Сегодня, как никогда прежде, работа с инцидентами информационной безопасности (ИБ) занимает передовые позиции в ежедневной работе специалистов и аналитиков ИБ. Рост инфраструктуры и развитие парка средств кибербезопасности приводит бизнес к мнению, что необходим инструмент, позволяющий выявлять инциденты в потоке постоянно происходящих событий. Плюс к этому компании учитывают ужесточения требований регуляторов: 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», ГОСТ 57580 «Безопасность финансовых (банковских) операций», Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Для достижения данных целей повсеместно используется система мониторинга и управления событиями ИБ, или как все вы наверняка уже слышали аббревиатуру – SIEM, которая является сочетанием SEM (Security Event Management, управление событиями безопасности) и SIM (Security Information Management, управление информацией о безопасности). И здесь мы поговорим о том, как выбрать SIEM-систему и на какие характеристики необходимо обращать внимание при выборе.
Прежде, чем перейти к критериям выбора SIEM, давайте определим, что мы понимаем под данной аббревиатурой.
Security Information and Event Management – это система, позволяющая выполнять сбор, хранение, мониторинг и управление событиями ИБ, выявление инцидентов из потока событий и оперативное оповещение аналитиков о случившихся инцидентах. Обращаю ваше внимание, что SIEM является инструментом для выполнения задач по работе с инцидентами ИБ, и как любой инструмент, для него требуются «руки», которые будут производить ежедневную работу с данной системой. SIEM позволяет в разы ускорить процесс выявления и решения инцидентов ИБ, путём работы в одной системе, таким образом вашим специалистам не потребуется, при случившимся инциденте, в горячке проверять с десяток систем и их логи. SIEM выявит и оповестит вас о случившемся инциденте, подготовит детальную карточку инцидента, сгруппирует инциденты, если будет наблюдаться поток идентичных угроз. Таким образом при включении аналитика к устранению инцидента, SIEM выдаст ему обширную информацию по инциденту и аналитик сможет быстрее и качественнее устранить инцидент.
В России на рынке SIEM представлено много решений от лидеров отечественных систем информационной безопасности, с которыми работает Infosecurity (ГК Softline):
· MaxPatrol SIEM
· Kaspersky Unified Monitoring and Analysis (KUMA)
· RuSIEM
· Пангео Радар
· Alertix
· Комрад SIEM
· SearchInform SIEM
Теперь, когда мы кратко ознакомились, что из себя представляет система управления событиями и инцидентами ИБ, с текущими решениями на нашем рынке, давайте перейдём к критериям, которые влияют на выбор той или иной системы.
Прежде, чем перейти к критериям выбора SIEM, давайте определим, что мы понимаем под данной аббревиатурой.
Security Information and Event Management – это система, позволяющая выполнять сбор, хранение, мониторинг и управление событиями ИБ, выявление инцидентов из потока событий и оперативное оповещение аналитиков о случившихся инцидентах. Обращаю ваше внимание, что SIEM является инструментом для выполнения задач по работе с инцидентами ИБ, и как любой инструмент, для него требуются «руки», которые будут производить ежедневную работу с данной системой. SIEM позволяет в разы ускорить процесс выявления и решения инцидентов ИБ, путём работы в одной системе, таким образом вашим специалистам не потребуется, при случившимся инциденте, в горячке проверять с десяток систем и их логи. SIEM выявит и оповестит вас о случившемся инциденте, подготовит детальную карточку инцидента, сгруппирует инциденты, если будет наблюдаться поток идентичных угроз. Таким образом при включении аналитика к устранению инцидента, SIEM выдаст ему обширную информацию по инциденту и аналитик сможет быстрее и качественнее устранить инцидент.
В России на рынке SIEM представлено много решений от лидеров отечественных систем информационной безопасности, с которыми работает Infosecurity (ГК Softline):
· MaxPatrol SIEM
· Kaspersky Unified Monitoring and Analysis (KUMA)
· RuSIEM
· Пангео Радар
· Alertix
· Комрад SIEM
· SearchInform SIEM
Теперь, когда мы кратко ознакомились, что из себя представляет система управления событиями и инцидентами ИБ, с текущими решениями на нашем рынке, давайте перейдём к критериям, которые влияют на выбор той или иной системы.
