Технология SIEM (Security information and event management) подразумевает анализ в реальном времени событий безопасности в сетевых устройствах и приложениях. В линейку решений SIEM входят различные приложения, приборы и услуги, которые применяются для сбора и анализа инцидентов информационной безопасности.
В новом материале мы с помощью экспертов постараемся подробно разобраться, что скрывается за аббревиатурой SIEM, как, зачем и кем используются SIEM-системы.
На российском рынке встречаются системы, позиционирующие себя как SIEM, однако вызывающие споры относительно принадлежности их к этому классу продукта. Что вы можете об этом сказать?
Павел Коростелев, старший менеджер по продукту компании «Код безопасности»
Павел Коростелев, старший менеджер по продукту компании «Код безопасности»:
«Производитель может позиционировать свой продукт так, как он считает нужным, в том числе, и как SIEM-систему. Так как критерии отнесения того или иного продукта к SIEM-системе достаточно расплывчаты, то рынок это позволяет. Но при этом, когда речь заходит о применении SIEM-системы по прямому назначению, то есть по сбору и централизованному анализу событий безопасности, выясняется, что продукты не отвечают серьезным требованиям в части производительности, инструментов анализа и так далее. Излишний оптимизм вендора может негативно сказаться на его продажах и бренде, так как у заказчиков может возникнуть вопрос: «А насколько корректно позиционирование других продуктов этого производителя?».
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«Сложно сказать, у кого вызывает споры принадлежность российских SIEM-систем к этому классу. У меня лично таких сомнений нет. Да, российские SIEM-системы весьма молоды по сравнению с «грандами» этого сегмента. Однако они безусловно относятся к SIEM-системам: их задача заключается в том, чтобы путем импорта и анализа логов с конечных устройств, серверного и сетевого оборудования, а также анализа зеркалированного трафика выявлять инциденты ИБ. Другой вопрос, что дьявол кроется в деталях. Поэтому российские SIEM-системы, безусловно, отличаются как набором коннекторов к системам, так и возможностями анализа трафика на различных уровнях сетевой модели OSI, наличием Workflow для обработки инцидентов, наличием встроенного сканера уязвимостей и рядом других параметров. К интересным российским решениям я бы отнес, в частности, PT MaxPatrol SIEM и RuSiem».
Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ)
Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ):
«Если в целом разобрать аббревиатуру SIEM, то можно сказать, что это система управления событиями безопасности. Под управлением, в общем случае, понимается процесс сбора и обработки (нормализации, агрегации, корреляции) событий безопасности, поступающих из различных источников данных (средств защиты, элементов общей ИТ-инфраструктуры) для обеспечения возможности последующего реагирования на возникающие инциденты ИБ. Поэтому вполне вероятно, что некоторые производители могут трактовать термин в свою пользу, реализуя (либо давая возможность реализовать) лишь определенный пул операций управления. В любом случае, при выборе заказчики скорее опираются не на название класса, к которому относится та или иная система, а обращают внимание на конкретный функционал, который она может предоставить».
Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline
Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline:
«Действительно, на рынке присутствуют решения, которые не являются SIEM-системами, хоть и позиционируют себя так. Как правило, они предлагают заказчикам некую похожую функциональность — например, являются системами сбора и хранения событий, но не могут в режиме реального времени выявлять инциденты. С развитием SIEM, на сегодня системы характеризуются довольно конкретным набором инструментов, отсутствие хотя бы одного из которых уже вызывает вопросы — можно ли относить данный продукт к SIEM.
Основные инструменты, которые можно использовать как критерии:
- Расследование. SIEM-система должна предоставлять возможность расследовать инцидент. Администратор в ежедневных задачах проводит анализ инцидентов, изучает логи, обращается к данным, которые предвещали событие. Анализ инцидента позволяет более точно принять меры по предотвращению.
- Threat Intelligence. Каждая SIEM-система должна не просто получать информацию, но быть «умной» и обогащать события дополнительной информацией, которая сможет расширить аналитику событий ИБ.
