Бесплатные Open Source SIEM Tools: за и против

Как инвестировать в безопасность компании – дело индивидуальное. Кто-то ежегодно перечисляет миллионы на счета вендоров, а кто-то самостоятельно разрабатывает SIEM-системы на базе открытого кода.

Что выгоднее на практике – оплачивать проприетарное решение или полагаться на Open Source? Какие бесплатные SIEM-решения используют в компаниях сегодня? И почему ИБ-специалисты их часто обходят стороной? Подробности – в этой статье.

Обзор SIEM-систем с открытым кодом

Чем меньше ограничений в opensourse-решении, тем больше компаний его используют. Самые популярные бесплатные SIEM-системы могут работать с любым количеством пользователей и данных, легко масштабируются и поддерживаются ИТ-сообществом.

В топ-список популярных SIEM-систем с открытым исходным кодом входят:

• AlienVault OSSIM SIEM – версия AlienVault USM, одного из лидеров среди данного класса решений в мире. Пользователь бесплатно получает фреймворк с системами обнаружения вторжений, мониторинга сетей и узлов, сканера уязвимости и других инструментов с открытым исходным кодом;
• MozDef – разработка Mozilla, которую программисты написали с нуля. Как и в предыдущем случае, SIEM-система создавалась на проверенных временем opensource-проектах. По словам разработчика, она может обрабатывать более 300 млн событий ежедневно;
• Wazuh – это бесплатное решение, которое изначально развивалось в рамках другой Open Source SIEM-системы (OSSEC). Позже оно стало отдельным продуктом, который может одновременно собирать данные с помощью агентов и системных журналов. К преимуществам Wazuh относят современный веб-интерфейс, REST API и расширенный набор правил;
• OSSEC SIEM – старший брат системы Wazuh. В ИБ-сообществе продукт больше известен как неплохое бесплатное решение для обнаружения вторжений;
• Sagan – SIEM-инструмент, который может анализировать входы в сеть режиме реального времени и оценивать их корреляции. Одно из преимуществ – высокая производительность, которая достигается благодаря многопоточной архитектуре решения;
• Prelude OSS – opensource-вариант Prelude SIEM, платной системы от французского разработчика CS. Решение работает с множеством форматов логов, легко интегрируется с популярными opensource-инструментами от других разработчиков.

Также при создании собственной системы в компаниях часто используют ELK SIEM, Snort, Suricata, SecurityOnion, Apache Metron и другие бесплатные продукты. Многие из них – ограниченные версии проприетарного ПО. Как правило, они предлагаются вендорами для ознакомления с их основной системой

Когда можно использовать открытый код

Тест-драйв коммерческой системы, пусть и с минимальным набором функций – одна из самых популярных причин внедрять Open Source SIEM сегодня. Бесплатные версии с открытым исходным кодом помогают специалистам проверить дорогостоящий продукт в боевых условиях и заодно заглянуть под его капот.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Один из поводов внедрить opensource-решение – оценить, нужно ли в целом решение класса SIEM в организации. Хотя, на мой взгляд, в этом случае проще заказать пилотный проект у крупного вендора.

Также уместным будет такой вариант, если в компании небольшая инфраструктура и минимальное количество разных типов источников. И конечно, к системе не должно быть требований со стороны регуляторов.

Кроме того, Open Source SIEM-систему можно рассмотреть, если есть возможность подключить большую команду программистов. Любое решение с открытым исходным кодом требует доработки и адаптации к ИТ-инфраструктуре компании. И если заняться этим будет некому, то смысла в бесплатных решениях нет совсем.

Андрей Мичкин

Начальник отдела внедрения решений ИБ Cloud Networks

Основная сложность, с которой сталкиваются пользователи opensource-решений, – необходимость выделять ресурсы. Зачастую система становится очень зависимой от них. Иными словами, происходит «замыкание» на конкретном человеке, который все «собрал». Если он уходит или меняется целая команда, то этот инструмент становится очень трудно использовать.

