8 шагов к эффективному использованию SIEM для борьбы с киберугрозами
Изображение: recraft
Согласно мнению экспертов, в 2025 году ожидается рост рынка SIEM, что связано с увеличением сложности киберугроз и ростом потребности в решениях для управления инцидентами. Как работают эти системы? Как подойти к выбору оптимального для вашей компании решения? Об этом и много другом рассказывает Александр Соломенцев, ведущий пресейл-инженер MONT.
Как SIEM-системы помогают предотвращать киберугрозы?
Сегодня, когда ИТ-инфраструктура постоянно усложняется, злоумышленники совершенствуют все доступные методы и технологии. Все чаще используются методы социальной инженерии, фишинг, программы-вымогатели (ransomware) и продвинутые устойчивые угрозы (APT), которые длительное время могут оставаться незаметными в инфраструктуре.
SIEM-системы позволяют осуществлять сбор логов не только с инфраструктурных, но и с ИБ-сервисов. Это позволяет использовать SIEM как единую консоль событий информационной безопасности, которая обеспечит дополнительный контроль даже в том случае, если операторы ИБ пропустят угрозу в другом ИБ-сервисе.
Более того, во многих системах уже на уровне коробки заложены большие пакеты правил нормализации и корреляции, а в некоторых имеется встроенный конструктор, который облегчает создание новых правил. Все это оказывает неоценимую помощь в выявлении и предотвращении киберугроз.
Что важно учитывать при выборе SIEM-системы
Шаг 1 – Оценить собственные ресурсы
Важно учитывать, что потребуется постоянное взаимодействие операторов и ИБ специалистов с решениями класса SIEM – регулярная корректировка правил, внесение исключений, отображение изменений в текущих сервисах и др. Конечно, решение с упрощенной функциональностью может обслуживать меньшее число сотрудников, а многофункциональные, экспертные системы – большее. Но, в любом случае, один человек не сможет закрыть все задачи, связанные с SIEM. Требуется выделенный персонал, который обеспечит реальную эффективность.
Шаг 2 – Согласовать планы с ИТ
Необходимо выстроить тесные коммуникации с департаментом ИТ, чтобы определить перечень корпоративных сервисов, значимых с точки зрения информационной безопасности. Сотрудники ИТ помогут согласовать способы отправки логов из выбранных систем, разобраться с открытием портов, необходимостью создания учетной записи на узле или сервисе, а также подсказать, какие протоколы могут использоваться для сбора событий.
Кроме того, вы совместно можете ознакомиться с документацией SIEM-системы и убедиться, что выбранные источники поддерживаются вендором: есть документация, где описан порядок их настройки.
Шаг 3 – Проанализировать экосистему
Крупные вендоры, выпускающие системы класса SIEM, чаще всего предлагают и другие продукты, связанные с информационной безопасностью. Если они используются в вашей компании, стоит рассмотреть вариант внедрения SIEM-системы того же производителя. Формирование единой экосистемы положительно скажется на работе каждого из продуктов. Если функциональность другого решения вам нравится больше, то нужно решить, что важнее: дальнейшее объединение продуктов в экосистему или функции конкретно SIEM.
Шаг 4 – Определить ограничения
Очень важно на начальном этапе планирования проекта определить примерный размер потока событий, который планируется направить в SIEM. Это позволит определить, какие аппаратные требования предъявляются вендором и сколько ресурсов потребуется выделить для корректной работы системы. Также важно проверить, какие программные требования предъявляются к системам управления событиями безопасности – возможно, для вашей организации есть законодательные требования, согласно которым нужно использовать определенное ПО или операционную систему. Требования могут касаться сертификации продуктов или их версий.
Шаг 5 – Оценить возможности кастомизации
Возможность кастомизации встроенных правил и написания новых – важнейшая характеристика системы. Есть ли в ней встроенный конструктор для написания правил корреляции? Какой язык программирования используется? Предлагает ли вендор услуги по написанию новых правил? Есть ли профессиональное сообщество для обмена экспертизой? И, наконец, есть ли у вас сотрудник, который сможет писать правила самостоятельно? Ответив на все эти вопросы, вы сможете оценить, насколько выбранная система отвечает вашим запросам по кастомизации.
