Топ-3 типовых сложностей при внедрении SIEM (и рецепты)
Редакция журнала "Информационная безопасность", 20/11/23
Редакция журнала "Информационная безопасность" попросила вендоров SIEM назвать топ-3 типовых сложностей, возникающих при внедрении систем этого класса в корпоративной инфраструктуре, и рецепт, как их преодолеть.
Сергей Сухоруков, Positive Technologies:
Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.
Рецепты преодоления этих сложностей:
- Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практиков, признанных на рынке услуг по расследованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях.
- Выбирайте SIEM с широким покрытием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и корреляции. При этом оцените сроки и стоимость этой работы, чтобы понять целесообразность выбора эконом-решений.
- Работайте с SIEM, которая предоставляется вместе с качественной документацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников.
Евгения Лагутина, Лаборатория Касперского:
- Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка.
- Высокие требования к квалификации внедряющих: нужно знать особенности работы не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция.
- Высокие требования к квалификации аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления
Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.
Олег Акишев, NGR Softlab:
- Неизвестность или неточность требований. Важно заранее уточнить возможности кастомизации и масштабирования SIEM под возможные изменения и форс-мажоры.
- Сложность продукта для эксплуатации. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода.
- Сложность интеграции. Если в компании уже есть устоявшаяся ИБ-инфраструктура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ-департамента, которые могут затормозить внедрение и даже помешать ему.
Павел Пугач, СёрчИнформ:
- Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закрепляем за каждым клиентом персонального специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат.
- Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "СёрчИнформ" сделали инструкции по настройке всех наиболее распространенных источников. А если нужно что-то редкое, то подготовим по запросу.
Алексей Дашков, R-Vision:
- Сложность интеграции с разнообразными источниками данных. Чтобы преодолеть данную проблему, необходимо предварительно оценить источники данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками.
- Сложность настройки правил и корреляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специалисты, которые проведут работы по анализу инфраструктуры и настройки SIEM под задачи конкретной организации.
- Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Management, выстраивать иерархию сбора с использованием локальных коллекторов.
Вадим Порошин, Пангео Радар:
- Согласования, бесконечные согласования: открытие портов, настройка источников и пр. Особенно это актуально, когда внедрение проходит в организации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования увеличивают время внедрения и пилотирования на несколько месяцев.
- Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC.
- Настройка и формирование контента под конкретного заказчика.
Константин Саматов, АРСИБ:
- Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расширенную поддержку вендора, при заказе внедрения – заказывать у самого вендора либо у партнера, за которого вендор отвечает.
- Системные требования меняются с момента проведения пилота до момента ввода в промышленную эксплуатацию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектировании закладывать резерв мощностей.
- Недостаток возможностей для кастомизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – создание более гибкой архитектуры.
Лидия Виткова, Газинформсервис
Со стороны заказчика:
- Сложность с обоснованием необходимости внедрения SIEM и бюджета на закупку.
- Сложность с выбором между решениями, уменьшившееся количество вендоров за последние полтора года.
- Поиск команды, которая будет работать с SIEM (операторов).
Со стороны поставщика:
- Сложность со сбором действительной информации об инфраструктуре.
- Сложность с разнородностью источников данных и зоопарком СЗИ, с которыми требуется интеграция.
- Возрастание потока алертов о событиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре.
Александр Скакунов, VolgaBlob:
- Отсутствие процессов, связанных с реагированием на инциденты. Это вопросы методологической зрелости клиентов.
- Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импортозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет практически на лету подключать новые источники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели.
- Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта.
Даниил Вылегжанин, RuSIEM:
- Выделение вычислительных ресурсов для обработки и хранения больших объемов данных SIEM-системой.
- Интеграция с множеством различных источников данных, которая зачастую требует ручной настройки.
- Создание новых и настройка встроенных в SIEM-систему правил корреляции.
Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности
Участники:
- Олег Акишев, архитектор информационных систем NGR Softlab
- Лидия Виткова, ведущий инженер-аналитик отдела технологий анализа компании “Газинформсервис”
- Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
- Алексей Дашков, директор Центра продуктового менеджмента R-Vision
- Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
- Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского”
- Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар
- Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
- Павел Пугач, системный аналитик “СёрчИнформ”
- Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
- Александр Скакунов, основатель и генеральный директор компании VolgaBlob
- Сергей Сухоруков, лидер продуктовой практики MaxPatrol SIEM, Positive Technologies