Современный ландшафт угроз информационной безопасности и разнонаправленная активность злоумышленников значительно увеличили спрос компаний различного масштаба на инструменты SIEM (Security information and event management). Основное преимущество SIEM заключается в том, что автоматизированные инструменты могут детектировать происходящую атаку по целому ряду косвенных признаков, а также обнаружить уязвимости в собственных ИТ-системах компании. Правильное внедрение SIEM позволяет повысить осведомленность службы информационной безопасности и гарантировать более высокий уровень защиты.

Технически SIEM-система производит сбор информации со всевозможных элементов ИТ-инфраструктуры, включая персональные компьютеры, серверы и маршрутизаторы, а также другие системы ИБ — антивирусы, Firewall, IPS/IDS и так далее. Возможность проанализировать процессы, происходящие по всей сети, создает предпосылки для выявления корреляций между подозрительными событиями. В случае реальной атаки, подробная информация и предоставляемые некоторыми системами руководства к действию помогают ответственным сотрудникам быстрее реагировать на изменения ситуации – попытки проникновения в сеть, передачу конфиденциальной информации, усиление DDoS-атаки и так далее.

Что необходимо для использования SIEM?

SIEM – это сложный инструмент, который позволяет повысить качество мониторинга ИТ-активов и работы средств ИБ. Однако для использования системы необходимо наличие работающей службы информационной безопасности в компании. Дело в том, что SIEM расширяет аналитические возможности других инструментов, но требует от сотрудников наличия уже готовой модели угроз, которая меняется от отрасли к отрасли.

Раньше потребителями SIEM-систем были в основном финансовые и телекоммуникационные компании. Дело в том, что от данных организаций требуется должный уровень обеспечения безопасности на законодательном уровне. Но учитывая расширяющийся профиль угроз, сегодня SIEM оказывается востребованным практически повсеместно. По мере того, как компании оценивают риски ИБ и начинают осознавать стоимость инцидентов, связанных, например, с действиями инсайдеров или продвинутыми атаками, SIEM начинают рассматривать, как эффективный дополнительный инструмент для работы службы безопасности.

Процесс внедрения SIEM может занимать от нескольких дней до нескольких месяцев, в зависимости от объема защищаемы систем и количества источников, предоставляющих данные для анализа. Также SIEM-системы отличаются функциональностью, и их настройка также требует времени. Тем не менее, запустить SIEM с базовыми правилами можно буквально за неделю, чтобы познакомить службу информационной безопасности с новым инструментом и получить первый эффект от расширения мониторинга. Тем временем, доработка модели угроз и внедрение расширенных практик может занять более полугода.

Различия между системами SIEM

Любая комплексная SIEM-система должна отвечать реальным вызовам и обеспечивать обнаружение таких категорий угроз, как «Advanced Threat» (APT), угрозы действий инсайдеров, защита облачных систем, а также управление уязвимостями и обеспечение соответствия требованиям. Сегодня на рынке представлено несколько зрелых SIEM-решений, в числе которых QRadar, Sputnik и LogRythm. У каждой из этих систем есть свои особенности при эксплуатации, а также технические преимущества.

Например, Sputnik обладает развитой системы построения отчетов о соответствии требованиям, используя любой набор исторических данных. Поэтому данный SIEM часто используется в организациях, деятельность которых четко контролируется регулирующими органами. Кроме этого компания предлагает отдельный продукт UBA Caspida для борьбы с инсайдерами, однако он не полностью интегрирован в общую систему.

Продукт LogRythm обладает комплексной функциональностью и может одновременно бороться с угрозами инсайдеров и APT, а также справляется с обнаружением уязвимостей. Кроме этого для удобства пользователей LogRythm предлагает также SaaS-решение и может использовать данные об уязвимостях в рамках настраиваемых правил и политик.

Однако наиболее функциональным на сегодняшний день является сканер IBM QRadar, который не только содержит дополнительное приложение UBA, но кроме этого имеет полноценное облачное решение (а не только SaaS-версию приложения). Система QRadar позволяет подключать модули от Cisco, Palo Alto Networks, Trend Micro, Fortinet, CheckPoint и других партнеров компании, а встроенный сканер реального времени помогает обнаруживать реальные угрозы безопасности в конкретной инфраструктуре, когда та или иная уязвимость становится известной.

В частности, независимый исследовательский институт Ponemon Institute LLC в 2017 году провел исследование, в котором приняли участие 484 специалистов в области ИТ и ИБ. Как показали его результаты, 58 из 484 респондентов развернули решение SIEM QRadar, объяснив это преимуществами решения по связыванию разных событий между собой. На диаграмме ниже приведены преимущества этого решения, которые склонили ответственных лиц к выбору QRadar.

QRadar

Внедрение и сопровождение

Сегодня большинство SIEM-решений можно опробовать на демонстрационных стендах у самих разработчиков или их партнеров, которые расскажут обо всех подводных камнях при внедрении и эксплуатации.

Первичную оценку стоимости внедрения можно провести достаточно просто, опираясь на схему лицензирования от компании ИБМ:

  1. Определяются список систем и их количество, с которых нам интересно получать и анализировать события ИБ
  2. Сюда входят базовые вещи для каждой инфраструктуры: AD, почтовый сервер, рабочие станции, DNS и DHCP, VPN, сетевые устройства и т.д.
  3. Для каждого сервиса и типа оборудования есть среднее количество сообщений ИБ, который он отправляет в SIEM систему в секунду, например, для рабочих станций этот показатель в среднем 0,5, а для Firewall достигает 150.
  4. Считается общее количество событий ИБ в секунду на всю инфраструктуру и из этого делает расчет стоимости лицензий.
  5. Точный расчет лучше получить у партнеров Qradar и ИБМ, но стоимость решений лидера рынка не так высока относительно конкурентов.

При этом после внедрения и настройки продукта, его эксплуатация не требует специальных навыков ИТ-специалиста. С обработкой инцидентов и реагированием на события может справиться любой опытный офицер ИБ, учитывая какие возможности дает удобный интерфейс, в том числе с возможностью использования искусственного интеллекта Watson от IBM:

Watson от IBM

Поэтому сегодня внедрение комплексной SIEM-системы рассматривают практически в каждой компании, где работает отдел ИБ, цена инцидента велика, и офицеры безопасности нуждаются в дополнительных инструментах.