведения тестов на проникновение и аудитов защищенности, реверс-инжиниринга, анализа уязвимостей и расследования инцидентов в облачную базу знаний Positive Technologies Knowledge Base (PT KB). Она автоматически наполняет MaxPatrol SIEM новыми способами обнаружения компрометации в виде правил корреляции, агрегации, нормализации, а также информации о способах расследования инцидентов. Таким образом, с помощью PT KB мы предоставляем заказчикам возможность выявлять актуальные угрозы сразу, как только нашим экспертам становится о них известно. Такой подход позволяет снизить требования к экспертизе и числу персонала внутри заказчика.
SIEM-система может стоить дешевле
Мы считаем, что затраты на эксплуатацию SIEM могут быть в разы меньше. Однако для снижения стоимости и повышения эффективности в архитектуре SIEM должны быть заложены новые принципы, которые позволят сократить издержки на эксплуатацию (актуализацию правил и оперативность реагирования), что невозможно при традиционном подходе к построению SIEM-систем. SIEM должна выполнять несколько функций и решать задачи контроля ИТ-инфраструктуры, тем самым убрав необходимость в дополнительном решении.
Решения класса SIEM должны стать не только инструментом для работы экспертов, но и снизить нагрузку на них за счет предоставления актуальной информации о новейших угрозах от экспертных и исследовательских команд. Это обеспечит SIEM-систему уникальной базой знаний, аккумулирующей актуальные данные об угрозах в формате уже готовых работающих правил корреляции, которые помогут выявлять современные атаки на информационные системы организации. Все эти новые подходы получили свое применение в системе MaxPatrol SIEM, которая учла недостатки существующих систем и уже сейчас выявляет новые угрозы, а также знает, как расследовать инциденты.
[1] Challenges to Achieving SIEM Optimization, Ponemon Institute LLC, March 2017