Шаг 6 – Убедиться в удобстве работы с системой
Интуитивно понятные информационные панели и визуализации в интерфейсе помогают пользователям быстро выявлять тенденции и потенциальные риски безопасности. Поэтому очень важно еще на этапе выбора решения убедиться, что функционал интерфейса и дашбордов SIEM-системы удобен для работы и анализа инцидентов. Также необходимо учесть возможность интеграции системы с важными для вас сервисами, — например, с Active Directory для разграничения прав доступа, — наличие или отсутствие сервиса для отправки оповещений, наличие API и проч.
Шаг 7 – Определить необходимый дополнительный функционал
SIEM-системы давно переросли примитивную функциональность анализа логов с возможностью корреляции и создания инцидентов. Некоторые из них позволяют строить карту сети, проводить аудит узлов в инфраструктуре, объединять узлы в группы по различным критериям, работать с их карточками. Все это дает возможность быстро и качественно выполнять анализ и работу с инцидентами.
Шаг 8 – Оценить стоимость решения и его внедрения
При выборе системы важно учесть совокупную стоимость владения – первоначальное предложение, стоимость продления лицензии, поддержки, закупки нового или апгрейда имеющегося оборудования. Также цена будет зависеть от количества подключенных источников и функциональных элементов системы, размера потока событий и многих других факторов.
Резюмируя, система должна иметь простой и понятный механизм правки встроенных правил и написания собственных. Также важно, чтобы она предоставляла возможность добавления исключений, формирование табличных списков и удобный механизм работы для их детальной настройки.
Чтобы снизить количество ложных срабатываний, нужно активно работать с системой, обновлять данные об угрозах, новых сервисах, осуществлять мониторинг событий для своевременного внесения изменений.
Основные метрики и влияние ИИ
Главные метрики оценки эффективности работы SIEM-систем включают в себя время от момента поступления данных до начала анализа, процент уменьшения ложных срабатываний за определенный период времени и количество избыточных или устаревших наборов правил. Также сюда входят соотношение срабатываний к устраненным срабатываниям, среднее время реагирования на инциденты безопасности, а также количество открытых инцидентов.
Все они оказывают серьезное влияние на производительность системы.
Компании части допускают ошибки при определении пула источников, с которых система должна собирать события. Проект SIEM не будет успешным, если у заказчика отсутствует четкая политика по аномальным действиям и исключениям, а также согласованность действий участников процесса – ИБ и ИТ.
В современной ИТ-инфраструктуре количество событий, поступающих в SIEM, может достигать миллионов в день. Для анализа такого объема требуются инструменты ИИ и ML, которые помогают сэкономить время на реагирование и устранение последствий инцидентов, избежать ошибочного вайтлистинга, обнаружить целенаправленные атаки, выступая вторым эшелоном защиты.
ИИ также может выдать второе мнение по событию в виде Risk score, акцентируя внимание оператора на наиболее рискованных событиях и многое другое. Со временем система становится самообучаемой, а срабатывания — более точными.
Важно!
Необходимо убедиться, что выбранная SIEM-система поддерживает выбранные вами источники и позволяет осуществлять сбор событий предпочтительными для вас протоколами. Это позволит избежать ситуации, когда критичный сервис или СЗИ останутся неохваченными.
Также важно выбрать решение, которое на уровне коробки содержит обширный набор правил и имеет понятный механизм добавления новых. Для СЗИ, как и для других источников, может потребоваться написание собственных правил корреляции – в идеале, если в SIEM-системе есть для этого удобный конструктор.
Перспективы развития
Помимо очевидного обогащения коробочного пакета правил, в ближайшее время фокус развития SIEM-систем будет направлен на сокращение времени реагирования на инциденты. Этому будут способствовать использование технологий ИИ и ML, улучшение пользовательского опыта, переход к сервисной модели, оптимизация процессов, вовлечение в работу команды ИБ и ИТ. Кроме того, мы прогнозируем активное использование метапродуктов и появление автоматического реагирования на инциденты – объединения классов SIEM и SOAR в единое целое.
Создание полностью автономной системы мониторинга, скорее всего, в ближайшие несколько лет нереализуемо. Существующие сегодня технологии не дают 100% гарантии защиты, а значит — без операторов ИБ пока не обойтись.
Автор: Александр Соломенцев, ведущий пресейл-инженер MONT.