1. Функциональные возможности и опыт SIEM-системы
Главный критерий, на который стоит акцентировать внимание — это функциональные возможности SIEM. При выборе нужно обращать внимание на решения, зарекомендовавшие себя, как надежные и развитые продукты, и вендора, имеющего за плечами большой опыт развернутых SIEM у компаний во многих отраслях (финансовых, промышленных и т.д.). И в этом случае преимуществом будет обладать тот производитель SIEM, который может подтвердить данный опыт обратной связью от своих заказчиков, будь то референс-визит, колл или открытая статья в крупных новостных ресурсах.
Но, конечно же, одно лишь упоминание известного производителя не говорит о том, что данное решение вам подходит. Стоит рассмотреть продукты, которые позволяют получить не только стандартную систему управления событиями и инцидентами ИБ, но и решение, имеющее дополнительные модули или компоненты, которые расширяют стандартный функционал. В зависимости от требований, именно они могут иметь первостепенное значение при выборе SIEM-решения. Например, иметь встроенный модуль, обладающий функционалом аналогичным классу решений UEBA (User and Entity Behavior Analytics), позволяющий анализировать действия сотрудников компаний за счёт Machine Learning и при аномальных действиях сотрудника создавать инцидент с уведомлением аналитика.
2. Поддерживаемые источники событий ИБ и возможность подключения новых источников
Иметь возможность в SIEM быстро интегрироваться путём ручной настройки с уникальными источниками и наличие большой внутренней базы поддерживаемых источников — это два фактора, которые выделяют качественную SIEM от остальных конкурентов. Сейчас во многих организациях используется самописное ПО или редкое на рынке сетевое и серверное оборудование. И многие производители решений стремятся увеличить объём поддерживаемых источников, тем самым закрыв дополнительные сложности для своих клиентов. Но разве это проблема — подключить источник событий к SIEM?
Надо понимать, что разные источники событий по-разному отправляют логи в SIEM, используя различные способы передачи. Например, для получения сообщений из системных журналов и журнала безопасности Windows (WinEventLog, WindowsAudit) на серверах и рабочих станциях используется протокол syslog. Так в SIEM попадает информация о событиях, определенных политиками аудита Windows (таких как вход в систему, доступ к объектам, изменение привилегий). WMI позволяет собирать информацию с Windows-устройств о таких событиях, как создание, изменение или удаление файлов с определенным расширением: подключение физических устройств, запуск служб в ОС.
Таким образом, преимуществом обладает производитель, поддерживающий широкий набор способов передачи событий в SIEM для подключения различных типов источников или готовый в кратчайшие сроки разработать коннектор к новому источнику событий информационной безопасности.
3. Стоимость SIEM-системы
Не менее важный критерий при выборе решения — это его стоимость. Стоимость SIEM сильно разнится от минимальных инсталляций (так называемых All-in-One), которые подойдут для небольших компаний, и до многофилиальной архитектуры для крупных организаций. Обратите внимание, что, если стоимость решения не укладывается в бюджет, в таком случае на первом этапе развертывания SIEM стоит задуматься о подключении только определенного количества источников событий, которые будут наиболее информативны и критичны. Это позволит вам оптимизировать расходы на внедрение и уложиться в бюджет, а на следующем этапе масштабировать решение и подключить дополнительные источники событий ИБ.
Основными метриками лицензирования производителей SIEM, являются event per second (EPS) и количество активов, подключаемых к системе. Под EPS подразумевается количество событий в секунду, приходящих от каждого источника, и зависит от выполненных на источнике настроек. Под активом подразумевается любое устройство в инфраструктуре компании, обладающее уникальным IP-адресом (рабочие станции, физические или виртуальные сервера, сетевое оборудование и т.д.).
Стоимость программного обеспечения начинается от 1,5-2 млн. рублей за минимальную лицензию, которая в зависимости от производителя поддерживает поток событий до 1000 EPS. Если рассматривать максимальную архитектуру, всё зависит от выбранного решения, поскольку максимальные показатели EPS у производителей SIEM отличаются и могут достигать 300 000 EPS. Таким образом, стоимость SIEM прямо пропорциональна количеству подключаемых источников событий.
4. Пилотный проект
Ещё одним фактором, влияющим на выбор SIEM, является пилотный проект, с помощью которого можно проверить эффективность и все возможности работы SIEM именно в вашей инфраструктуре. На этапе пилота можно определить ряд проблем, затрагивающих интеграцию с имеющимися источниками, необходимость разработки контента (правил нормализации и корреляции, дашбордов, отчётов) и проверить полноту и скорость реакции на инциденты технической поддержкой производителя.
