Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:
Системы безопасности информации и управления событиями (SIEM) используются для обнаружения и реагирования на угрозы информационной безопасности в компьютерных сетях и системах.
SIEM позволяет собирать и анализировать информацию из различных источников, таких как логи сетевых устройств, приложений и операционных систем, а также информацию о пользовательской активности. Эти данные затем обрабатываются и сравниваются с заданными параметрами безопасности, чтобы обнаружить потенциальные угрозы и необычное поведение пользователей.
За последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение.
С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою деятельность в РФ. Эта ситуация создает для российских пользователей множество рисков, ведь у зарубежных поставщиков остается возможность удаленно отключать программный функционал. Другими словами, предоставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий.
Из-за активного использования VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдерских рисков. Кроме того, актуальными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из оборудования бесполезный кусок железа.
За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли в консоль различных защитных решений?
В этой ситуации SIEM-системы приобретают особую актуальность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста.
Специалистов, работающих с SIEM, надо разделять по функционалу: администрирующий персонал (поддержание работоспособности, управление пользователями и т.д.), операторов, работающих с событиями (подключение источников, написание правил корреляции, нормализации и т.д.) и SOC/CERT (расследование инцидентов, реагирование). И уже отталкиваясь от такого разделения, следует определять требования по количеству и подготовке персонала.
Инженер занимается поддержкой работоспособности SIEM, внесением изменений. Минимальное количество SIEM-инженеров – 2, для обеспечения отказоустойчивости. Аналитики разбирают срабатывания SIEM, их потребуется от 2 до 5, в зависимости от режима работы (8х5 или 24х7), а далее количество масштабируется в зависимости от потока алертов и инцидентов. Исследователь занимается разработкой новых и отладкой существующих методов детектирования. Для начала хватит одного исследователя.
Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:
Название решения |
Kaspersky Unified Monitoring and Analysis Platform (KUMA) |
MaxPatrol SIEM |
RuSIEM |
SearchInform SIEM |
Alertix |
---|---|---|---|---|---|
Компания-разработчик |
Лаборатория Касперского, Россия |
Positive Technologies, Россия |
ООО "РуСИЕМ" (RuSIEM), Россия |
"СёрчИнформ", Росия |
NGR Softlab, Россия |
Компания, предоставившая информацию |
Лаборатория Касперского |
Positive Technologies |
ООО "РуСИЕМ" |
"СёрчИнформ" |
NGR Softlab |
Год появления на российском рынке |
2019 |
2015 |
2014 |
2016 |
2019 |
Поддержка интерфейса на русском языке |
Да |
Да |
Да |
Да |
Да |
Поддержка интерфейса на других языках |
Английский |
Английский |
Английский |
Английский |
Нет |
Сертификаты, патенты и лицензии |
Реестр российского ПО; сертификат ФСТЭК по 4 УД, свидетельство о государственной регистрации программ для ЭВМ |
Реестр российского ПО; сертификаты соответствия ФСТЭК России, Республики Казахстан, Республики Беларусь |
Реестр российского ПО; |
Реестр российского ПО; сертификат ФСТЭК; лицензия ФСБ; лицензии ФСТЭК |
|
Позиционирование |
SIEM-система, центральный элемент единой платформы безопасности, взаимодействует с продуктами "Лаборатории Касперского" и др. поставщиков |
MaxPatrol SIEM дает полную видимость ИТ-инфраструктуры и выявляет инциденты информационной безопасности |
Решение для области мониторинга |
Простая в управлении "коробочная" SIEM со сканером уязвимостей, incident manage- ment и ГосСОПКА. Для компаний любой структуры и масштаба |
Платформа сбора, обработки и поиска по данным с набором инструментов, достаточным для выстраивания SOC |
Актуальная версия |
2.0 |
7.0 |
3.6.0 |
3.0 |
3.4 |
Актуальная сертифицированная версия |
1.5 |
6.2 |
RuSIEM |
3.0 |
|
Централизованный сбор и хранение событий |
|||||
