2017/12/05 12:30:25

Эффективная SIEM-система
может и должна стоить дешевле

Технология SIEM (Security information and event management) существует уже более 15 лет и за это время де-факто стала мировой практикой при организации управления инцидентами информационной безопасности. В России бум на внедрение SIEM-систем пришелся на 2011-2013 годы. Но и в 2017 году динамика его роста превосходит ожидания, достигнув, по оценкам Positive Technologies, почти 50%. О том, как повысить эффективность SIEM и сократить затраты на её эксплуатацию, рассказал Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

Содержание

Первыми SIEM-системы традиционно внедрили компании финансового и телекоммуникационного секторов ― как наиболее зрелые с точки зрения подходов к информационной безопасности. Сегодня же интерес к решениям данного класса проявляют представители самых различных отраслей. В число наших клиентов, к примеру, входят компании различных сфер: гос. учреждения, промышленные предприятия и ТЭК. Впрочем, многие пока только осознают необходимость использовать системы данного класса и пытаются сформировать свои требования к ним. Рост интереса к системам данного класса в России связан не только с общим повышением зрелости ИБ в организациях, но и с развитием государственной системы обнаружения и предотвращения компьютерных атак (ГосСОПКА), в рамках которой субъекты критической инфраструктуры РФ организуют корпоративные и ведомственные центры ГосСОПКА, «сердцем» которых и является SIEM.

Positive Technologies: эффективная SIEM-система может и должна стоить дешевле

Тем не менее, по статистике более половины[1] (52%) организаций не удовлетворены эффективностью выявления ИБ-инцидентов с помощью имеющихся у них SIEM: большинство существующих на данный момент систем не выявляют целенаправленные и быстрые массовые атаки. Еще один недостаток — высокие затраты на выстраивание процессов реагирования и экспертизу специалистов эксплуатации. Так, по статистике Ponemon Institute LLC, для анализа и реагирования на инциденты 68% компаний вынуждены нанимать дополнительный персонал, а расходы на поддержку SIEM составляют четверть всего ИБ-бюджета!

Возникают закономерные вопросы: возможно ли сократить стоимость эксплуатации SIEM? И при этом повысить эффективность выявления инцидентов? Попробуем разобраться.

Как повысить эффективность SIEM

Основные причины низкой эффективности традиционных SIEM-систем кроются в необходимости постоянно изменять их настройки, для того чтобы они продолжали собирать актуальные данные из источников и выявлять инциденты, а также в отсутствии специалистов с опытом по расследованию инцидентов, аудиту и тестам на проникновение. Изменить сложившуюся ситуацию на рынке SIEM могут качественно новые подходы к эффективному выявлению инцидентов ИБ. SIEM должна стать инструментом оперативного реагирования на инциденты и выявлять широкий круг угроз, что возможно при адаптации системы к изменениям ИТ-инфраструктуры, ее полном понимании, работающих правилах корреляции и знаниях об актуальных угрозах. Все эти подходы мы реализовали в системе MaxPatrol SIEM.

Контроль ИТ-инфраструктуры. ИТ-инфраструктура крупных компаний разнообразна и состоит из большого количества элементов. Специалисты по информационной безопасности каждой компании должны контролировать изменения в ИТ-инфраструктуре для решения своих повседневных задач. Зачастую компании для решения этой задачи приобретают дополнительные продукты, которые также требуют интеграцию с другими системами, что влечет за собой двойную нагрузку. Поэтому, как правило, специалисты по безопасности имеют устаревшую «картину мира». Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250.2 т

В отличие от классических решений, MaxPatrol SIEM поддерживает актуальную модель ИТ-инфраструктуры и механизмы Asset Management. Топология сети строится автоматически, а любые изменения сразу отображаются в модели инфраструктуры. В условиях массовых атак с моментальным распространением, таких как WannaCry или NotPetya, только актуальные знания о топологии сети позволяют выявлять заражение до его масштабного распространения в сети. Таким образом, MaxPatrol SIEM обладает актуальной информацией о состоянии каждого актива и выполняет сразу две задачи: анализирует сеть в режиме реального времени, тем самым, обеспечивая моментальное реагирование на инциденты, и контролирует текущее состояние ИТ-инфраструктуры. Решение этих задач с помощью SIEM позволяет ИТ- и ИБ-службам сэкономить на внедрении дополнительного решения.

Работающие правила нормализации, корреляции и агрегации. Еще одна проблема, из-за которой компании снова и снова вливают деньги в поддержку SIEM-системы, – неработающие правила. Каждый день в инфраструктуре происходят конфигурационные изменения, что приводят к «поломке» правил, ложным срабатываниям или пропуску множества событий. Существующие средства ИБ адаптируются к изменениям с большой задержкой — приходится добавлять новые правила нормализации, корреляции и агрегации и тут у заказчика есть выбор: делать это самостоятельно или с помощью интегратора. Процесс этот бесконечен, так как правила теряют жизнеспособность с подключением новых источников логов и обновлением продуктов. В результате SIEM работают только в тех компаниях, где есть десятки специалистов по безопасности. В остальных случаях SIEM используется как дорогой лог-коллектор.