Также пилотный проект позволяет обратить внимание на компетенции интегратора, которому вы доверите работы по внедрению и сопровождению SIEM. Способен ли он производить настройку системы, корректировать правила, интегрировать критичные источники событий и вовремя реагировать на инциденты ИБ. Кроме того, в рамках пилота стоит сопоставить ваши задачи с опытом интегратора, это поможет заведомо понять его компетенции и опыт.
5. Техническая поддержка
При выборе SIEM отдельно стоит уделить внимание изучению возможностей технической поддержки, чтобы убедиться, что уровень обслуживания (SLA) каждого производителя соответствует вашим требованиям. Убедиться в доступности специалистов производителя для оказания услуг технической поддержки в формате 24/7/365 дней и тем самым обеспечивая непрерывную поддержку при критических инцидентах с SIEM. Безусловно, чем выше уровень технической поддержки, тем выше будет стоимость данных услуг. У разных вендоров стоимость технической поддержки с увеличением уровня кратно растёт, однако есть производители, у которых стоимость технической поддержки зависит от стоимости самого закупаемого ПО. Но при этом каждая из компаний-разработчиков в своих лицензиях ПО учитывает базовую техническую поддержку, которая не требует дополнительных затрат.
6. Возможность эффективного обучения персонала
Как упоминалось выше, эксплуатация SIEM отличается требованием более высоких компетенций аналитиков и офицеров ИБ для постоянной работы с системой. Для подготовки соответствующих специалистов, передовые позиции занимают производители SIEM, которые предлагают курсы по эксплуатации и настройке решения. Так как очень тяжело найти готовые кадры, то возможность обучения специалистов компании может является важным критерием при выборе производителя SIEM. Рекомендуем учитывать то, что помимо производителей SIEM с обучением вам готовы помочь интеграторы, такие как Infosecurity (ГК Softline), которые могут оказывать услуги по обучению персонала эксплуатации SIEM после ее внедрения, тем самым позволяя вашим специалистам повысить эффективность работы системы.
7. Опыт и компетенции для внедрения
В завершение стоит отметить критерий, который на первый взгляд не столь важен, ведь может показаться, что ваших компетенций будет достаточно и все работы вы готовы провести своими силами. Однако, как показывает практика, если ваши специалисты ранее не сталкивались с данным типом систем, то вопрос проведения пилотного проекта, не говоря уже о внедрении SIEM-решения, становится для компаний затруднительным.
В таком случае, вы всегда можете обратиться к интегратору, который имеет высокие компетенции и может оказать полный цикл сопровождения решения, от проектирования и пилотного проекта до оказания технической поддержки и обучения специалистов. Как же понять компетенции интегратора для данных работ? Во-первых, оценить уровень инженеров, который проверяется путём проведения пилотного проекта и демонстрации выбранной SIEM. Во-вторых, проверить опыт выполненных проектов, который интегратор может подтвердить референсами, отзывами клиентов. В-третьих, убедиться в наличии сертифицированных специалистов и статусе партнера производителя выбранной SIEM. Сервис-провайдер Infosecurity (ГК Softline) уже более 14 лет оказывает услуги в рамках управления событиями и инцидентами ИБ и имеет большой опыт внедрения и сопровождения SIEM в различных отраслях и компания разного масштаба.
Вывод
Хочется подчеркнуть, что выбор системы управления событиями и инцидентами ИБ является скрупулёзным и не быстрым процессом. Процесс, начиная от выбора подходящей компании SIEM-системы до пилотного проекта и внедрения может растянуться на полгода или более. В следствии чего сформулированные требования к SIEM или акцент под определенные задачи позволит на начальном этапе сузить список решений, которые соответствуют вашим критериям, структурировать план действий и запустить процесс внедрения системы управления событиями и инцидентами ИБ.
Немаловажно, что по итогу внедрения SIEM, помимо обозначенных задач и требований регуляторов, система станет основой и первым шагом к построению в вашей инфраструктуре собственного центра мониторинга и реагирования (SOC).
