SIEM: изменения российского рынка

SIEM – это сложный инструмент мониторинга, который, при правильных настройках, способен оперативно выявлять нелегитимные действия в системе. Интерес к таким системам заметно вырос несколько месяцев назад. Этому способствовали изменения в законодательстве. SIEM стали обязательны для субъектов КИИ и операторов данных.

Помимо обязательных требований, Минцифры, ФСТЭК и другие профильные органы выпустили ряд рекомендаций для бизнеса и его защиты в условиях растущего числа кибератак. Одно из них – это оснащение инфраструктуры SIEM-системой.

Актуальные вызовы

Рост спроса в условиях снижения предложения порождает сразу две проблемных точки:

Уход иностранных вендоров. Например, OTX и Splunk SIEM. Те компании, которые уже интегрировали зарубежные SIEM-системы в свой бизнес, столкнулись с трудностями технической поддержки и необходимостью перехода на российские продукты.
Отсутствие у новых клиентов понимания продукта. Люди, которые впервые сталкиваются с SIEM-системой, часто представляют ее как «цифрового безопасника», который, после включения в сеть, самостоятельно обеспечивает безопасность.

Валерий Купрюшин
Руководитель отдела внедрения программного обеспечения в RuSIEM

На данный момент как минимум три основных вендора, к которым я отношу Positive Technologies, «Лабораторию Касперского» и RuSIEM, активно развиваются с точки зрения функциональных возможностей своих решений, наращивая оборот и качество продуктов. Не думаю, что здесь можно ожидать серьезные проблемы. Если говорить о небольших заказчиках, то, как правило, коробочного состава им хватает. Крупные иногда просят доработать те или иные дополнительные модули, добавить в систему нужные им функции. В RuSIEM мы на это идем постоянно. Поэтому я не думаю, что с удовлетворением растущего спроса могут возникнуть сложности .

Во внедрении все зависит от того, какой объем инфраструктуры необходимо покрыть. Вопрос в наличии у заказчика необходимого для этого персонала. В небольших организациях специалист по ИБ покрывает все продукты, с которыми приходится работать с точки зрения настройки администрирования и дополнительного внедрения. В крупных организациях процессы разделены: кто-то занимается антивирусом, кто-то межсетевыми экранами. Здесь качество однозначно будет обеспечено. В небольших – все зависит от того, насколько будет вовлечен специалист на месте. Мы всегда готовы проводить обучение основам эксплуатации системы.

Реальные сроки интеграции SIEM-системы зависят от объема покрытия. При активном участии заказчика развертывание продукта и подключение основных источников могут занять один-два дня. Чем больше инфраструктура, тем больше потребуется времени на запуск и настройку. При этом если заказчик заранее знает, что ему нужно от SIEM-системы, какие правила корреляции будут разработаны, как он будет ее использовать - можно ограничиваться двумя-тремя неделями. В противном случае можно годами ее настраивать и так и не настроить.

Основная трудность в интеграции – это нехватка вовлеченности заказчиков. Сейчас многие уделяют SIEM недостаточно внимания ввиду того, что по тем или иным причинам есть необходимость заниматься более критичными продуктами, которые нужно оперативно импортозаместить. Плюс иногда приходится тратить много времени на разъяснение, что такое SIEM и что она умеет.

Что касается перехода, то переходить с готовой SIEM удобнее, поскольку заказчик за время работы с ней сумел понять принципы работы, у него есть сценарий, он понимает, как будет использовать наше решение, и может донести это до нас. Если система ставится с нуля, на погружение заказчика в тему уходит много времени.

Вместе с новыми проблемами, есть и ряд традиционных, которые, в разной степени, актуальны для всех SIEM-систем:

потребность в актуализации настроек;
зависимость от квалификации пользователя;
необходимость «кастомизации» под реалии конкретной компании.

Важную роль в работе SIEM играют сценарии или правила корреляции. В случае с open source платформами, например с OSSIM (Alienvault), можно использовать корреляции, которые подготовили другие пользователи. При работе с проприетарным ПО, ряд готовых решений предлагает сам вендор.

Но, для обеспечения наиболее полного анализа, лучше всего создавать собственные правила и цепочки правил (кросс-корреляции). Это позволит максимально полно учесть как специфику отрасли, так и специфику инфраструктуры компании.

Эльман Бейбутов
Руководитель направления мониторинга событий информационной безопасности Positive Technologies

Массовая потребность в выявлении инцидентов ИБ подталкивает различные ИБ-сообщества разрабатывать и улучшать open source SIEM. Десятки таких SIEM-tools получили широкое распространение: The ELK stack, OSSIM, Graylog, Apache Metron, SIEMonster, Wazuh, Sagan, Prelude и многие другие находят применение в тысячах компаний по всему миру.

Звучит неплохо, да? Кажется, что Gartner зря не включает в SIEM Magic Quadrant десятки open source решений. Но на практике оказывается, что такие решения хороши каждый в своей прикладной области, но не для всего сразу в одном решении. Для масштабных задач в геораспределенных компаниях с инфраструктурой, насчитывающей под сотню различных типов источников событий ИБ, и с десятками тысяч хостов подходящих готовых open source SIEM-систем нет, иначе бы их точно купили за пару миллиардов долларов США и сделали платным ПО с амбициями попасть в Gartner Magic Quadrant.

Подход – взять за основу открытый исходный код лучшего на текущий момент стека технологий SIEM и заточить его под задачи своего бизнеса, тоже сопряжен с рядом нюансов.

Главное – это не ошибиться в выборе. Ведь вложить сил и терпения в доработку и настройку SIEM придется немало. И речь даже не про функции и их реализацию, а в том числе про то, что сайт популярного проекта OSSIM после ужесточения санкций стал не доступен при запросах из нашей страны.

Во-вторых, нужно четко сформулировать ТЗ и подготовить roadmap на недостающий функционал в выбранном решении.

В-третьих, нужно на берегу оценить, по силам ли будет «долететь до другого берега», чтобы на середине пути не оказаться в неловкой ситуации. Сюда можно включить расчет затрат на кастомизацию, на экспертные и интеграционные задачи, на вычислительные ресурсы.

В-четвертых, важно понять, кто и как будет поддерживать итоговое решение, когда группа энтузиастов, доработавших его, покинет компанию.

В итоге, после всех расчетов и планирования развертывания open source SIEM, стоит посмотреть в сторону коммерческих SIEM-продуктов. Ведь широкое распространение на рынке, наличие команды разработчиков и техподдержки производителя, готовые курсы обучений и пользовательское сообщество в России на пару тысяч человек с лихвой перекрывают наличие у продукта расходной составляющей в виде стоимости лицензий.

Что нужно для качественной эксплуатации SIEM

Несмотря на все страхи, вызванные уходом иностранных компаний, проблем с российскими программными продуктами в сегменте SIEM нет. Российские вендоры поставляют качественные, конкурентные системы, предоставляют комплексные услуги по их поддержке и интеграции.

Технические проблемы, связанные с интеграцией системы в инфраструктуру компании, тоже вполне решаемы силами тех же вендоров. Единственная серьезная проблема – это человеческий фактор «на местах».

Во многих компаниях ИБ-специалист задействован сразу во всех процессах, связанных с безопасностью. В таких условиях времени на вдумчивую отладку всех элементов SIEM-системы и актуализацию правил корреляции, интеграцию новых элементов инфраструктуры компании – может просто не хватить.

Сама по себе SIEM-система – это не «панацея» от всех киберугроз. Даже самый качественный и адаптивный программный продукт – это только половина успеха. Вторая его половина складывается из двух факторов: глубина интеграции и качество эксплуатации.