В современной ИТ-инфраструктуре источники событий разрознены: firewall, серверы, АРМ, облако – все они формируют собственные потоки данных. Уже на их основе можно создать единую картину киберинцендента. Для этой задачи подойдет SIEM-система (Security Information and Event Management). Она помогает объединять логи в единое окно контроля, коррелировать разрозненные события и выявлять скрытые атаки, которые невозможно заметить при изолированном анализе. В итоге вместо хаотичных данных команда получает основу для оперативного реагирования и соблюдения регуляторных требований.
Однако нередко после внедрения SIEM превращается в дорогостоящее хранилище логов, которое не подвергается анализу со стороны командой. В этом материале ответим на несколько вопросов о данном типе решений: кому и зачем оно нужно, как правильно настроить систему и как определить ее эффективность. Подробнее расскажет Илья Куриленко, заместитель генерального директора по развитию компании «Анлим», центра компетенций по информационной безопасности.
Когда стоит внедрять SIEM?
В первую очередь, важно наличие в организации специалистов по информационной безопасности (ИБ), а также их навыков. Ведь SIEM — это всего лишь система для мониторинга, которая не способна самостоятельно блокировать атаки.Например, система кричит о том, что «у нас пожар», а персонал не может интерпретировать полученную информацию.
При этом лучше перед внедрением SIEM отстроить процессы межсетевого экранирования, обнаружения и предотвращения вторжений, антивирусной защиты и управления уязвимостями. То есть заняться харденингом. Тогда у «безопасника» появится время на обнаружение и реагирование на атаку. Иными словами нужно увеличивать продолжительность активности злоумышленника и уменьшать время обнаружения хакера. Последнее достигается за счет грамотной настройки систем мониторинга и обучения персонала.
«Был случай из практики компании, когда даже при наличии комплекса средств защиты информации (SIEM, AV, NGFW, NTA, WAF, Sandbox) во время тестирования удалось за пару часов взломать центр обработки данных со всеми критичными системами. Иногда на это уходило и несколько минут», – отметил Илья Куриленко, заместитель генерального директора по развитию компании «Анлим».
Нередко организации при эксплуатации SIEM-систем допускают ряд ошибок, которые снижают эффективность данного типа по защите инфраструктуры. Выделим наиболее распространенные:
-
Отсутствие внутри организации анализа того, какие критичные системы должны быть подвержены мониторингу в первую очередь. Важно, что затем нужно перенести эти знания на уровень SIEM и провести процедуру управления активами (asset management);
-
Отсутствие понимание того, какие элементы инфраструктуры нужно подключать к SIEM. Ведь чем больше и качественнее охват, тем эффективнее обнаружение и избавление от слепых зон. Определенно точно нужно подключать межсетевые экраны, домен, сетевое оборудование, операционные системы, средства антивирусной защиты, СУБД, веб-ресурсы, системы виртуализации, управления инфраструктурой и оборудования, а также иные используемые средства защиты информации;
-
Отсутствие процесса обдуманной отправки всех событий на SIEM с источника. Ярким примером выступает подключение таким способом NGFW. Тогда никаких технических ресурсов и лицензий не хватит, чтоб прервать поток событий с него;
-
Отсутствие созданных исключений, чтобы избежать большого количества ложноположительных срабатываний. Из-за этого SIEM завален тысячами мнимых инцидентов;
-
Отсутствие достаточно полной настройки источника на отправку ИБ-событий. В итоге этого создает проблему, обратную избыточной отправки бесполезных инцидентов;
-
Отсутствие подключенных пакетов экспертизы, не настроенные правила корреляции, которые «из коробки» должны давать 90% эффективности. Опрометчиво считать, что появится квалифицированный специалист, который оперативно придумает и настроить всю экспертизу в продукте с нуля.
«Еще одна основная ошибка – отсутствие специалистов, которые будут пользоваться SIEM. Без персонала внедрение системы мониторинга – это деньги на ветер. Важно также заниматься обучением сотрудников на киберполигонах или с помощью специальных тренажеров, где можно выявлять инциденты и подготовиться к работе с продуктом», – считает Илья Куриленко, заместитель генерального директора по развитию компании «Анлим».
Какие метрики эффективности внедрения SIEM существуют?
Вопрос о том как убедить CISO и руководителей организации, что SIEM работает эффективно, а не просто потребляет бюджет, встает регулярно. Для этого есть ряд рекомендаций, о которых ниже.
-
Ответить на вопросы: «Сколько специалистов и для каких задач использует SIEM?», «Проходили ли они обучение по работе с системой? Если да, то какое? (установка и настройка или выявление и разбор инцидентов)»;
-
Оценить качество настройки системы посредством продуктов класса BAS (Breach and Attack Simulation);
-
Провести кибериспытания;
-
Собрать статистику по инцидентам за период: сколько всего было, сколько обработано, сколько ложных срабатываний;
-
Привлечь сервис от вендора (при наличии), проверить грамотность внедрения SIEM;
-
Определить степень покрытия SIEM-ом инфраструктуры, выявить осуществляется ли мониторинг ключевых и целевых ресурсов.
«При периодической отчетности, которая содержит все вышесказанное, а также улучшения, исправленные ошибки и описание кейсов использования SIEM понятным языком произведет нужный эффект на руководство», – подытожил Илья Куриленко, заместитель генерального директора по развитию компании «Анлим».
SIEM-система сама по себе не сможет заменить межсетевые экраны, антивирусы и DLP. Однако без него эти средства «слепы». И за счет корреляции событий и централизации логов можно избежать одной из главных уязвимостей в инфраструктуре – невозможность заметить распределенную атаку по частям. Например, если злоумышленник подбирает пароль к VPN и через несколько минут запускает PowerShell на сервере. Компания «Анлим» имеет серьезный опыт во внедрении, настройке и поддержке средств по защите информации, в том числе и SIEM-систем.
ссылка на оригинал статьи https://habr.com/ru/articles/1024550/