Нехватка квалифицированных специалистов – одна из главных проблем, с которыми сталкиваются компании при использовании ПО с открытым исходным кодом. Чтобы разрабатывать и поддерживать такие SIEM-системы, нужны опытные администраторы Linux, аналитики и эксперты по подключению новых источников, разработке правил корреляции, дашбордов и пр. Так как бесплатное ПО обладает минимумом функций и настроек на борту, этой работы будет много. Во всяком случае, в первые месяцы после внедрения – отмечают эксперты.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

Также потребуются DevSecOps-инженеры, способные гарантировать безопасность применяемых opensource-решений – отсутствие уязвимостей и закладок, способных нанести вред всей инфраструктуре.

Нелишним будет привлечь и высококвалифицированных архитекторов. Ошибка в архитектуре может обернуться невозможностью масштабирования или развития решения, что приведет к существенным дополнительным инвестициям.

Множество таких факторов, по словам эксперта, может сказаться на стоимости владения системой. Поэтому Open Source SIEM может выбирать только тот, кто отлично знает свои задачи и обладает необходимыми ресурсами.

Почему лучше обратиться к вендору

На Западе есть поговорка: «Linux бесплатна, только когда вы не цените свое время». То же самое можно сказать и об инструментах SIEM с открытым исходным кодом.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

Стоимость владения Open Source и коммерческим решением может различаться. Но в большинстве случаев владение «бесплатным ПО» дороже: все издержки по созданию и развитию собственного решения ложатся на клиента, а затраты на персонал могут быть выше затрат на лицензии.

Сложности с доработкой продуктов – причина, по которой страдает безопасность opensource-продуктов. Выявленные уязвимости могут устраняться неделями или месяцами, чем активно пользуются киберпреступники.

Валерий Польский

Специалист информационной безопасности в компании R-Vision

Так как над продуктом работают различные сообщества, то у них могут отсутствовать необходимая экспертиза и компетенции в безопасной разработке, что может прямо влиять на архитектуру безопасности и наличие уязвимостей.

Кроме того, наличие открытого исходного кода позволит предварительно и подробно изучить продукт потенциальным злоумышленникам. А это особенно критично для решений, связанных с информационной безопасностью.

Эксперты также напоминают о других нюансах Open Source SIEM. В частности, система с открытым кодом:

• не имеет официальной технической поддержки – отвечать на вопросы об инсталляции и обслуживании бесплатных решений будут другие пользователи, а не единый владелец-разработчик ПО,
• может прекратить существование в любой момент. Даже если вчера сообщество поддерживало продукт, то уже завтра его могут забросить и оставить пользователей без критичных обновлений,
• это не продукт из коробки. Для корректной работы с источниками нужны коннекторы, которые будут правильно преобразовывать поступающие события в нормальный формат для их последующей обработки. 

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

У коммерческих продуктов уже есть готовый набор или специалисты вендора будут готовы разработать новые коннекторы. В случае с бесплатным решением такого рода операции надо будет делать самому.

То же самое касается правил корреляции. Часть, конечно, будет готова, но все равно придется приложить достаточные усилия, чтобы наладить и настроить продукт под свои потребности.

Перечисленных проблем, по мнению экспертов, никак не избежать. Принимать эти риски или нет, каждая компания решает самостоятельно.

Выводы

Open Source SIEM-системы – это вариант, который подходит далеко не всем компаниям в России. С одной стороны, чтобы адаптировать открытый исходный код под свои задачи, нужно иметь в штате много первоклассных IT-специалистов и внушительный ФОТ. С другой – есть требования регуляторов, по которым в большинстве случаев нужно устанавливать только сертифицированное ПО.

Однако отказываться от opensource-инструментов полностью не стоит, говорят эксперты. Как минимум, их можно приводить в пример при подготовке требований и пожеланий к платной SIEM.