Автор: Павел Пугач, системный аналитик “СёрчИнформ”
Основная задача SIEM – мониторинг событий безопасности, выявление и управление инцидентами. Происходить это должно в три этапа.
SIEM буквально должна только вычитывать и сопоставлять события из разных источников. От нее не требуется глубокое расследование атак, аварий, компрометаций, если они выходят за рамки периметра. Однако, при избытке данных об инциденте логично желание их проанализировать, чтобы докопаться до причин, установить виновников и их мотивы. Отсюда – запрос заказчиков на расширение возможностей расследования. К тому же, раз SIEM обнаруживает проблемы, то можно ожидать их решения в той же консоли – напрашивается функционал реагирования. И наконец, имея полную картину происходящего в инфраструктуре, хочется знать, откуда ждать проблем, а именно прогнозировать инциденты и проактивно их предотвращать.
Это логичный путь развития систем, и фактически по нему идут все вендоры. На первый взгляд это очевидный плюс – заказчику так удобнее. Но увлечение такими улучшениями грозит увести SIEM от решения первоначальных задач, что в итоге снизит ее эффективность. Рассмотрим, каким образом.
Для начала приведу простой пример. Многие SIEM сегодня внедряют сценарии развития инцидентов по матрице MITRE ATT&CK. Эти сценарии дополняют правила обнаружения инцидентов и основаны на пошаговом анализе хода атаки – действий, которые злоумышленник совершит в инфраструктуре. По идее, это дает продвинутые возможности расследования, но на практике ряд SIEM с внедренной матрицей MITRE ATT&CK предлагают игнорировать незначительные события ИБ, пока они не сложатся в сценарий. Например, ждут, пока брутфорс пароля учетной записи завершится успехом, чтобы точнее определить, в чем цель атаки, какой элемент инфраструктуры будет атакован следующим, и где нужна особая защита. Но что важнее: определить чего хочет преступник или остановить его сразу, не допустив ущерба?
Выяснение мотивов и логики киберпреступников – не задача корпоративной ИБ. Ловить и выслеживать хакеров – прерогатива специальных органов. А компаниям первостепенно – защищаться. Получается, что SIEM, которая работает по матрице, отнимает у ИБ-отдела время на оперативное противодействие угрозе.
Приведу другой пример про реагирование на инциденты. Чтобы остановить атаку, SIEM нужно вмешаться в ход работы конкретных элементов инфраструктуры. Часто, особенно при работе с оборудованием, это требует нетипичной для SIEM архитектуры: работы в конечных точках (то есть наличия агентов). Качественная реализация такой функции требует от вендора SIEM полной перестройки системы, то есть превращает ее в другой продукт. А заодно лишает характерных для сетевой модели работы преимуществ вроде охватности, ведь агенты невозможно внедрить на все конечные точки.
То же касается предиктивной аналитики. Самый понятный способ спрогнозировать проблему – найти уязвимости в инфраструктуре. Но хороший Vulnerability Management тоже требует глубокого сканирования конечных точек, а в идеале – работу через агенты.
Есть и совсем специфические примеры: внедрение в SIEM элементов ИИ призвано автоматизировать выявление инцидента. При этом ИИ должен заменить человека в интуитивных задачах (если мы говорим про ИИ, а не про машинное обучение). Но в SIEM он анализирует данные от источников, а если источник скомпрометирован, то данным из него нельзя доверять. Соответственно, снова требуется "человеческая" аналитика, ведь у машины просто не будет достоверных данных для анализа. В итоге эта функция, как минимум, не дает желаемого результата, а чаще просто бесполезна.
Наконец, дополнительный функционал повышает как аппаратные требования к системе, так и требования к квалификации ИБ-специалистов для работы с продвинутыми фичами.
В первую очередь стоит помнить, что SIEM должна без проблем выполнять свои "родные" задачи. В конечном итоге дополнительный функционал – не универсальная потребность заказчиков SIEM, и у большинства побочных задач уже есть свои решения в виде специально под них созданных продуктов.
В развитии "СёрчИнформ SIEM" мы в первую очередь опираемся на требования к SIEM как к классу: расширяем количество контролируемых источников, повышаем качество аналитики – таксономии и корреляций. При этом первостепенно поддерживаем источники, которые требуются нашим заказчикам. Например, за последнее время, учитывая запросы клиентов, мы выпустили коннекторы к российским "АПКШ Континент", "1С ЗУП", UserGate, VipNet и Secret Net, обновили – к Astra Linux и ОС Альт.
Рыночные тренды мы, конечно, не игнорируем: ведь их тоже диктует заказчик. Для прогнозирования у нас есть встроенный сканер уязвимостей, который использует данные сразу из девяти авторитетных БДУ, включая базу ФСТЭК России. Есть инструменты расследования, например Task Management для командной работы над инцидентами – с интеграцией с ГосСОПКА и IRP. Функционал реагирования реализован через внешние приложения, которые SIEM запускает и инструктирует о том, как поступить с угрозой.
Наша ключевая позиция: задачи других продуктов лучше нас решат вендоры, которые на них специализируются. Их экспертизу мы привлекаем в качестве источников, поэтому делаем ставку на интеграции. Так, "СёрчИнформ SIEM" получает данные ото всех ключевых ИБ-систем: от антивирусов до XDR, IDS, NGFW, различных TI-инструментов и т.д. Иногда для такой интеграции необязательно даже писать отдельный коннектор, достаточно открытого API.
Таким образом, получаем сбалансированный вариант. У заказчиков "СёрчИнформ SIEM достаточно встроенных инструментов, чтобы решить дополнительные задачи (расследование, реагирование, прогнозирование) на базовом уровне. Возможностей интеграции хватит, чтобы усилить сразу весь контур защиты, когда по этим задачам SIEM будет обмениваться данными с профильными ИБ-системами.
Развитие систем SIEM неизбежно, они продолжат обрастать дополнительными функциями. Вопрос в том, каким образом это будет происходить. Реализуя нестандартные фичи, вендор рискует превратить SIEM в комбайн размытого назначения. В результате пострадает заказчик: если все силы вендора направлены в сторону, то может простаивать исправление багов, разработка новых коннекторов, совершенствование инструментов аналитики. А в итоге такая система не будет закрывать нормативы (если они предписывают компании иметь IRP, то регулятора не устроит, что задачу решает SIEM, как хорошо бы в ней ни работало реагирование). Поэтому выбирать SIEM по дополнительным возможностям порой излишне – нет смысла доплачивать за них, если есть инструменты, решающие задачу гораздо проще.
Мы делаем классическую SIEM, которая расширяет привычные возможности класса за счет поддержки внешней профессиональной экспертизы. Благодаря этому она с одной стороны эффективная, простая и "легкая", а с другой – функциональная и адаптивная к индивидуальным потребностям разных компаний, и к тому же открытая к росту. Попробуйте, как это работает: "СёрчИнформ SIEM" доступна для теста бесплатно в течение 30 дней.