2017/12/11 16:08:59

Чем полезна SIEM-система и как её внедрить?


Содержание

Компания «Пирит», российский системный интегратор и поставщик корпоративных ИТ-решений, приступила к активному развитию направления информационной безопасности (ИБ).

Не секрет, что в современном мире количество различных угроз и негативных воздействий на корпоративную инфраструктуру постоянно растет. Цена ошибки может очень дорого стоить, поэтому компаниям критически важно вовремя выявлять слабые места и оперативно реагировать на угрозы.

Как проанализировать угрозы информационной безопасности

Ключевым элементом для анализа состояния информационной безопасности компании является система SIEM (Security information and event management). Она подобно радару может заблаговременно обнаруживать атаки и слабые места в контуре защиты информационной инфраструктуры, что очень важно для немедленного реагирования на критические инциденты.

Компания «Пирит» для своих проектов выбрала SIEM-решение IBM QRadar. Оно, по мнению исследовательской компании Gartner, является одним из лидеров среди систем подобного класса. TAdviser выпустил Гид по российским операционным системам 9.9 т

IBM QRadar осуществляет сбор журналов и иных данных с различных компонентов ИТ-инфраструктуры: пользовательских устройств, серверов, сетевого оборудования, а также со средств обеспечения информационной безопасности – антивирусов, межсетевых экранов, систем предотвращения вторжений. Система централизованно анализирует собранные данные для выявления аномалий и оперативного реагирования на них.

QRadar позволяет выявлять корреляции между событиями, полученными из различных источников, отслеживать и анализировать ход атак на сеть компании. Детальная информация об атаке помогает специалистам по информационной безопасности оперативно принимать решения о необходимых действиях.

Для каких компаний предназначены SIEM-системы

Исторически основными потребителями SIEM-систем был финансовый сектор и телекоммуникационные компании, что было связано, прежде всего, с наличием развитых нормативов контроля за информационной безопасностью. Вместе с тем, в последнее время, потребность в подобных решениях растет и в других областях.

Однако, здесь стоит обратить внимание на один важный момент. Для успешного внедрения и использования SIEM-системы компания-заказчик должна обладать определенным уровнем зрелости в сфере ИБ с наличием профильного отдела и пониманием модели угроз, свойственной для своей сферы деятельности.

Можно ли ознакомиться с работой системы до внедрения

Компания «Пирит» предлагает заказчикам смоделировать различные варианты событий информационной безопасности и самостоятельно провести настройку системы с помощью демо-стенда Qradar. Если заказчик указывает на какой-либо приоритет, например, комплексную оценку рисков, то демо-стенд может быть легко сконфигурирован под эту задачу.

Модульный принцип решения позволяет также запускать расширения партнеров IBM: Cisco, Palo Alto Networks, Fortinet, Trend Micro, CheckPoint и многих других.

«Пирит» предлагает заказчикам смоделировать различные варианты событий информационной безопасности на демо-стенде Qradar

Принцип работы демо-стенда прост. Информационные системы и аппаратные решения заказчика постоянно генерируют определенные события информационной безопасности. Весь этот поток направляется на Qradar, в результате чего заказчик видит какие действия, взаимосвязи и триггеры можно настроить и какую полезную информацию получить.

Кроме того, специалисты «Пирит» проводят пилотные внедрения, где заказчик на элементах своей инфраструктуры может посмотреть систему в работе, понять какие события ИБ поступают в систему и принять решения о её дальнейшем использовании.

В какие сроки может быть внедрено решение и сколько это может стоить

Сроки внедрения существенным образом зависят от масштаба проекта, а точнее от количества источников, топологии и набора функциональности. Простая установка и подключение источников с набором базовых правил силами подготовленного специалиста делается в считанные дни. Серьезные большие проекты с обязательной стадией проектирования, затрагивающей доработку модели угроз, могут занимать несколько месяцев.

Что касается стоимости, то она рассчитывается из расчета количества событий информационной безопасности в секунду и стоимости базовых лицензий.

В таблице ниже приведено ориентировочное количество событий в секунду от стандартных элементов ИТ-инфраструктуры (значения приведены с 20% запасом).

Вид источника или устройства Количество событий в секунду - EPS (events per second)
Active Directory
15
IIS or Exchange
10
Базовые Windows Server
2
Типовые рабочие станции
0,5
Unix/Linux серверы
0,5
DNS или DHCP
15
Антивирус сервер
20
База данных
1
Прокси сервер
25
Пограничный Firewall
150
Firewall для филиала
20
IPS. IDC или DAM
5
VPN
5
Роутеры и Коммутаторы
0,25

Примерно такое количество событий в секунду поставляет каждый соответствующий компонент в ИТ-инфраструктуре заказчика. Следовательно, для определения общего количества событий необходимо умножить эти значения на количество соответствующих элементов и все сложить.

Далее для бюджетной оценки можно использовать следующую таблицу:

Описание Стоимость
Базовая лицензия, включает 100 событий и 15000 сетевых потоков, в том числе техническая поддержка на оборудование и ПО в течении 12 месяцев$11 128,00
Расширение на 100 событий в секунду, с поддержкой на 12 месяцев$9 309,00
Возможность получения в качестве виртуального сервера, с поддержкой на 12 месяцев$1 017,00

И в зависимости от количества событий, которое мы получили на первом этапе, уже считаем количество необходимых лицензий.

К примеру, для базовой инфраструктуры из 100 рабочих станций, 1 Active Directory, 1 Exchange, 5 Windows Server, 1 антивируса, 2 коммутаторов, 1 прокси-сервера, получаем:

100x0,5 + 1x15 + 1x10 + 5x2 + 1x20 + 2x0,25 + 1x25 = 120,5 EPS

Таким образом, понадобится одна базовая лицензия сервера и одна лицензия на расширение, что обойдется в $20 437.

В любом случае, для точных расчетов лучше обращаться к авторизованным партнерам компании IBM, таким как компания «Пирит». Они помогут точно оценить затраты, подсказать возможности для оптимизации и рассчитать требуемые работы.

Требуется ли поддержка интегратора после внедрения

Система не требует специальных знаний и опыта программирования для ее развития и поддержки. Большинство эксплуатационных задач заказчик может решить самостоятельно с помощью удобного графического интерфейса.

Безусловно, определенного навыка потребует раздел управления правилами обработки событий, основанный на регулярных выражениях, однако, в целом, система очень дружелюбна и позволяет быстро овладевать необходимыми знаниями для работы с ней.

Кроме того, в ходе внедрения готовится документация пользователя и администратора, в которой отражаются особенности настройки сбора данных, возможности изменения событий и их дальнейшей обработки.

204