Автор: Алексей Волков, специалист направления мониторинга и управления событиями ИБ Infosecurity
Главный критерий, на который стоит акцентировать внимание — это функциональные возможности SIEM. При выборе нужно обращать внимание на решения, зарекомендовавшие себя, как надежные и развитые продукты, и вендора, имеющего за плечами большой опыт развернутых SIEM у компаний во многих отраслях (финансовых, промышленных и т.д.). И в этом случае преимуществом будет обладать тот производитель SIEM, который может подтвердить данный опыт обратной связью от своих заказчиков, будь то референс-визит, колл или открытая статья в крупных новостных ресурсах.
Но, конечно же, одно лишь упоминание известного производителя не говорит о том, что данное решение вам подходит. Стоит рассмотреть продукты, которые позволяют получить не только стандартную систему управления событиями и инцидентами ИБ, но и решение, имеющее дополнительные модули или компоненты, которые расширяют стандартный функционал. В зависимости от требований, именно они могут иметь первостепенное значение при выборе SIEM-решения. Например, иметь встроенный модуль, обладающий функционалом аналогичным классу решений UEBA (User and Entity Behavior Analytics), позволяющий анализировать действия сотрудников компаний за счёт Machine Learning и при аномальных действиях сотрудника создавать инцидент с уведомлением аналитика.
2. Поддерживаемые источники событий ИБ и возможность подключения новых источников
Иметь возможность в SIEM быстро интегрироваться путём ручной настройки с уникальными источниками и наличие большой внутренней базы поддерживаемых источников — это два фактора, которые выделяют качественную SIEM от остальных конкурентов. Сейчас во многих организациях используется самописное ПО или редкое на рынке сетевое и серверное оборудование. И многие производители решений стремятся увеличить объём поддерживаемых источников, тем самым закрыв дополнительные сложности для своих клиентов. Но разве это проблема — подключить источник событий к SIEM?
Надо понимать, что разные источники событий по-разному отправляют логи в SIEM, используя различные способы передачи. Например, для получения сообщений из системных журналов и журнала безопасности Windows (WinEventLog, WindowsAudit) на серверах и рабочих станциях используется протокол syslog. Так в SIEM попадает информация о событиях, определенных политиками аудита Windows (таких как вход в систему, доступ к объектам, изменение привилегий). WMI позволяет собирать информацию с Windows-устройств о таких событиях, как создание, изменение или удаление файлов с определенным расширением: подключение физических устройств, запуск служб в ОС.
Таким образом, преимуществом обладает производитель, поддерживающий широкий набор способов передачи событий в SIEM для подключения различных типов источников или готовый в кратчайшие сроки разработать коннектор к новому источнику событий информационной безопасности.
3. Стоимость SIEM-системы
Не менее важный критерий при выборе решения — это его стоимость. Стоимость SIEM сильно разнится от минимальных инсталляций (так называемых All-in-One), которые подойдут для небольших компаний, и до многофилиальной архитектуры для крупных организаций. Обратите внимание, что, если стоимость решения не укладывается в бюджет, в таком случае на первом этапе развертывания SIEM стоит задуматься о подключении только определенного количества источников событий, которые будут наиболее информативны и критичны. Это позволит вам оптимизировать расходы на внедрение и уложиться в бюджет, а на следующем этапе масштабировать решение и подключить дополнительные источники событий ИБ.
Основными метриками лицензирования производителей SIEM, являются event per second (EPS) и количество активов, подключаемых к системе. Под EPS подразумевается количество событий в секунду, приходящих от каждого источника, и зависит от выполненных на источнике настроек. Под активом подразумевается любое устройство в инфраструктуре компании, обладающее уникальным IP-адресом (рабочие станции, физические или виртуальные сервера, сетевое оборудование и т.д.).
Стоимость программного обеспечения начинается от 1,5-2 млн. рублей за минимальную лицензию, которая в зависимости от производителя поддерживает поток событий до 1000 EPS. Если рассматривать максимальную архитектуру, всё зависит от выбранного решения, поскольку максимальные показатели EPS у производителей SIEM отличаются и могут достигать 300 000 EPS. Таким образом, стоимость SIEM прямо пропорциональна количеству подключаемых источников событий.
