С каждым годом количество ИБ-инцидентов возрастает и доходит до десятков, а то и сотен тысяч в день. Обработать такое количество или выявить инциденты ИБ-специалистам вручную практически невозможно. Кроме того, существуют ситуации, когда с первого взгляда безобидные события в совокупности несут в себе большую угрозу для компании. Поэтому все больше компании осознают необходимость защиты своей ИТ-инфраструктуры с помощью передовых средств. Возникает закономерный вопрос: как минимизировать успех кибератак благодаря современным технологиям? Ответ прост – автоматизировать процесс разбора инцидентов с помощью специализированного решения SIEM.

SIEM-система – это решение для предотвращения атак?

Сама по себе SIEM-система не может противостоять направленным атакам на организацию, она предполагает сбор и анализ информации. Для того, чтобы осознать ценность таких решений нужно разобраться в понятии «SIEM-система» и зачем она нужна компании, если не может защитить от атак.

SIEM (Security information and event management) – это специализированная аналитическая система, предназначенная для управления событиями информационной безопасности в организации. Она собирает файлы с записями об ИБ-событиях, которые поступают из различных ресурсов, таких как DLP, IDS, антивирусов, маршрутизаторов и других. Отклонения от нормы образуют инциденты. В дальнейшем система готовит отчеты и генерирует список уже известных событий для определения потенциальных опасностей при повторной атаке. Также решение может провести аудит на соответствие стандартам.

Одним из преимуществ SIEM-системы является доказательная база, которую она собирает. Информация поможет во внутренних расследованиях при утечке данных по вине сотрудника, а также в судебных разбирательствах.

Поэтому решение для предотвращения атак – это не совсем правильное определение SIEM-системы. Её функциональные возможности призваны существенно облегчить работу центрам мониторинга и реагирования на инциденты и аналитикам. Благодаря этому продукту большинство атак будут известны компании на первом этапе и ИБ-отдел сможет вовремя отреагировать на них.

Для кого подойдет SIEM-система и что дает бизнесу?

Самый крупный потребитель SIEM-систем – банковский сектор. В таких организациях непрерывный поток персональных конфиденциальных данных является нормой. Важно иметь возможность отследить инцидент, при его возникновении, и точно знать была ли это атака злоумышленника либо ошибка сотрудника. Кроме того, банки регулярно проводят аудиты соответствия, в чем SIEM-система является неотъемлемым помощником.

Вторая категория потребителей — крупные компании, в инфраструктуре которых каждый день генерируется огромное количество событий различного свойства. В таких организациях руководители отделов ИТ и ИБ чаще всего хотят «держать руку на пульсе» для оперативного реагирования и предотвращения инцидентов в дальнейшем.

К последней категории можно отнести все организации, которые столкнулись с проблемой несвоевременного обнаружения инцидентов ИБ и последствиями от них для всей ИТ-инфраструктуры.

Что дает SIEM-система компании:

• Снижение риска нежелательного проникновения злоумышленниками в ИТ-инфраструктуру компании
• Своевременное оповещение о возникновении угроз для бизнес-процессов
• Помощь в расследовании технических инцидентов ИБ и сборе доказательной базы для суда
• Уменьшение времени реакции на инциденты благодаря готовым сценариям реагирования и использования средств автоматизации

Внедрение SIEM-систем. Что нужно знать на этом этапе?

Проекты по внедрению SIEM-систем отличаются своей сложностью и высокими техническими требованиями, поэтому нередко компании сталкиваются с неудачами при попытках самостоятельного ввода решения в эксплуатацию.

Компания Softline в своей копилке имеет уже не один успешный кейс по внедрению SIEM-систем и мы, как эксперты в данном направлении, можем смело выделить топ 5 типичных ошибок, с которыми компании могут столкнуться при реализации таких проектов.

Ошибка № 1: Нехватка планирования перед реализацией проекта

Планирование – это важная составляющая любого проекта. Вероятность успеха с правильным предварительным планированием намного выше. Кроме того, если осознанно подойти к данному процессу, компания может сэкономить свои ресурсы, как временные, так и финансовые.

На этапе планирования организация как бы «доказывает» целесообразность внедрения SIEM-системы для мониторинга событий ИБ и определяет задачи, которые должно закрыть решение.

Клиент может сформировать требования к будущему продукту и таким образом сократить список подходящих систем из множества, уже имеющихся на рынке.

Обычно, на данном этапе уже формируется проектная команда, которая выполняет все эти действия для наиболее вероятного успеха внедрения SIEM-системы.

Ошибка № 2: Неправильная оценка масштаба, сложности и специфики бизнеса

Масштаб и сложность проекта по внедрению влияет на выбор решения. Без предварительной оценки этих составляющих заказчик может столкнуться с рядом проблем, которые возникнут на следующих этапах проекта: при дальнейшем планировании, развертывании системы и ее масштабировании.

Кроме того, при выборе SIEM-системы необходимо опираться на специфику вашего бизнеса. Ранее в статье мы уже очертили целевую аудиторию решения. Перед тем, как ставить задачу внедрения задайте себе вопрос: действительно ли SIEM-система закроет вопросы безопасности моей компании. Если ваш ответ отрицательный, то следует еще раз обозначить проблемы, с которыми столкнулась ваша компания. Возможно, под ваши цели на данном этапе подойдет совершенно другое решение.

