Топ-3 типовых сложностей при внедрении SIEM (и рецепты)

Редакция журнала "Информационная безопасность" попросила вендоров SIEM назвать топ-3 типовых сложностей, возникающих при внедрении систем этого класса в корпоративной инфраструктуре, и рецепт, как их преодолеть.

Сергей Сухоруков, Positive Technologies:

Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.

Рецепты преодоления этих сложностей:

1. Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практиков, признанных на рынке услуг по расследованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях.
2. Выбирайте SIEM с широким покрытием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и корреляции. При этом оцените сроки и стоимость этой работы, чтобы понять целесообразность выбора эконом-решений.
3. Работайте с SIEM, которая предоставляется вместе с качественной документацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников.

Евгения Лагутина, Лаборатория Касперского:

1. Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка.
2. Высокие требования к квалификации внедряющих: нужно знать особенности работы не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция.
3. Высокие требования к квалификации аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления

Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.

Олег Акишев, NGR Softlab:

1. Неизвестность или неточность требований. Важно заранее уточнить возможности кастомизации и масштабирования SIEM под возможные изменения и форс-мажоры.
2. Сложность продукта для эксплуатации. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода.
3. Сложность интеграции. Если в компании уже есть устоявшаяся ИБ-инфраструктура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ-департамента, которые могут затормозить внедрение и даже помешать ему.

Павел Пугач, СёрчИнформ:

1. Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закрепляем за каждым клиентом персонального специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат.
2. Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "СёрчИнформ" сделали инструкции по настройке всех наиболее распространенных источников. А если нужно что-то редкое, то подготовим по запросу.

Алексей Дашков, R-Vision:

1. Сложность интеграции с разнообразными источниками данных. Чтобы преодолеть данную проблему, необходимо предварительно оценить источники данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками.
2. Сложность настройки правил и корреляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специалисты, которые проведут работы по анализу инфраструктуры и настройки SIEM под задачи конкретной организации.
3. Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Management, выстраивать иерархию сбора с использованием локальных коллекторов.

Вадим Порошин, Пангео Радар:

1. Согласования, бесконечные согласования: открытие портов, настройка источников и пр. Особенно это актуально, когда внедрение проходит в организации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования увеличивают время внедрения и пилотирования на несколько месяцев.
2. Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC.
3. Настройка и формирование контента под конкретного заказчика.

Константин Саматов, АРСИБ:

1. Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расширенную поддержку вендора, при заказе внедрения – заказывать у самого вендора либо у партнера, за которого вендор отвечает.
2. Системные требования меняются с момента проведения пилота до момента ввода в промышленную эксплуатацию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектировании закладывать резерв мощностей.
3. Недостаток возможностей для кастомизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – создание более гибкой архитектуры.

Лидия Виткова, Газинформсервис

Со стороны заказчика:

1. Сложность с обоснованием необходимости внедрения SIEM и бюджета на закупку.
2. Сложность с выбором между решениями, уменьшившееся количество вендоров за последние полтора года.
3. Поиск команды, которая будет работать с SIEM (операторов).

Со стороны поставщика:

• Сложность со сбором действительной информации об инфраструктуре.
• Сложность с разнородностью источников данных и зоопарком СЗИ, с которыми требуется интеграция.
• Возрастание потока алертов о событиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре.

Александр Скакунов, VolgaBlob:

1. Отсутствие процессов, связанных с реагированием на инциденты. Это вопросы методологической зрелости клиентов.
2. Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импортозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет практически на лету подключать новые источники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели.
3. Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта.

Даниил Вылегжанин, RuSIEM:

• Выделение вычислительных ресурсов для обработки и хранения больших объемов данных SIEM-системой.
• Интеграция с множеством различных источников данных, которая зачастую требует ручной настройки.
• Создание новых и настройка встроенных в SIEM-систему правил корреляции.

Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности

Участники:

• Олег Акишев, архитектор информационных систем NGR Softlab
• Лидия Виткова, ведущий инженер-аналитик отдела технологий анализа компании “Газинформсервис”
• Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
• Алексей Дашков, директор Центра продуктового менеджмента R-Vision
• Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
• Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского”
• Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар
• Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
• Павел Пугач, системный аналитик “СёрчИнформ”
• Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
• Александр Скакунов, основатель и генеральный директор компании VolgaBlob
• Сергей Сухоруков, лидер продуктовой практики MaxPatrol SIEM, Positive Technologies