Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
Автор: Павел Пугач, системный аналитик “СёрчИнформ”
Оглавление
Вспомним основы
Основная задача SIEM – мониторинг событий безопасности, выявление и управление инцидентами. Происходить это должно в три этапа.
SIEM подключается к источникам в ИТ-инфраструктуре. Источниками могут выступать ПО, оборудование, сетевые узлы, сторонние ИБ-системы. SIEM должна уметь вбирать в себя максимум, чтобы провести полную инвентаризацию контролируемой инфраструктуры. А затем привести все полученные данные к однородному и читаемому виду, чтобы эффективно с ними работать – это этапы агрегации и нормализации данных.
SIEM отбирает в потоке данных из источников информацию о событиях, потенциально влияющих на ИБ, – это таксономия – этап, на котором система структурирует полученные данные по типам, чтобы затем соотнести их между собой, за что, в свою очередь, отвечают автоматические правила. Хорошо, если пользователь может создать собственные правила или импортировать классификацию событий из источника.
SIEM сопоставляет события безопасности, чтобы обнаружить инцидент. Система делает это на основе правил корреляции – алгоритмов, которые находят взаимосвязь между событиями в одном или нескольких источниках. Например, если в течение пяти минут за ПК более десяти раз сработало правило «ввод неправильного пароля», то, возможно, это попытка взлома с помощью брутфорса. Или, если в течение часа на нескольких ПК выключился антивирус, и началось массовое изменение файлов, то это признак работы шифровальщика. После выявления инцидента SIEM оперативно уведомляет о нем службу ИБ.
SIEM буквально должна только вычитывать и сопоставлять события из разных источников. От нее не требуется глубокое расследование атак, аварий, компрометаций, если они выходят за рамки периметра. Однако, при избытке данных об инциденте логично желание их проанализировать, чтобы докопаться до причин, установить виновников и их мотивы. Отсюда – запрос заказчиков на расширение возможностей расследования. К тому же, раз SIEM обнаруживает проблемы, то можно ожидать их решения в той же консоли – напрашивается функционал реагирования. И наконец, имея полную картину происходящего в инфраструктуре, хочется знать, откуда ждать проблем, а именно прогнозировать инциденты и проактивно их предотвращать.
Это логичный путь развития систем, и фактически по нему идут все вендоры. На первый взгляд это очевидный плюс – заказчику так удобнее. Но увлечение такими улучшениями грозит увести SIEM от решения первоначальных задач, что в итоге снизит ее эффективность. Рассмотрим, каким образом.
Обратная сторона роста
Для начала приведу простой пример. Многие SIEM сегодня внедряют сценарии развития инцидентов по матрице MITRE ATT&CK. Эти сценарии дополняют правила обнаружения инцидентов и основаны на пошаговом анализе хода атаки – действий, которые злоумышленник совершит в инфраструктуре. По идее, это дает продвинутые возможности расследования, но на практике ряд SIEM с внедренной матрицей MITRE ATT&CK предлагают игнорировать незначительные события ИБ, пока они не сложатся в сценарий. Например, ждут, пока брутфорс пароля учетной записи завершится успехом, чтобы точнее определить, в чем цель атаки, какой элемент инфраструктуры будет атакован следующим, и где нужна особая защита. Но что важнее: определить чего хочет преступник или остановить его сразу, не допустив ущерба?
Выяснение мотивов и логики киберпреступников – не задача корпоративной ИБ. Ловить и выслеживать хакеров – прерогатива специальных органов. А компаниям первостепенно – защищаться. Получается, что SIEM, которая работает по матрице, отнимает у ИБ-отдела время на оперативное противодействие угрозе.
Приведу другой пример про реагирование на инциденты. Чтобы остановить атаку, SIEM нужно вмешаться в ход работы конкретных элементов инфраструктуры. Часто, особенно при работе с оборудованием, это требует нетипичной для SIEM архитектуры: работы в конечных точках (то есть наличия агентов). Качественная реализация такой функции требует от вендора SIEM полной перестройки системы, то есть превращает ее в другой продукт. А заодно лишает характерных для сетевой модели работы преимуществ вроде охватности, ведь агенты невозможно внедрить на все конечные точки.