Единый интерфейс для контроля и управления источниками событий |
Да |
Да |
Да |
Да |
Да |
Количество поддерживаемых источников из коробки |
Более 100 |
Более 300 |
Более 350 |
Более 30 |
76 |
Автообнаружение источников |
Да |
Да |
Да |
Да |
Да |
Возможность самостоятельной разработки парсеров для нестандартных источников |
Есть конструктор |
Есть конструктор, или интегратор / вендор сделают по запросу |
Есть конструктор, или вендор сделает по запросу |
Конструктор либо PowerShell |
Есть редактор |
Подключение другой SIEM в качестве источника |
Да |
Да |
Да |
Да |
Да |
Перенаправление потока событий в другую SIEM |
Да |
Да |
Да |
Да |
Да |
Поддерживаемые протоколы и форматы |
Syslog, Syslog-ng, SNMPv2, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, xFlow, sFlow, IPFIX, CEF, RPC (WMI), Windows Event Log, Windows File log, SNMP Traps, SSH File Log, Telnet File Log, Kafka, NATS, TCP, UDP |
Syslog (TCP/UDP), SNMP (Trap), Cisco NetFlow, DCE/RPC (WMI), CIFS/SMB (RPC), DCOM (RPC), SSH, Telnet, OPSEC LEA, VMware API, ODBC API, CEF, REST API, Custom Event Collector |
Syslog, Syslog-ng, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, SSH, SCP, OPsec, CEF, MEF, RPC, Windows Event Log, Windows File log, Checkpoint LEA, SSH File Log, Telnet File Log |
Syslog, Syslog-ng, SNMPv2, SQL, ODBC, xFlow, CEF, Windows Event Log, Checkpoint LEA, SNMP Traps и др. |
Syslog, HTTP(S), JDBC, netFlow, CEF, LEEF, WEF, Windows Event Log, File log, SNMP Traps, ODATA, SOAP, Beats |
Метод сбора событий с источников |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Хранение сырых событий |
Да |
Да |
Да |
Нет |
Да |
Возможность указания срока хранения событий |
Да |
Да |
Да |
Да |
Да |
Коэффициент сжатия при хранении сырых событий |
До 40% |
1:7 (LogSpace), 1:3 (Elasticsearch) |
20–30% |
Динамический |
50–70% |
Нормализация и обогащение событий |
|||||
Единый интерфейс для контроля и управления нормализацией |
Да |
Да |
Да |
Да |
Да |
Автоматическая нормализация |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
Поддерживаемые форматы нормализации |
CEF / RFC 5424 / RFC 3164 / EVTX / JSON / CSV / Key-Value / XML / *flow / SQL / Regexp |
TEXT / TABULAR / JSON / XML |
CEF / RFC 5424 / RFC 3164 / EVTX |
CEF / RFC 5424 / RFC 3164 |
Своя схема данных / CEF / RFC 5424 / RFC 3164 / EVTX |
Использование регулярных выражений для нормализации |
Да |
Да |
В разработке |
Да |
Да |
Приведение событий к единой временной зоне |
Да |
Да |
Да |
Нет |
Да |
Коэффициент сжатия при хранении нормализованных событий |
До 40% |
1:10 (LogSpace), 1:3 (Elasticsearch) |
20–30% |
Динамический |
50–70% |
Корреляция и применение правил |
|||||
Единый интерфейс для анализа событий |
Да |
Да |
Да |
Да |
Да |
Потоковая корреляция в реальном времени |
Да |
Да |
Да |
Да |
Да |
Количество предустановленных правил корреляции |
Более 200 |
Более 500 |
Более 400 |
Более 350 |
Более 150 |
Возможность добавления новых правил корреляции |
Визуальный режим |
Визуальный режим и скриптовый язык |
Визуальный режим и скриптовый язык |
Визуальный режим |
Скриптовый язык |
Автоматическая приоритизация инцидентов |
Да |
Да |
Да |
Да |
Да |
Управление активами |
|||||
Единый интерфейс для управления активами |
Да |
Да |
Да |
Нет |
Да |
Автоматическое добавление активов |
Да |
Да |
Да |
Да |
Да |
Ручное создание активов |
Да |
Да |
Да |
Нет |
Да |
Просмотр истории изменений актива |
Да |
Да |
В разработке |
Нет |
Нет |
Автоматическое построение топологии сети |
Нет |
Да |
В разработке |
Нет |
Нет |
Привязка поступивших в систему событий к активам |
Да |
Да |
В разработке |
Да |
Да |
Оповещения и расследования |
|||||
Автоматическое оповещение об инциденте |
SMTP, API, E-mail, скрипты |
SMTP, webhook, API |
SMTP, API, E-mail, скрипты |
E-mail, Telegram |
SMTP, API, file, webhook, Telegram |
Инструменты для проведения расследований |
Да |
Да |
Да |
Да |
Да |
Анализ действий пользователей |
Да |
Да |
Да |
Да |
Да |
Отчеты, поиск и аналитика |
|||||
Предустановленные отчеты |
Да |
Да |
Да |
Да |
Да |
Встроенный конструктор отчетов |
Да |
Да |
Да |
Да |
Да |
Рассылка отчетов по расписанию |
Да |
Да |
Да |
Нет |
Да |
Оперативный поиск событий |
Да |
Да |
