Проблемы рынка SIEM-систем в России
Для многих компаний, от среднего бизнеса до корпораций, актуальна необходимость мониторинга большого количества информационных систем. Без автоматизированного средства это сделать просто невозможно, а потому растет спрос на SIEM-системы. В статье мы разберем, что такое SIEM и с какими трудностями можно столкнуться при интеграции системы и работе с ней.
Что такое SIEM
SIEM, или Security information and event management, — это система, которая позволяет собирать и анализировать информацию о событиях безопасности. Являясь ключевым элементом SOC, SIEM-системы играют важную роль в ИБ-компании.
SIEM-система предоставляет возможность оценить защищенность информационных систем и риски организации. Полученная от систем информация применяется при расследовании инцидентов и при формировании отчетности.
С функциональной точки зрения SIEM-система:
-
обеспечивает сбор данных из различных источников и их нормализацию;
-
производит корреляцию данных;
-
проверяет перечни коррелированных событий для выявления ИБ-инцидентов и оповещения по ним;
-
визуализирует события и инциденты. Данные представляются в формате удобных дашбордов;
-
хранит данные в течение определенного периода;
-
осуществляет контекстный поиск в рамках расследований инцидентов и экспертиз;
-
создает отчеты, которые информируют службу ИБ о текущем положении дел.
Проблемы SIEM-систем
Сложность интеграции
Внедрять SIEM-систему могут компании, у которых уже есть развернутая сеть защитных механизмов, чтобы продуктивно вписать в нее SIEM.
Сложность кастомизации решения
Для обеспечения высокого уровня эффективности системы нужно сформировать большое количество правил и корреляций. При этом, как бы глубоко ни были погружены в проект эксперты со стороны вендора, полностью особенности инфраструктуры организации могут знать только специалисты, находящиеся в штате.
Ложноположительные срабатывания
При большом количестве ложноположительных событий велика вероятность, что сотрудники будут затрачивать необоснованно много времени на их анализ и уделять меньше внимания общей безопасности инфраструктуры.
Недостаток квалифицированных кадров
На рынке наблюдается дефицит среди специалистов, которые могли бы эффективно взаимодействовать с SIEM.
Высокая стоимость
Внедрение SIEM-системы — это достаточно дорогое мероприятие.
Ошибки при реализации проектов по внедрению SIEM-систем
Слабое планирование перед началом проекта
Поскольку для внедрения SIEM-системы требуется много ресурсов, важно уже на этапе планирования определить возможные трудности, сформировать список задач, которые будет решать система в конкретном кейсе, и определиться с командой.
Недостаточная оценка бизнеса
Внедрять SIEM-систему можно только после комплексной оценки бизнеса в разрезе его особенностей, масштаба, потребностей.
Проблемы с ТЗ
Даже безукоризненно составленное техническое задание не гарантирует гладкого внедрения системы. О последствиях недоработанного ТЗ даже говорить страшно.
SIEM as Saas
В целом в России пока нет понимания, что такое SIEMaaS, но перспективы развития SIEM как сервиса вполне положительны. Отечественные вендоры приходят к разработке данного направления, поскольку начинает зарождаться потребность в сервисной модели.
Многие облачные провайдеры начали предлагать услугу облачного сервиса SIEM. Если внимательно посмотреть на эту возможность, то можно увидеть как плюсы, так и явные минусы решения.
Рассмотрим плюсы и минусы локальных и облачных SIEM-систем.
Преимущества локальной SIEM
-
Конфиденциальные данные хранятся на внутренних ресурсах компании.
-
Организация оставляет полный контроль над платформой SIEM. Сохраняя SIEM в локальной среде, можно настроить работу платформы для достижения лучших результатов в контексте конкретных бизнес-операций.
-
Компания сохраняет контроль над всей командой кибербезопасности.
Минусы локальной SIEM
-
Внедрение и запуск локальной платформы SIEM требует финансовых усилий, которые являются невероятно высокими для многих предприятий.
-
Расходы на обучение становятся еще одним препятствием для внедрения локальных SIEM.
-
Требуются собственные аппаратные мощности.
Плюсы облачной SIEM
-
Основным преимуществом облачной SIEM-системы является то, что организация сразу же получает доступ к экспертным знаниям, нет необходимости обучать своих сотрудников тому, как максимально эффективно использовать выбранную платформу SIEM.
-
Выбор облачной SIEM-системы приводит к экономии средств, поскольку поставщики SIEM предоставляют свои аппаратные мощности.
Недостатки облачной модели SIEM
-
При перемещении конфиденциальных данных за пределы площадки компания всегда сталкивается с большими рисками.
-
Некоторые поставщики облачных SIEM сосредотачиваются на функциях мониторинга и отчетности своих систем, что, в свою очередь, подвергает компанию рискам, связанным с отсутствием надлежащего управления угрозами.
-
При выборе облачного решения SIEM можно столкнуться с тем, что поставщики ограничивают доступ к необработанным данным.
-
Нет полного контроля за специалистами по информационной безопасности провайдера, предоставляющего сервис.
Переход к облачным сервисам в целом связан с высоким уровнем доверия организаций третьим сторонам. С уменьшением рисков и формированием «облачного» мышления SIEMaaS будет набирать популярность.
Трудности перехода с иностранных на отечественные SIEM-системы
Основная сложность заключается в том, что при переходе с одной SIEM-системы на другую приходится заново прописывать все правила корреляции событий. Нет зависимости от производителя, импортное ПО или отечественное. Смена SIEM — это внедрение новой системы с нуля, поскольку нет автоматизированных инструментов по переносу правил корреляции.
К второстепенным проблемам можно отнести: отличающийся интерфейс, другие требования к аппаратному обеспечению, обучение персонала новому программному продукту и др.
Будущее развития систем в России
В настоящее время появляется все больше решений класса SOAR, это следующая ступень после SIEM.
Понятия SIEM и SOAR иногда подменяют друг друга. Но среди них наблюдаются значимые различия. SIEM-системы позволяют собирать информацию и вручную управлять инцидентами. SOAR предназначены для автоматизации и оркестровки действий нескольких ИБ-систем. Так SIEM-решения предоставляют информацию о событиях для SOAR.
Количество кибератак на российские компании стремительно увеличивается, в это же время наблюдается рост требований в сфере информационной безопасности со стороны государства. Вопрос перехода на отечественные системы ИБ стоит как никогда остро. Внедрять российские продукты нужно быстро, но без паники. Излишняя суета повлечет ошибки и недоработки.
Насколько в данное время актуально внедрение SIEM?
Рынок SIEM-систем показывает значительную динамику роста. Все больше компаний приходят к пониманию необходимости построения единой системы по сбору инцидентов информационной безопасности. Особенно в такое непростое время, в котором мы сейчас живем и работаем. Очень высока нагрузка на ИБ-специалистов из-за возросшего прессинга российских компаний со стороны недоброжелателей за пределами России. И все это способствует наращиванию уровня защиты предприятий.
Резюме
Выбор и внедрения SIEM-системы – это ответственный и важный шаг. Чтобы процесс принес минимум боли и максимум результата, следует выбирать надежного партнёра по внедрению, например, компанию WIAT.
Опубликовано 01.11.2022