То же касается предиктивной аналитики. Самый понятный способ спрогнозировать проблему – найти уязвимости в инфраструктуре. Но хороший Vulnerability Management тоже требует глубокого сканирования конечных точек, а в идеале – работу через агенты.
Есть и совсем специфические примеры: внедрение в SIEM элементов ИИ призвано автоматизировать выявление инцидента. При этом ИИ должен заменить человека в интуитивных задачах (если мы говорим про ИИ, а не про машинное обучение). Но в SIEM он анализирует данные от источников, а если источник скомпрометирован, то данным из него нельзя доверять. Соответственно, снова требуется «человеческая» аналитика, ведь у машины просто не будет достоверных данных для анализа. В итоге эта функция, как минимум, не дает желаемого результата, а чаще просто бесполезна.
Наконец, дополнительный функционал повышает как аппаратные требования к системе, так и требования к квалификации ИБ-специалистов для работы с продвинутыми фичами.
Как найти баланс?
В первую очередь стоит помнить, что SIEM должна без проблем выполнять свои «родные» задачи. В конечном итоге дополнительный функционал – не универсальная потребность заказчиков SIEM, и у большинства побочных задач уже есть свои решения в виде специально под них созданных продуктов.
В развитии «СёрчИнформ SIEM» мы в первую очередь опираемся на требования к SIEM как к классу: расширяем количество контролируемых источников, повышаем качество аналитики – таксономии и корреляций. При этом первостепенно поддерживаем источники, которые требуются нашим заказчикам. Например, за последнее время, учитывая запросы клиентов, мы выпустили коннекторы к российским «АПКШ Континент», «1С ЗУП», UserGate, VipNet и Secret Net, обновили – к Astra Linux и ОС Альт.
Рыночные тренды мы, конечно, не игнорируем: ведь их тоже диктует заказчик. Для прогнозирования у нас есть встроенный сканер уязвимостей, который использует данные сразу из девяти авторитетных БДУ, включая базу ФСТЭК России. Есть инструменты расследования, например Task Management для командной работы над инцидентами – с интеграцией с ГосСОПКА и IRP. Функционал реагирования реализован через внешние приложения, которые SIEM запускает и инструктирует о том, как поступить с угрозой.
Наша ключевая позиция: задачи других продуктов лучше нас решат вендоры, которые на них специализируются. Их экспертизу мы привлекаем в качестве источников, поэтому делаем ставку на интеграции. Так, «СёрчИнформ SIEM» получает данные ото всех ключевых ИБ-систем: от антивирусов до XDR, IDS, NGFW, различных TI-инструментов и т.д. Иногда для такой интеграции необязательно даже писать отдельный коннектор, достаточно открытого API.
Таким образом, получаем сбалансированный вариант. У заказчиков «СёрчИнформ SIEM достаточно встроенных инструментов, чтобы решить дополнительные задачи (расследование, реагирование, прогнозирование) на базовом уровне. Возможностей интеграции хватит, чтобы усилить сразу весь контур защиты, когда по этим задачам SIEM будет обмениваться данными с профильными ИБ-системами.
В заключение
Развитие систем SIEM неизбежно, они продолжат обрастать дополнительными функциями. Вопрос в том, каким образом это будет происходить. Реализуя нестандартные фичи, вендор рискует превратить SIEM в комбайн размытого назначения. В результате пострадает заказчик: если все силы вендора направлены в сторону, то может простаивать исправление багов, разработка новых коннекторов, совершенствование инструментов аналитики. А в итоге такая система не будет закрывать нормативы (если они предписывают компании иметь IRP, то регулятора не устроит, что задачу решает SIEM, как хорошо бы в ней ни работало реагирование). Поэтому выбирать SIEM по дополнительным возможностям порой излишне – нет смысла доплачивать за них, если есть инструменты, решающие задачу гораздо проще.
Мы делаем классическую SIEM, которая расширяет привычные возможности класса за счет поддержки внешней профессиональной экспертизы. Благодаря этому она с одной стороны эффективная, простая и «легкая», а с другой – функциональная и адаптивная к индивидуальным потребностям разных компаний, и к тому же открытая к росту. Попробуйте, как это работает: «СёрчИнформ SIEM» доступна для теста бесплатно в течение 30 дней.
ITSec_articles