Да |
Да |
Да |
Группировка событий |
Да |
Да |
Да |
Да |
Да |
Интеграции |
|||||
Коробочная интеграция с ИБ-системами |
IRP, SOAR, TIP |
IRP, SOAR |
IRP |
IRP, DLP, DCAP |
IRP, SOAR, TIP, SD |
Интеграция с MITRE ATT&CK |
Да |
Да |
В разработке |
Нет |
Да |
Интеграция с ГосСОПКА |
Да |
Да |
Да |
Да |
Да |
Архитектура и сопровождение |
|||||
Поддерживаемые ОС |
Astra Linux Special Edition, Oracle Linux |
Windows Server 2012, 2012 R2, 2016, 2019, Debian 10, Astra Linux Special Edition 1.7 |
Ubuntu Server 18.04 amd64, Astra Linux |
Для работы – Windows Server 2012 или новее, сбор данных – Windows Server 2008 R2 SP3 или новее, Linux после 2011 г. |
Ubuntu Linux |
Поддерживаемые СУБД |
ClickHouse |
Elasticsearch, LogSpace, Postgres |
|
Для хранения событий MongoDB, вспомогательная рабочая – MS SQL (Express-версия) или PostgreSQL |
PostgreSQL, Elasticsearch |
Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД) |
Нет |
Нет |
Нет |
Нет |
Нет |
Ролевая модель разграничения доступа |
Да |
Да |
Да |
Да |
Да |
Минимальное количество серверов для установки |
1 |
1 |
1 |
1 |
1 |
Возможности по резервированию |
Active-Active |
Active-Passive |
Active-Passive / Active-Active |
Active-Passive / Active-Active |
Active-Active |
Журналирование изменений объектов в системе |
От пользователей и от системы |
От пользователей и от системы |
От пользователей и от системы |
От системы |
От пользователей и от системы |
Дополнительные модули системы |
Модули поддержки *flow, интеграции данных о киберугрозах, интеграции с ГосСОПКА |
M-Scan (многопоточный антивирус), NAD (глубокий анализ сетевого трафика) |
Аналитика, индикаторы компрометации, мониторинг |
|
UEBA, IOC watcher (поточная и ретро проверка по IOC, прием TI feed), MSAD sync (импорт и синхронизация инвентаризационной информации), Census (автоинвентаризация по потоку) |
SLA техподдержки |
24х7 |
8x5 / 24х7 |
8x5 / 24х7 |
8x5 / по условиям договора |
8x5 |
Формат техподдержки |
Телефон, E-mail, веб-портал |
Телефон, E-mail, онлайн |
Телефон, E-mail, онлайн |
По условиям договора |
Телефон, E-mail, онлайн |
Приобретение |
|||||
Модель тарификации |
Срочные лицензии от 1 года |
Срочная или бессрочная лицензия |
Приобретение или подписная модель |
Приобретение или подписная модель |
Приобретение или подписная модель для MSS-провайдеров |
Факторы влияющие на стоимость |
Объем обрабатываемых событий в секунду (EPS), дополнительные модули |
Количество активов, объем обрабатываемых событий в секунду (EPS), дополнительные модули |
Фиксированная стоимость |
Количество контролируемых узлов |
|
Пробный период или пилот |
Обсуждается индивидуально |
Пилотный проект до 3 месяцев |
Пилотный проект до 2 месяцев |
Пробный период 1 месяц |
Пилотный проект до 3 месяцев |
Сайт с подробностями решения |
РУСИЕМ
Тел.: +7 (495) 748-8311
E-mail: info@rusiem.com
www.rusiem.com
СЁРЧИНФОРМ
121069, Москва, Скатертный пер., 8/1, стр. 1, этаж 2
Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка)
E-mail: info@searchinform.ru
www.searchinform.ru
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/
USERGATE
630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru
NGR SOFTLAB
121087, Москва, ул. Барклая, 6, стр. 5, БЦ "Барклай Плаза", 3 этаж, офис 306
Тел.: +7 (495) 269-29-59
E-mail: info@ngrsoftlab.ru
www.ngrsoftlab.ru
ГАЗИНФОРМСЕРВИС
198096, Санкт-Петербург, ул. Кронштадтская, 10, литера А
Тел.: +7 (812) 677-2050
E-mail: resp@gaz-is.ru
www.gaz-is.ru
ИННОВАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ
198097, Санкт-Петербург, а/я 97
Тел.: +7 (812) 335-0145
E-mail: manager@itb.spb.ru
www.itb.spb.ru
ПАНГЕО РАДАР
Тел.: +7 (495) 252-0304
E-mail: info@pangeoradar.ru
www.pangeoradar.ru
R-VISION
109544, Москва, бульвар Энтузиастов, 2
Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro
www.rvision.pro
Максим Степченков, совладелец компании RuSIEM, отмечает, что ситуацию на рынке сегодня можно оценнить как вакханалию. "Я, конечно, пытаюсь отшутиться, но в каком-то смысле так и есть. Люди почувствовали, что есть огромные свободные ниши, и побежали их занимать: создадим еще множество новых межсетевых экранов, SIEM и других продуктов, и у нас всё купят."