Давайте рассмотрим пример из опыта Softline, который ярко продемонстрирует две ошибки при внедрении SIEM-систем на практике:

Заказчик осознал необходимость приобретения SIEM-системы для решения своих потребностей. Однако просто выбрать конкретный продукт, который бы максимально отвечал требованиям компании, было невозможно из-за специфики ведения бизнеса. Поэтому был проведен общий конкурс без четкой формулировки технического задания, под которое попадали все доступные на рынке сертифицированные решения. Кроме того, масштаб и сложность проекта не учитывалась.

Итог: на торгах победил поставщик, предложивший простую конфигурацию решения, которое не соответствовало большинству фактических потребностей клиента, но проходило по общему техническому заданию. В ходе внедрения и последующей эксплуатации SIEM-системы у клиента возник ряд серьезных проблем.

Ошибка № 3: Недостаток ресурсов у компании

Успех SIEM-проекта зависит не только от квалифицированных специалистов со стороны поставщика, но также от компании-заказчика. Сама по себе SIEM-система работать не будет. Персонал вашей организации должен быть достаточно компетентен для постоянного взаимодействия с SIEM. В обязанности таких специалистов будет входить широкий спектр задач: разбор инцидентов, настройка правил и адаптация системы. Если же квалификации для работы с SIEM-системой не хватает, то компания может повысить навыки сотрудников благодаря обучению от вендоров.

Ошибка № 4: Некорректная трактовка технического задания

Когда в компании достаточно экспертов, которые понимают необходимость внедрения SIEM-системы, они могут сформулировать требования к продукту. В таких случаях специалисты составляют достаточно точное техническое задание со своей стороны. Но что же может пойти не так?

Давайте рассмотрим на примере, как техническое задание может стать камнем преткновения в реализации SIEM-проекта:

Крупный заказчик четко понимал задачи и требования к SIEM-системе, которые закроют его потребности. В данном случае ошибка №3 сразу была закрыта, потому что в штате компании уже были сотрудники, которые достаточно квалифицированы для работы с системой. Однако именно из-за этого появилась ошибка №4.

Клиент провел сравнительное тестирование нескольких решений и определил перечень подходящих производителей, что является хорошим шагом. На начальном этапе сразу были вычеркнуты продукты, которые не смогут закрыть в полной мере поставленные задачи. Однако, из-за наличия в списке выбора нескольких разных производителей, заказчик не смог всеобъемлюще и с однозначным трактованием задач описать техническое задание на внедрение.

Что в итоге? Определив победителя на конкурсе, в процессе внедрения появилось много вопросов с обеих сторон. Например, возникала ситуация, когда заказчик трактовал требования технического задания касательно реализации различных функциональных возможностей продукта по одному, а поставщик совершенно по-другому.

Не всегда наличие квалифицированного персонала и технического задания гарантирует успешное внедрение SIEM-системы.

Ошибка № 5: Желание закрыть все проблемы одним решением

Одной из причин неудачных проектов является попытка заказчика иметь в одном продукте решение всех проблем, которые есть в компании. Зачастую при проведении аудита выясняется, что компании нужен целый комплекс решений для закрытия потребностей.

При работе над SIEM-проектом необходимо тщательно разобраться в функциональных возможностях решения и не пытаться прописать в техническом задании требования, которые могут относиться к другому типу продуктов. Как уже и говорили ранее, SIEM-система обладает функциями для сбора и анализа информации.

Подведем итоги

Покупка и внедрение SIEM-системы – это непростой процесс. Сложности могут возникнуть на любом этапе: от выбора решения до его внедрения и последующей эксплуатации. В случае, если заказчик подходит к вопросу недостаточно серьезно, результат проекта может даже нанести вред самой компании. В ИТ-инфраструктуре может появится дополнительное сложное решение, которое не повысит кибербезопасность, а только добавит лишней работы персоналу компании без получения какого-либо эффекта.

Чтобы избежать типичных ошибок мы рекомендуем обратиться к компании-интегратору, специалисты которой имеют достаточный опыт для внедрения SIEM. Рассмотри пример успешной реализации проекта:

Клиент подошел сознательно к выбору SIEM-системы: специалисты компании тщательно и всесторонне протестировали различные решения в ходе проведенных пилотных проектов. В итоге организация определила конкретного производителя, который устроил их по всем параметрам и полностью решал поставленные задачи.

Вместе с поставщиком заказчик детально проработал перечень требований к системе, а также тщательно описал техническое задание по процессу внедрения. Проект был полностью отдан на аутсорс интегратору.

Что получил клиент? Компания провела закупку подходящего под свои задачи продукта, поставщик разработал полный комплект необходимой документации, регулирующей внедрение и использование продукта.

Необходимо отметить, что на каждом этапе необходимо совместно с опытными специалистами интегратора обсуждать задачи, ставить цели, определять необходимые критерии и четко формулировать требования к продукту.

Внедрение силами интегратора нужно практически всегда закладывать в бюджет приобретения SIEM-системы. Желание сэкономить на услугах разработки требований, правил, политик работы с системой и ее грамотное внедрение может обернуться негативным опытом приобретения продукта.

Softline в своем штате имеет сертифицированных инженеров, которые занимаются внедрением и сопровождением SIEM-решений от ведущих вендоров. Мы готовы предложить квалифицированную помощь в реализации проектов по внедрению SIEM любой сложности.

Остались вопросы?
Обращайтесь к менеджеру по продажам решений информационной безопасности Сергею Кондикову по телефону: +375 (29) 603-18-23 или на email: Sergey.Kondikov@softline.com