выбор очевиден?

Прим.переводчика: в оригинальном документе 2017 года также приводится краткий обзор 24 SIEM решений и смежных технологий. Дополнительно рекомендую отчет Gartner за 2014, 2015 и 2016 года.

Security Information and Event Management является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации из лог-файлов всех ИТ-систем, однако и результаты ее работы при правильной эксплуатации являются выдающимися. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые, вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.

5 вопросов к собственной команде перед выбором SIEM


Вопрос №1. Как мы будет осуществлять настройку и использование своей SIEM?


SIEM полноценно работает лишь в руках профессионалов и, будучи установленной в большой организации, может потребовать команду из 8 выделенных сотрудников. Такая сложная система без обслуживающего персонала похожа на необитаемую крепость — с виду неприступная, но не является помехой атакующему. SIEM не заменяет отдел Информационной Безопасности, а является инструментом, требующим высококвалифицированных специалистов, для достижения значимых результатов.

Убедитесь, что ваша организация способна использовать SIEM. Имеются ли необходимые ресурсы и персонал? Сможете ли вы нанять и обучить новых сотрудников? Если “нет”, то, возможно, лучшим решением для вас будет рассмотреть услуги от сторонних сервисных организаций (интеграторы и/или MSSP).

Вопрос №2. Что моя организация ожидает получить от внедрения SIEM?


Это кажется очевидным, но вы должны знать требования, выбирая себе SIEM или аналитическую систему безопасности. Расставьте приоритеты требований Бизнеса и Отдела Безопасности перед началом процесса тестирования и оценки систем. Какие системы будут являться источниками логов? Требуется ли сбор событий в режиме реального времени? Все ли логи нужно собирать, либо же только с критичных подсистем? Что требуется архивировать и как долго хранить? Как будут использоваться собранные данные — для расследований? поиска уязвимостей? аудита и проверки на соответствие стандартам?

Вопрос №3. Нужно ли нам полноценное решение, либо достаточно лишь системы обработки логов?


Возможности SIEM решений впечатляют, но это недешевое удовольствие для Бизнеса и, к тому же, сложное в обслуживании. Если вы заглядываетесь на самую “крутую” систему, но не задумывались еще о способе написания/получения “крутых” Use Case’ов к ней [скрипты, правила, визуализация], то вам стоит пересмотреть ваш подход.

Например, много требований соответствия стандартам безопасности могут быть легко выполнены “простой” системой log management (сбор, хранение, анализ и возможность поиска). Поэтому если основная ваша задача именно обработка логов, а не корреляция событий безопасности — не покупайте избыточное решение.

Вопрос №4. Требуется традиционный SIEM или анализ безопасности в Big Data?


Системы обработки больших массивов данных и поиска скрытых закономерностей завоевывают свое место под солнцем на рынке SIEM. Это очень эффективные системы, но еще более сложные. Поэтому они “по зубам” лишь компаниям с достаточным финансированием и зрелым и укомплектованным Отделом ИБ, в таких условиях они способны проявить все свои сильные стороны.

Будьте осторожны — если ваша компания имеет риск не осилить SIEM, то еще меньше шансов, что big data security analytics будет нормально работать. Аналитик Gartner Антон Чувакин советует “не платить за гламур Big Data, если невелик шанс оправдать инвестиции”.

Вопрос №5. Сколько денег есть возможность потратить на покупку и настройку системы?


Серьезная SIEM требует серьезных денег. Это и стоимость лицензии на сам продукт (и, возможно, услуг по интеграции и настройке), и затраты на сопутствующую ИТ-инфраструктуру (базы данных, системы хранения и т.д.), и затраты на обучение персонала. Итоговая стоимость легко может достигать сотен тысяч долларов, в зависимости от указанных параметров.

Как вариант экономии можно рассмотреть урезанные версии SIEM у именитых производителей или полноценные, но недорогие — у нишевых игроков. Вы не получите какой-то продвинутый функционал, но все же сможете решать бОльшую часть задач для SIEM, стоЯщих перед отделом информационной безопасности.

5 вопросов к возможностям выбираемой SIEM и поставщика



Вопрос №6. Как их продукт закроет требования соответствия стандартам и аудитам ИБ?


Задача соответствия требованиям различным ИБ-стандартам является одной из самых частых причин приобретения SIEM. Поэтому в большинство решений уже “из коробки” встроена поддержка аудита и отчетности по наиболее популярным стандартам, таким как HIPAA, PCI DSS и SOX. Компания значительно сэкономит во времени и ресурсах, используя такую автоматическую отчетность SIEM, но предварительно убедитесь, что нужный вам отчет будет в поставке и подходит вам. Какие еще преднастроенные отчеты есть “из коробки”? Каковы возможности по их самостоятельной подстройке?

Вопрос №7. Какова экспертиза поставщика по развертыванию и настройке? Обучению персонала?


Довольно велик риск неудачного внедрения столь сложной системы, как SIEM. В отчете 2014 года аналитик Gartner Олифер Рочфорд сообщил, что от 20% до 30% клиентов недовольны результатами внедрения. А будучи успешно развернутой, система SIEM потребует квалифицированных безопасников для ежедневной работы с ней. Спросите у поставщика, какую поддержку он способен оказать при внедрении решения и, если потребуется, при обучении ваших сотрудников.

Вопрос №8. Поддерживает ли данная SIEM работу с облаками и Big Data платформами? Т.е. будет ли решение, приобретаемое сегодня, работать с системами, купленными завтра?


Облачные (Software, Platform, Infrastructure)-As-A-Service продукты и платформы обработки Big Data уже используются в вашей организации или начнут использоваться буквально завтра. Если вы тратите серьезную сумму на покупку SIEM сегодня, то явно хотите быть уверены возможности интеграции с новыми системами завтра.

Вопрос №9. Сколько источников логов уже поддерживает SIEM? Насколько сложно подключить новый малоизвестный?


SIEM будет неполноценной, если не сможет принимать логи из важного источника событий вашей организации. Убедитесь, что большинство ваших систем будут подключены к SIEM штатными средствами, а сложность подключения специфического оборудования (или самописного приложения) будет не высока.

Основными источниками логов будут системы информационной безопасности (такие как фаервол, IPS/IDS, VPN, почтовый сервер, система антивирусной защиты и пр.), а также клиентские и серверные операционные системы.

Вопрос №10. Каковы возможности системы по анализу данных?


Кроме базовых функций по оповещениям и отчетности, SIEM должна предоставлять оператору (аналитик отдела ИБ) инструментарий просмотра и анализа событий в логах для расследования инцидента и выработки реакции на него. Даже самая умная и настроенная SIEM-система хуже самого умного аналитика. Ведь система не сработает, если нет соответствующего правила, не сможет заподозрить неладное без контекста происходящего. Поэтому ручной анализ все так же востребован и система должна предоставлять аналитику удобный инструментарий. Расширенные возможности поиска и визуализации данных однозначно способствуют успешности расследования инцидента.
Поделиться с друзьями
-->

Комментарии (1)


  1. opanas
    26.01.2017 16:27
    +1

    КДПВ я выбрал не для “в статье одна вода”, а для визуализации “задача-решение”: мелкий стакан для глотка, большой для того, чтобы напиться, а чтобы умыться — и рук достаточно.