Очевидно, что необходимо изменить парадигму SIEM: система по архитектуре должна быть не просто доработанным лог-менеджером (что лежит в основе большинства традиционных SIEM) и строить правила корреляции на основе логов, а должна работать с более высокоуровневыми динамическими данными для создания правил корреляции, которые автоматически адаптируются к изменениям ИТ-инфраструктуры и не требуют постоянной перенастройки, а значит, позволяют снизить затраты на эксплуатацию SIEM.

Расследование инцидентов. Традиционные SIEM-системы не могут увидеть историю актива за все время его жизни, что затрудняет проведение ретроспективного анализа при расследовании инцидентов. Как следствие, экспертам приходится вручную изучать «сырые» данные и искать в них закономерности. Чтобы решить эту задачу требуется несколько специалистов, которые смогут анализировать логи нескольких систем-источников. Как следствие – увеличивается экспертозависимость системы и стоимость ее эксплуатации.

В MaxPatrol SIEM присутствуют механизмы точной идентификации ИТ-активов. Например, если один или несколько компьютеров изменили IP-адрес, MAC-адрес или любой другой параметр, то механизм контроля ИТ-инфраструктуры узнает его и продолжать видеть историю изменения актива. Вся история изменений сохраняется в паспорте ИТ-актива, который можно просмотреть во времени за всю историю жизни актива, а значит, для расследования инцидентов уже не требуется глубоких знаний в анализе логов различных систем, следовательно ― снижается зависимость от экспертов.

Знания об актуальных угрозах. Пожалуй, наиболее ресурсозатратное условие для эффективной работы SIEM – необходимость выявлять новые угрозы, которые появляются каждый день. Как правило, компании настраивают правила корреляции на выявление инцидентов, которые однажды уже произошли в компании, при этом понимая, что не защитит себя таким образом от атак, в основе которых новые методики проникновения в ИТ-инфраструктуру. Производитель SIEM-системы в свою очередь может поделиться своими знаниями только в ручном режиме — через специализированные форумы или рассылку бюллетеней, в то время как массовые атаки типа WannaCry и NotPetya происходят молниеносно.

Чтобы выявлять новые угрозы, группа эксплуатации SIEM должна включать экспертов, специализирующихся на тестировании на проникновение, исследовании уязвимостей и расследовании инцидентов. Но таких специалистов на рынке крайне мало. Так, по данным Cybersecurity Skills Gap, нехватка ИБ-специалистов к 2019 году в мире составит 2 млн человек[2]. В России уже сейчас нехватка достигает 60 тысяч человек. Современный бизнес (например, Сбербанк, QIWI, «Тинькофф Банк») вкладывает большие деньги в кибербезопасность и образуют новые структуры с лучшими специалистами на рынке. Остальные компании могут попытаться перекупить специалистов, но в условиях ограниченного ИБ-бюджета чаще всего вынуждены обходиться 1-2 специалистами поддержки SIEM-системы.

Однако есть и альтернативный подход. Мы вложили наш пятнадцатилетний опыт проведения тестов на проникновение и аудитов защищенности, реверс-инжиниринга, анализа уязвимостей и расследования инцидентов в собственную облачную базу знаний. Сегодня мы работаем над созданием механизма, который будет автоматически наполнять MaxPatrol SIEM новыми способами обнаружения компрометации в виде правил корреляции, агрегации, нормализации, а также помогать в расследования инцидентов. Мы меняем парадигму доставки информации о новых угрозах, помогаем автоматически выстроить защиту от них, адаптируясь к особенностям уже работающих систем. Такой подход позволяет снизить требования к экспертизе и числу персонала внутри заказчика.

SIEM-система может стоить дешевле

Мы уверены, что затраты на эксплуатацию SIEM могут быть в разы меньше, и понимаем, как важно удешевление стоимости эксплуатации SIEM в условиях необходимости создания и работы центров ГосСОПКА. Однако для снижения стоимости и повышения эффективности в архитектуре SIEM должны быть заложены новые принципы, которые позволят сократить издержки на эксплуатации (актуализации правил и оперативности реагирования), что невозможно при традиционном подходе к построению SIEM-систем. SIEM должна выполнять несколько функций и решать задачи контроля ИТ-инфраструктуры, тем самым убрав необходимость в дополнительном решении.

Решения класса SIEM должны стать не только инструментом для работы экспертов, но и снизить нагрузку на них за счет предоставления актуальной информации о новейших угрозах от экспертных и исследовательских команд. Это обеспечит SIEM-систему уникальной базой знаний, аккумулирующей актуальные данные об угрозах в формате уже готовых работающих правил корреляции, которые помогут выявлять современные атаки на информационные системы организации. Все эти новые подходы получили свое применение в системе MaxPatrol SIEM, которая учла недостатки существующих систем и уже сейчас выявляет новые угрозы, а также знает, как расследовать инциденты.

243

Примечания

  1. Challenges to Achieving SIEM Optimization, Ponemon Institute LLC, March 2017
  2. Cybersecurity Skills Gap, ISACA, 2017