"К счастью, заказчик не настолько линеен, он все-таки проводит тестирование, проверку, пилотирование. Но тем не менее можно говорить о подрыве рынка. Заказчики начинают тестировать одно, другое, третье решение, и у них складывается ощущение, что все российские разработки безнадежно отстали от аналогичных иностранных решений."
Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.
Рецепты преодоления этих сложностей:
Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.
Со стороны заказчика:
Со стороны поставщика:
Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности
Значительное число зарубежных организаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возможностей сбора данных, – процессы взаимодействия систем для передачи информации в этом случае отличаются относительно локальной инфраструктуры.
В связи с трендом на "облачность" источников в облака постепенно "переезжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы существуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасности, которая всегда должна быть внутри периметра.
В облачных инфраструктурах, вследствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a-Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайдеров, которые предоставляют SIEM как преднастроенное ПО вместе с облачными вычислительными ресурсами, стало расти.
Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор требуемых возможностей.
Например, ранее SOAR-системы существовали отдельно, продавались и оценивались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компоненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автоматизации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подготовки по систематизации и формализации процессов. Таким образом, с расширением функционала SIEM-системы расширяются и требования к команде SOC.
Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реагирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаимодействия в работу продукта уже на уровне архитектуры. SIEM-системы проходят путь от продвинутого лог-менеджмента к средству для реагирования на киберинциденты. Концепция XDR предполагает объединение нескольких классов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество разных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный специалист, который хорошо разбирается во всех составных частях этого "комбайна". Получается, что продукт необходимо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к предустановленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд.
Машинное обучение по-прежнему остается актуальным и модным, поскольку эти технологии действительно перспективны, однако все упирается в специфичность и узость сферы. SIEM-системы выполняют специфические задачи, технологии машинного обучения применимы только к части из них. На данный момент у некоторых вендоров SIEM-систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользователей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппаратную платформу, при этом решая достаточно узкую в контексте бизнеса задачу – помогая ИБ-специалистам автоматизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользователей. Поэтому на данный момент технологии машинного обучения встраивает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего.
Российские вендоры находятся в выигрышной позиции, поскольку могут проанализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Касперского" учитываем колоссальный наработанный опыт, добавляя в процесс разработки нашей SIEM-системы те функции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса.
Важная особенность российского рынка заключается в том, что он отличается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подкованы технически. Поэтому отечественные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически.
Нехватку специалистов в области ИБ нельзя закрыть моментально, например за счет массовой рекламы вакансий или повышения уровня заработной платы. Системы ИБ требуют широких знаний и высокой квалификации экспертов, а зачастую и продолжительного обучения.
Например, при внедрении и использовании SIEM-систем экспертам необходимо подключить и покрыть правилами нормализации и обогащения нужные источники событий ИБ, создать и настроить правила детектирования угроз, постоянно отслеживать качество данных, поставляемых для анализа, реагировать на выявленные инциденты и расследовать их.
Эти операции требуют не только серьезной подготовки в области кибербезопасности в целом, но и глубокого понимания информационных систем и связывающих их информационных потоков. При этом специалистам зачастую сложно понять, какие шаги по реагированию на инцидент и его дальнейшему расследованию им нужно предпринять. Нередко решение всех перечисленных задач становится не под силу не только новичкам, но и экспертам.
В условиях дефицита кадров управление SIEM-системой должно быть понятно операторам, аналитикам и пользователям с минимальным опытом работы с продуктом. Чтобы минимизировать среднее время от начала нелегитимной активности в инфраструктуре до ее обнаружения SIEM и среднее время с момента обнаружения инцидента до момента его подтверждения и реагирования на него, поддерживать киберустойчивость компании и обеспечивать результативную кибербезопасность, системе надо делегировать большинство экспертных функций, в их числе помощь в определении объектов мониторинга, подготовка правил нормализации, тюнинг правил корреляции, работа по минимизации false positives, проверка вердиктов и автоматизация работ в пайплайне обработки событий в целом.
Подробнее: https://www.itsec.ru/articles/siem-rekomendatelnyj-instrument-dlya-rezultativnoj-kiberbezopasnosti
Copyright © 2024, ООО "ГРОТЕК"