- Отчетность в SIEM позволяет визуально увидеть состояние ИБ организации, оценить изменения и предоставить данные для высшего руководства организации как эффективность работы службы ИБ».
Какие у них есть преимущества и недостатки в сравнении с другими ИБ-решениями?
Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»
Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»:
«Достоинства и недостатки – вопрос стратегии использования. Каждый инструмент предназначен для решения конкретной задачи и если решать с его помощью другую задачу, то такое решение может оказаться неэффективным. Есть, конечно, универсальные инструменты, но, если ты пользуешься таким инструментом, используя только 50% функций – ты переплачиваешь. Отверткой удобно заворачивать шурупы, но если вы решите использовать ее для забивания гвоздей – вам она покажется неудобной. Если вы выбирали SIEM с целью выявления мошенничества в автоматизированной банковской системой, а потом решили подать на нее события с антивируса и межсетевого экрана, то вполне возможно, вы будете недовольны производительностью. У некоторых современных средств защиты, например, DLP-систем или WAF (Web Application Firewall, защитный экран для приложений), есть встроенный функционал управления инцидентами, сфокусированный на анализе контента или трафика – поэтому часть работы SIEM можно переложить на сами приложения. Но если вы их внезапно отключите, то не факт, что ваш SIEM сможет без существенной перенастройки и дополнительных расходов взять на себя их функции».
Яков Гродзенский:
«Как и любые российские решения, SIEM-системы имеют определенные преимущества в части локализованного интерфейса, возможности анализа русских логов, наличия сертификатов ФСТЭК. Кроме того, они имеют хорошие шансы для проникновения в госсектор и другие сектора экономики, где есть тренд к импортозамещению. Недостатками отечественных решений являются не очень широкая функциональность по сравнению с западными аналогами, например, отсутствие автоматизированного управления рисками».
Алина Хегай:
«Системы SIEM не совсем корректно сравнивать с другими ИБ-решениями, так как у любого решения есть область применения, к примеру, определенный вектор атак, против которого она позволяет защититься. SIEM-системы, в этом плане, скорее находятся на стыке ИТ и ИБ и сами по себе не обеспечивают реализацию защитных механизмов, без соответствующих интеграционных шин с другими решениями, которые позволяют активно реагировать на возникающие угрозы. SIEM – это платформа управления, основа ситуационных центров ИБ (SOC), предназначенная, в первую очередь, для определения факта события или инцидента безопасности в компании посредством корреляции различных данных, определения критичности инцидента для возможности приоритизации его обработки командой реагирования, и предоставления необходимых данных для последующей обработки инцидента. SIEM также в большинстве своем позволяют организовать процессы управления кейсами и знаниями. Также существуют на рынке системы класса IRP, которые расширяют возможности SIEM в некоторых областях».
Рушан Айсин:
«Не могу сказать, что сравнивать SIEM-системы с другими ИБ-решениями корректно. У SIEM свой сегмент и свои задачи. Использование SIEM выводит организацию на высокий уровень контроля за информационной безопасностью. Позволяет централизовать мониторинг и повысить аналитику ИБ. Сложность внедрения системы обуславливает обязательную двустороннюю работу, как со стороны поставщика/интегратора, так и со стороны заказчика. С появлением новых задач возрастает загруженность сотрудников, однако в дальнейшем эта работа в несколько раз облегчает задачу управления ИБ организации. Проекты по внедрению могут занимать от 2 до 10 месяцев в зависимости от конкретной организации, оборудовании и инфраструктуры».
Дмитрий Романченко, директор Центра технологий безопасности IBS
Дмитрий Романченко, директор Центра технологий безопасности IBS:
«SIEM-системы относятся к разряду «зонтичных» систем, которые агрегируют в себя события безопасности, получаемые от других ИБ- и ИТ-систем организации. Далее в системе производится агрегация данных, корреляция с использованием системы решающих правил, выявление инцидентов ИБ, информирование офицеров безопасности, формирование аналитики в различных форматах и разрезах. Современные SIEM-системы эффективно интегрируются с системами, поддерживающими процесс расследования инцидентов ИБ и управления конфигурациями ИТ-систем. Таким образом формируется замкнутый цикл выявления и реагирования на инциденты ИБ.