4. Пилотный проект
Ещё одним фактором, влияющим на выбор SIEM, является пилотный проект, с помощью которого можно проверить эффективность и все возможности работы SIEM именно в вашей инфраструктуре. На этапе пилота можно определить ряд проблем, затрагивающих интеграцию с имеющимися источниками, необходимость разработки контента (правил нормализации и корреляции, дашбордов, отчётов) и проверить полноту и скорость реакции на инциденты технической поддержкой производителя.
Также пилотный проект позволяет обратить внимание на компетенции интегратора, которому вы доверите работы по внедрению и сопровождению SIEM. Способен ли он производить настройку системы, корректировать правила, интегрировать критичные источники событий и вовремя реагировать на инциденты ИБ. Кроме того, в рамках пилота стоит сопоставить ваши задачи с опытом интегратора, это поможет заведомо понять его компетенции и опыт.
5. Техническая поддержка
При выборе SIEM отдельно стоит уделить внимание изучению возможностей технической поддержки, чтобы убедиться, что уровень обслуживания (SLA) каждого производителя соответствует вашим требованиям. Убедиться в доступности специалистов производителя для оказания услуг технической поддержки в формате 24/7/365 дней и тем самым обеспечивая непрерывную поддержку при критических инцидентах с SIEM. Безусловно, чем выше уровень технической поддержки, тем выше будет стоимость данных услуг. У разных вендоров стоимость технической поддержки с увеличением уровня кратно растёт, однако есть производители, у которых стоимость технической поддержки зависит от стоимости самого закупаемого ПО. Но при этом каждая из компаний-разработчиков в своих лицензиях ПО учитывает базовую техническую поддержку, которая не требует дополнительных затрат.
6. Возможность эффективного обучения персонала
Как упоминалось выше, эксплуатация SIEM отличается требованием более высоких компетенций аналитиков и офицеров ИБ для постоянной работы с системой. Для подготовки соответствующих специалистов, передовые позиции занимают производители SIEM, которые предлагают курсы по эксплуатации и настройке решения. Так как очень тяжело найти готовые кадры, то возможность обучения специалистов компании может является важным критерием при выборе производителя SIEM. Рекомендуем учитывать то, что помимо производителей SIEM с обучением вам готовы помочь интеграторы, такие как Infosecurity (ГК Softline), которые могут оказывать услуги по обучению персонала эксплуатации SIEM после ее внедрения, тем самым позволяя вашим специалистам повысить эффективность работы системы.
7. Опыт и компетенции для внедрения
В завершение стоит отметить критерий, который на первый взгляд не столь важен, ведь может показаться, что ваших компетенций будет достаточно и все работы вы готовы провести своими силами. Однако, как показывает практика, если ваши специалисты ранее не сталкивались с данным типом систем, то вопрос проведения пилотного проекта, не говоря уже о внедрении SIEM-решения, становится для компаний затруднительным.
В таком случае, вы всегда можете обратиться к интегратору, который имеет высокие компетенции и может оказать полный цикл сопровождения решения, от проектирования и пилотного проекта до оказания технической поддержки и обучения специалистов. Как же понять компетенции интегратора для данных работ? Во-первых, оценить уровень инженеров, который проверяется путём проведения пилотного проекта и демонстрации выбранной SIEM. Во-вторых, проверить опыт выполненных проектов, который интегратор может подтвердить референсами, отзывами клиентов. В-третьих, убедиться в наличии сертифицированных специалистов и статусе партнера производителя выбранной SIEM. Сервис-провайдер Infosecurity (ГК Softline) уже более 14 лет оказывает услуги в рамках управления событиями и инцидентами ИБ и имеет большой опыт внедрения и сопровождения SIEM в различных отраслях и компания разного масштаба.
Вывод
Хочется подчеркнуть, что выбор системы управления событиями и инцидентами ИБ является скрупулёзным и не быстрым процессом. Процесс, начиная от выбора подходящей компании SIEM-системы до пилотного проекта и внедрения может растянуться на полгода или более. В следствии чего сформулированные требования к SIEM или акцент под определенные задачи позволит на начальном этапе сузить список решений, которые соответствуют вашим критериям, структурировать план действий и запустить процесс внедрения системы управления событиями и инцидентами ИБ.
Немаловажно, что по итогу внедрения SIEM, помимо обозначенных задач и требований регуляторов, система станет основой и первым шагом к построению в вашей инфраструктуре собственного центра мониторинга и реагирования (SOC).
Автор: Алексей Волков, специалист направления мониторинга и управления событиями ИБ Infosecurity