Топ-3 типовых сложностей при внедрении SIEM (и рецепты)
Редакция журнала "Информационная безопасность", 20/11/23
Редакция журнала "Информационная безопасность" попросила вендоров SIEM назвать топ-3 типовых сложностей, возникающих при внедрении систем этого класса в корпоративной инфраструктуре, и рецепт, как их преодолеть.
[img]https://www.itsec.ru/hs-fs/hubfs/ris40.png?width=981&height=660&name=ris40.png[/img]
Сергей Сухоруков, Positive Technologies:
Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.
Рецепты преодоления этих сложностей:
Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практиков, признанных на рынке услуг по расследованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях.
Выбирайте SIEM с широким покрытием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и корреляции. При этом оцените сроки и стоимость этой работы, чтобы понять целесообразность выбора эконом-решений.
Работайте с SIEM, которая предоставляется вместе с качественной документацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников.
Евгения Лагутина, Лаборатория Касперского:
Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка.
Высокие требования к квалификации внедряющих: нужно знать особенности работы не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция.
Высокие требования к квалификации аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления
Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.
Олег Акишев, NGR Softlab:
Неизвестность или неточность требований. Важно заранее уточнить возможности кастомизации и масштабирования SIEM под возможные изменения и форс-мажоры.
Сложность продукта для эксплуатации. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода.
Сложность интеграции. Если в компании уже есть устоявшаяся ИБ-инфраструктура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ-департамента, которые могут затормозить внедрение и даже помешать ему.
Павел Пугач, СёрчИнформ:
Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закрепляем за каждым клиентом персонального специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат.
Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "СёрчИнформ" сделали инструкции по настройке всех наиболее распространенных источников. А если нужно что-то редкое, то подготовим по запросу.
Алексей Дашков, R-Vision:
Сложность интеграции с разнообразными источниками данных. Чтобы преодолеть данную проблему, необходимо предварительно оценить источники данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками.
Сложность настройки правил и корреляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специалисты, которые проведут работы по анализу инфраструктуры и настройки SIEM под задачи конкретной организации.
Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Management, выстраивать иерархию сбора с использованием локальных коллекторов.
Вадим Порошин, Пангео Радар:
Согласования, бесконечные согласования: открытие портов, настройка источников и пр. Особенно это актуально, когда внедрение проходит в организации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования увеличивают время внедрения и пилотирования на несколько месяцев.
Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC.
Настройка и формирование контента под конкретного заказчика.
Константин Саматов, АРСИБ:
Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расширенную поддержку вендора, при заказе внедрения – заказывать у самого вендора либо у партнера, за которого вендор отвечает.
Системные требования меняются с момента проведения пилота до момента ввода в промышленную эксплуатацию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектировании закладывать резерв мощностей.
Недостаток возможностей для кастомизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – создание более гибкой архитектуры.
Лидия Виткова, Газинформсервис
Со стороны заказчика:
Сложность с обоснованием необходимости внедрения SIEM и бюджета на закупку.
Сложность с выбором между решениями, уменьшившееся количество вендоров за последние полтора года.
Поиск команды, которая будет работать с SIEM (операторов).
Со стороны поставщика:
Сложность со сбором действительной информации об инфраструктуре.
Сложность с разнородностью источников данных и зоопарком СЗИ, с которыми требуется интеграция.
Возрастание потока алертов о событиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре.
Александр Скакунов, VolgaBlob:
Отсутствие процессов, связанных с реагированием на инциденты. Это вопросы методологической зрелости клиентов.
Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импортозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет практически на лету подключать новые источники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели.
Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта.
Даниил Вылегжанин, RuSIEM:
Выделение вычислительных ресурсов для обработки и хранения больших объемов данных SIEM-системой.
Интеграция с множеством различных источников данных, которая зачастую требует ручной настройки.
Создание новых и настройка встроенных в SIEM-систему правил корреляции.
Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности
Участники:
Олег Акишев, архитектор информационных систем NGR Softlab
Лидия Виткова, ведущии? инженер-аналитик отдела технологии? анализа компании “Газинформсервис”
Даниил Вылегжанин, руководитель отдела предпродажнои? подготовки RuSIEM
Алексеи? Дашков, директор Центра продуктового менеджмента R-Vision
Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
Илья Маркелов, руководитель направления развития единои? корпоративнои? платформы, “Лаборатория Касперского”
Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар
Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
Павел Пугач, системныи? аналитик “Се?рчИнформ”
Константин Саматов, член Правления Ассоциации руководителеи? служб информационнои? безопасности
Александр Скакунов, основатель и генеральныи? директор компании VolgaBlob
Сергеи? Сухоруков, лидер продуктовои? практики MaxPatrol SIEM, Positive Technologies
www.itsec.ru