НовостиОбзорыСобытияIT@Work
Безопасность:

Блог

SIEM: кому, зачем и как?

Недавний опрос издания Information Security magazine показал, что его 78% участников (из разряда ИТ- и ИБ-специалистов средних и крупных по североамериканским нормам компаний) планируют в ближайших год обзавестись системами SIEM.

Системы управления информацией и событиями безопасности (SIEM) предназначены для нормализации ИБ-логов разрозненных информационных и ИБ-систем и отдельных устройств, с тем чтобы максимально быстро обнаруживать корреляции между ними и адекватно реагировать на выявленные  ИБ-события.

Инструментарий SIEM, выстроенный в систему, обязательно должен включать постоянную поддержку со стороны ИБ-персонала, суть которой  сводится к обновлению данных и настроек. Однако, это является проблемой  для большинства компаний, особенно с учетом использования облачных технологий и виртуализации. Даже крупным компаниям трудно без внешней поддержки со стороны специализированных ИБ-компаний поддерживать в актуальном состоянии, например, черные и белые списки IP и URL адресов.

Среди новых технологий, которые востребованы в SIEM, выделяют анализ больших данных, распознавание угроз (threat intelligence) и машинное обучение (machine learning). Именно их реализацию ищут заказчики, впервые внедряющие SIEM, и недовольные первыми внедрениями.

Основными драйверами, побуждающими компании приобретать инструменты SIEM, как показал опрос, являются потребность в анализе в реальном времени тревожных сообщений и безопасности данных (71%), более быстрое реагирование на угрозы и атаки (49%), соответствие требованиям регуляторов (48%) и повышение операционной эффективности компании (43%).
Из этих данных опроса можно сделать вывод, что первоначальный драйвер внедрения SIEM сместился с соответствия регулятивным требованиям на реальную защиту от современных угроз, среди которых прежде всего называются таргетированные атаки. Так, в июльском отчете  компании Gartner утверждается, что 92% компаний не в состоянии сегодня детектировать взломы на ранних стадиях, а именно таргетированные атаки отличаются высокой скрытностью.

Интересно, что 78% опрошенных предполагают развертывать системы SIEM внутри компаний, 33% планируют использовать услуги  провайдеров управляемых ИБ-услуг (MSSP) и 27% (!) будут полагаться на облачные Software as a Service. Именно вот этим 27% в системах SIEM важен функционал реального времени, чтобы мониторить виртуальные и облачные среды, хотя, как показал опрос, о потребности в таком функционале заявило несколько больше участников 36% - по-видимому, в расчете на рассматриваемые облачные перспективы.
Корчагин Игорь
Интерес компаний к внедрению SIEM-решений в своих информационных системах связан в первую очередь с практической необходимостью организовать и поддерживать действительно эффективную систему управления информационной безопасностью. Быстро разрастающийся парк различных средств доступа к корпоративным ресурсам, рост числа разнотипных средств защиты, высокий уровень территориальной распределенности элементов корпоративных ИС — все это приводит к постоянному росту потока поступающих событий информационной безопасности, требующих оперативного анализа и реагирования. Причем в условия беспрецедентного расширения номенклатуры услуг, предоставляемых через Интернет, такие информационные системы все чаще превращаются в объект пристального внимания злоумышленников.

Складывается странная ситуация: чем больше средств защиты внедряет организация, тем труднее ей своевременно и комплексно осмыслить поступающую от них информацию. Данных становится больше, а степень их использования фактически сокращается. Сегодня  становится просто невозможно без применения специальных технических средств самостоятельно провести анализ и категорирование по степени критичности огромного числа регистрируемых событий ИБ, а уж тем более — провести ретроспективный анализ или выявлять паттерны событий в режиме реального времени. А это создает идеальные условия для успешной реализации различного рода атак, в особенности APT-атак. Именно нацеленность на решение указанных проблем мотивирует компании все больше обращать внимание на современные SIEM-решения.

Однако и в этом сегменте, как это уже не раз бывало при решении других задач ИБ и ИТ, сами по себе технические средства могут создавать у организации ложное чувство защищенности, если не отлажены регламенты и процессы, связывающие новые технические средства с компетенциями специалистов. Учитывая новизну и высокую сложность постоянного просеивания потока событий и выявления ложных срабатываний и истинных случаев атак, становится ясно, что по-настоящему эффективные SIEM-решения потребуют участия специализированных аутсорсинговых компаний, которые создадут своего рода ситуационные центры для комплексного анализа событий ИБ или пойдут еще дальше, превратив работу  своих специалистов в таких центрах в коммерческую услугу.