SIEM: рекомендательный инструмент для результативной кибербезопасности
Иван Прохоров, 18/10/23
Cегодня компании сталкиваются с дефицитом экспертов по кибербезопасности. Согласно данным The International Information System Security Certification Consortium (ISC), во всем мире не хватает 3,4 млн таких специалистов. В России, по данным СберБанка, за два года потребность в экспертах по ИБ выросла в пять раз и теперь составляет 100 тыс. человек.
Автор: Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
Нехватку специалистов в области ИБ нельзя закрыть моментально, например за счет массовой рекламы вакансий или повышения уровня заработной платы. Системы ИБ требуют широких знаний и высокой квалификации экспертов, а зачастую и продолжительного обучения.
Например, при внедрении и использовании SIEM-систем экспертам необходимо подключить и покрыть правилами нормализации и обогащения нужные источники событий ИБ, создать и настроить правила детектирования угроз, постоянно отслеживать качество данных, поставляемых для анализа, реагировать на выявленные инциденты и расследовать их.
Эти операции требуют не только серьезной подготовки в области кибербезопасности в целом, но и глубокого понимания информационных систем и связывающих их информационных потоков. При этом специалистам зачастую сложно понять, какие шаги по реагированию на инцидент и его дальнейшему расследованию им нужно предпринять. Нередко решение всех перечисленных задач становится не под силу не только новичкам, но и экспертам.
Автоматизация экспертизы
В условиях дефицита кадров управление SIEM-системой должно быть понятно операторам, аналитикам и пользователям с минимальным опытом работы с продуктом. Чтобы минимизировать среднее время от начала нелегитимной активности в инфраструктуре до ее обнаружения SIEM и среднее время с момента обнаружения инцидента до момента его подтверждения и реагирования на него, поддерживать киберустойчивость компании и обеспечивать результативную кибербезопасность, системе надо делегировать большинство экспертных функций, в их числе помощь в определении объектов мониторинга, подготовка правил нормализации, тюнинг правил корреляции, работа по минимизации false positives, проверка вердиктов и автоматизация работ в пайплайне обработки событий в целом.
Топ требований к SIEM
- SIEM-система должна обеспечивать постоянный анализ защищаемого периметра, определять ИТ-системы и потоки информации между ними, выдавать рекомендации по их контролю и защите – содержать информацию о том, какие источники данных следует контролировать. Правильная SIEM обладает возможностью автоматизированно подключать новые источники событий по мере их появления в сети компании и при этом приоритизировать их постановку на контроль в зависимости от типа.
- Быстрый старт и обнаружение инцидентов ИБ должны быть возможны в любой инфраструктуре, как с известным набором ИС, так и с набором ИС, про которые вендору ничего неизвестно. Стартовое подключение новых источников не должно требовать от оператора знаний специализированных языков написания правил нормализации.
- Одна из проблем практически любой организации: теневое ИТ (shadow IT). Это устройства, компьютеры, серверы, сервисы или ПО, не соответствующие политикам безопасности, однако используемые сотрудниками. Современный продукт класса SIEM должен обеспечивать постоянный контроль таких теневых сегментов за счет автоматизации сбора данных из сети.
- Ландшафт угроз для различных информационных систем постоянно меняется, а число используемых атакующими техник и тактик перманентно растет. Поэтому система должна опираться на максимально широкую экспертную базу – вендора, комьюнити, специалистов по ИБ защищаемой компании и иметь широкий набор инструментов для консолидации этих знаний. Недавно мы анонсировали каталог расширений для своих продуктов. В нем уже доступны фреймворки и плагины для поддержки нестандартных источников и внешних систем, отдельные подключаемые модули для MaxPatrol SIEM [1], пакеты экспертизы с правилами обнаружения актуальных угроз.
- Дополнительная валидация зарегистрированных инцидентов с использованием сторонних систем – это могут быть внешние TI-системы или сторонние корреляционные движки. Предоставление second opinion должно стать обязательной практикой.
- SIEM должна выдавать рекомендации по реагированию на выявленные инциденты, а также расследованию и обработке инцидентов. Базой таких рекомендаций может быть внутренняя экспертиза или правила реагирования, сформированные комьюнити и добавленные в систему.
- Умная SIEM постоянно реагирует на изменение контролируемого ландшафта ИБ и повышает точность выявления инцидентов. Например, данные телеметрии, полученные с рабочих станций при интеграции с системами класса XDR, должны улучшать качество детектирования опасных событий ИБ в SIEM. Соответственно, простые интерфейсы интеграции со сторонними системами являются неотъемлемой частью будущих SIEM-систем.
SIEM из экспертного инструмента в руках высококвалифицированных специалистов становятся ядром построения результативной кибербезопасности. Для этого они должны научиться выдавать оператору рекомендации на каждом этапе эксплуатации, транслировать заложенную в них экспертизу. Правильная SIEM снизит порог входа для пользователей, а также интегральные показатели среднего времени от начала нелегитимной активности в инфраструктуре до ее обнаружения системой и среднего времени с момента обнаружения инцидента до момента его подтверждения и реагирования на него.