В выигрыше оказываются решения, обеспечивающие наиболее широкое покрытие по количеству источников, наиболее широко масштабирующиеся, обеспечивающие эффективное сжатие, хранение и поиск информации, реализующие эффективное выявление различных инцидентов ИБ, обладающие богатой аналитикой и инструментами интеграции с системами реагирования на инциденты ИБ».
Людмила Игнатова, генеральный менеджер компании TEGRUS
Людмила Игнатова, генеральный менеджер компании TEGRUS:
«Их главное преимущество в том, что в единой консоли можно увидеть все события ИБ организации и получить полную картину происходящего, а не отдельные ее кусочки, предоставляемые другими системами.
Основной минус – сложный и трудоемкий процесс внедрения.
Достаточно непросто создавать правила корреляции событий, настраивать систему для работы, выстраивать грамотный сбор информации из различных источников.
Достаточно высокую стоимость также можно отнести к минусам. С другой стороны, здесь некоторые преимущества получают решения российских производителей».
Для каких организаций актуально использование SIEM-систем?
Рустэм Хайретдинов:
«Каждая организация сама решает, нужна ли ей SIEM-система или нет. Экономическая эффективность такой системы под вопросом – это довольно сложная система, требующая постоянного внимания и доработки, поэтому без выделения существенных ресурсов на поддержку, она не будет эффективной. Функции управления инцидентами безопасности можно проводить и в системах мониторинга инфраструктуры и приложений, с помощью систем управления журналами событий (лог-менеджмент), а также с использованием внутренних систем управления событиями в разных системах защиты. На практике нет зависимости нужды в выделенной SIEM-системе от размера компании – есть большие компании, справляющиеся с угрозами без SIEM и есть маленькие с SIEM, все зависит от того, как выстроены в компании внутренние процессы информационной безопасности. Статистически чаще SIEM покупают банки (из-за частых аудитов на соответствие различным требованиям), территориально распределенные компании (из-за желания мониторинга из центра событий в удаленных филиалах) и организации, однажды встретившиеся со сложной атакой, которую не заметили типовые средства защиты».
Яков Гродзенский:
«В определенных случаях наличие SIEM-системы продиктовано требованиями стандартов и законодательства. Например, это относится к банкам, обрабатывающим данные пластиковых карт, так как для них обязательно соответствие PCI DSS (стандарт безопасности данных индустрии платежных карт). Говоря об отраслях и размерах компаний, то это средние и крупные организации из банковского сектора, страховые компании, операторы связи и ряд других отраслей. Другими словами, это те компании, где последствия инцидента, например, вторжения в сеть, могут иметь серьезные финансовые и репутационные последствия».
Дмитрий Романченко:
«Использование решений класса SIEM обязательно для большинства крупных организаций, обрабатывающих персональные данные, конфиденциальную информацию, эксплуатирующих государственные информационные системы, использующих системы АСУ ТП. Недавно утвержденный пакет Федеральных законов о безопасности критической информационной инфраструктуры предполагает выстраивание процессов сбора событий ИБ, расследования инцидентов и реагирования на них, а это как раз и является основной функциональностью SIEM-систем. Согласно отраслевому списку организаций, которые могут быть отнесены к критической информационной инфраструктуре, большинство крупных коммерческих и государственных компаний, а также все федеральные ведомства могут быть отнесены к категории КИИ. В этой связи, потребность в эффективных SIEM-решениях будет только возрастать».
Людмила Игнатова:
«Чем больше источников мы подключаем к SIEM-системе, тем больше интересных событий мы в ней увидим. Поэтому логично использовать такие системы в достаточно зрелых организациях с развитой ИТ-инфраструктурой.
Если, грубо говоря, в офисе сидит всего несколько десятков человек и из продуктов по безопасности установлен только антивирус и NGFW (next generation firewall, «фаервол следующего поколения»), то внедрение SIEM-системы, скорее всего, не даст желаемых результатов по той причине, что решение не раскроет свои возможности в полной мере».
