С каждым годом количество ИБ-инцидентов возрастает и доходит до десятков, а то и сотен тысяч в день. Обработать такое количество или выявить инциденты ИБ-специалистам вручную практически невозможно. Кроме того, существуют ситуации, когда с первого взгляда безобидные события в совокупности несут в себе большую угрозу для компании. Поэтому все больше компании осознают необходимость защиты своей ИТ-инфраструктуры с помощью передовых средств. Возникает закономерный вопрос: как минимизировать успех кибератак благодаря современным технологиям? Ответ прост – автоматизировать процесс разбора инцидентов с помощью специализированного решения SIEM.

SIEM-система – это решение для предотвращения атак?

Сама по себе SIEM-система не может противостоять направленным атакам на организацию, она предполагает сбор и анализ информации. Для того, чтобы осознать ценность таких решений нужно разобраться в понятии «SIEM-система» и зачем она нужна компании, если не может защитить от атак.

SIEM (Security information and event management) – это специализированная аналитическая система, предназначенная для управления событиями информационной безопасности в организации. Она собирает файлы с записями об ИБ-событиях, которые поступают из различных ресурсов, таких как DLP, IDS, антивирусов, маршрутизаторов и других. Отклонения от нормы образуют инциденты. В дальнейшем система готовит отчеты и генерирует список уже известных событий для определения потенциальных опасностей при повторной атаке. Также решение может провести аудит на соответствие стандартам.

Одним из преимуществ SIEM-системы является доказательная база, которую она собирает. Информация поможет во внутренних расследованиях при утечке данных по вине сотрудника, а также в судебных разбирательствах.

Поэтому решение для предотвращения атак – это не совсем правильное определение SIEM-системы. Её функциональные возможности призваны существенно облегчить работу центрам мониторинга и реагирования на инциденты и аналитикам. Благодаря этому продукту большинство атак будут известны компании на первом этапе и ИБ-отдел сможет вовремя отреагировать на них.

Для кого подойдет SIEM-система и что дает бизнесу?

Самый крупный потребитель SIEM-систем – банковский сектор. В таких организациях непрерывный поток персональных конфиденциальных данных является нормой. Важно иметь возможность отследить инцидент, при его возникновении, и точно знать была ли это атака злоумышленника либо ошибка сотрудника. Кроме того, банки регулярно проводят аудиты соответствия, в чем SIEM-система является неотъемлемым помощником.

Вторая категория потребителей — крупные компании, в инфраструктуре которых каждый день генерируется огромное количество событий различного свойства. В таких организациях руководители отделов ИТ и ИБ чаще всего хотят «держать руку на пульсе» для оперативного реагирования и предотвращения инцидентов в дальнейшем.

К последней категории можно отнести все организации, которые столкнулись с проблемой несвоевременного обнаружения инцидентов ИБ и последствиями от них для всей ИТ-инфраструктуры.

Что дает SIEM-система компании:

• Снижение риска нежелательного проникновения злоумышленниками в ИТ-инфраструктуру компании
• Своевременное оповещение о возникновении угроз для бизнес-процессов
• Помощь в расследовании технических инцидентов ИБ и сборе доказательной базы для суда
• Уменьшение времени реакции на инциденты благодаря готовым сценариям реагирования и использования средств автоматизации

Внедрение SIEM-систем. Что нужно знать на этом этапе?

Проекты по внедрению SIEM-систем отличаются своей сложностью и высокими техническими требованиями, поэтому нередко компании сталкиваются с неудачами при попытках самостоятельного ввода решения в эксплуатацию.

Компания Softline в своей копилке имеет уже не один успешный кейс по внедрению SIEM-систем и мы, как эксперты в данном направлении, можем смело выделить топ типичных ошибок, с которыми компании могут столкнуться при реализации таких проектов.

Ошибка № 1: Нехватка планирования перед реализацией проекта

Планирование – это важная составляющая любого проекта. Вероятность успеха с правильным предварительным планированием намного выше. Кроме того, если осознанно подойти к данному процессу, компания может сэкономить свои ресурсы, как временные, так и финансовые.

На этапе планирования организация как бы «доказывает» целесообразность внедрения SIEM-системы для мониторинга событий ИБ и определяет задачи, которые должно закрыть решение.

Клиент может сформировать требования к будущему продукту и таким образом сократить список подходящих систем из множества, уже имеющихся на рынке.

Обычно, на данном этапе уже формируется проектная команда, которая выполняет все эти действия для наиболее вероятного успеха внедрения SIEM-системы.

Ошибка № 2: Неправильная оценка масштаба, сложности и специфики бизнеса

Масштаб и сложность проекта по внедрению влияет на выбор решения. Без предварительной оценки этих составляющих заказчик может столкнуться с рядом проблем, которые возникнут на следующих этапах проекта: при дальнейшем планировании, развертывании системы и ее масштабировании.

Кроме того, при выборе SIEM-системы необходимо опираться на специфику вашего бизнеса. Ранее в статье мы уже очертили целевую аудиторию решения. Перед тем, как ставить задачу внедрения задайте себе вопрос: действительно ли SIEM-система закроет вопросы безопасности моей компании. Если ваш ответ отрицательный, то следует еще раз обозначить проблемы, с которыми столкнулась ваша компания. Возможно, под ваши цели на данном этапе подойдет совершенно другое решение.
Ошибка № 5: Желание закрыть все проблемы одним решением
Одной из причин неудачных проектов является попытка заказчика иметь в одном продукте решение всех проблем, которые есть в компании. Зачастую при проведении аудита выясняется, что компании нужен целый комплекс решений для закрытия потребностей.

При работе над SIEM-проектом необходимо тщательно разобраться в функциональных возможностях решения и не пытаться прописать в техническом задании требования, которые могут относиться к другому типу продуктов. Как уже и говорили ранее, SIEM-система обладает функциями для сбора и анализа информации.

Подведем итоги

Покупка и внедрение SIEM-системы – это непростой процесс. Сложности могут возникнуть на любом этапе: от выбора решения до его внедрения и последующей эксплуатации. В случае, если заказчик подходит к вопросу недостаточно серьезно, результат проекта может даже нанести вред самой компании. В ИТ-инфраструктуре может появится дополнительное сложное решение, которое не повысит кибербезопасность, а только добавит лишней работы персоналу компании без получения какого-либо эффекта.

Чтобы избежать типичных ошибок мы рекомендуем обратиться к компании-интегратору, специалисты которой имеют достаточный опыт для внедрения SIEM
Внедрение силами интегратора нужно практически всегда закладывать в бюджет приобретения SIEM-системы. Желание сэкономить на услугах разработки требований, правил, политик работы с системой и ее грамотное внедрение может обернуться негативным опытом приобретения продукта.