Импортозамещение SIEM: что важно учесть

ГлавнаяНовостиНовостиНовости, 202205Новости, 202205 → Импортозамещение SIEM: что важно учесть
- КиТ :: Будь в СЕТИ!

SIEM является одной из основополагающих систем в инфраструктуре организации для обеспечения информационной безопасности. На текущий момент большое число крупных организаций используют SIEM-системы иностранных вендоров. Это связано с тем, что на момент их покупки и внедрения на рынке объективно не было российских решений, которые удовлетворяли бы требованиям пользователей. Однако, сейчас ситуация изменилась. Появилось достаточное количество SIEM-систем отечественного производства, а у российских компаний остро встал вопрос об импортозамещении иностранного ПО.

Кроме того, использование ПО иностранных производителей зачастую связано с дополнительными неудобствами, такими как отсутствие поддержки на русском языке, невозможность оперативно добавить новую функцию в ПО по запросу пользователей (feature request), стоимость ПО и поддержки в иностранной валюте (привязана к валютному курсу) и пр.

Трудности, с которыми приходится сталкиваться при импортозамещении SIEM систем

К сожалению, на практике импортозамещение SIEM системы происходит не так просто, как хотелось бы. Это довольно сложный процесс, который может потребовать значительных ресурсов и времени. Для его

На что стоит обратить внимание при выборе SIEM системы

Рассмотрим основные аспекты, на которые стоит обратить внимание при выборе новой SIEM системы.

Стоит обратить внимание каким образом поставляется новая SIEM система: в виде ПО или ПАК (программно-аппаратный комплекс). В первом случае необходимо оценить системные требования новой SIEM системы, чтобы выделить ресурсы под инсталляцию, а также узнать возможности развёртывания системы в среде виртуализации, которая используется в компании. Во втором – оценить состав ПАК, чтобы выделить под него место в серверной, а также узнать срок поставки, включая отгрузку производителем и логистику до места использования.

Архитектура системы должна быть такой, чтобы процесс масштабирования по нужным направлениям не вызывал больших трудностей.

Если организация имеет филиальную структуру, то может потребоваться мониторинг событий ИБ в филиалах. В этом случае используют следующие подходы.

  1. Установка в филиалах коннекторов, которые осуществляют сбор событий и отправку их в центральный офис, где установлена SIEM система. Тогда все события хранятся и обрабатываются централизованно.
  2. Установка в филиалах собственных инсталляций SIEM систем. В этом случае события из филиалов обрабатываются локально, а в SIEM центрального офиса отправляется, как правило, только информация об инцидентах.

Что ставить в филиал, коннектор или SIEM, обычно определяется наличием в филиале собственной SOC команды, которая сможет обрабатывать локальные инциденты ИБ. Если такая команда (состоящая хотя бы из одного специалиста) имеется, то можно рассмотреть вариант с установкой SIEM.

Основной характеристикой производительности SIEM системы является возможность обработки входного потока событий, который зависит от размеров организации и количества подключаемых к SIEM целевых систем. Необходимо выяснить, какое количество событий в секунду (EPS) система способна обрабатывать. При этом нужно различать средние и пиковые значения EPS, которые могут значительно отличаться. Также EPSявляется важным параметром, поскольку часто используется производителями в правилах лицензирования и влияет на стоимость продукта.

Если в вашей организации количество пользователей SIEM больше одного человека, то может потребоваться ролевая модель управления пользователями и разграничение прав доступа. Обычно различают роли администраторов, операторов и аналитиков. Также может потребоваться разграничение доступа по типам ресурсам. Например, сотрудник, отвечающий за сетевую безопасность, может видеть только события и инциденты с сетевых устройств. Аналогичным образом настраивается разграничение доступа по филиалам и подразделениям организации.

При выборе новой SIEM системы важную роль играет способ сбора событий с целевых систем. Различают агентский и безагентский способы.

При агентском сборе событий необходимо устанавливать агент (службу сбора событий) на каждой рабочей станции и сервере. Как правило, это может подойти только для небольших организаций, поскольку для крупных компаний «ещё один агент» - это известная проблема, усложняющая жизнь.

При безагентском сборе событий достаточно развернуть один или несколько (зависит от размера организации) серверов коннекторов и/или включить аудит на целевых системах. Такой тип сбора событий намного удобнее в разворачивании и последующем администрировании.

Ключевым параметром успешного сбора событий является доставка и сохранение всех событий из целевых источников без потерь. В противном случае (если события теряются) такой системе нет доверия.

После успешного сбора событий их необходимо корректно обработать (распарсить) и передать на хранение и дальнейшее использование. В современной SIEM системе инструменты нормализации событий (парсеры) должны иметь возможность быстрой и гибкой настройки без привлечения специалистов вендора.

Для эффективного эксплуатирования SIEM системы необходимо подключить к ней целевые системы. Поэтому стоит заранее узнать у вендора список целевых систем, с которыми имеется возможность интеграции, и наличие рекомендаций по их настройке.

Основным инструментом работы аналитика и оператора SOC является консоль SIEM системы, которая позволяет просматривать события, выполнять их анализ и расследование инцидентов. При выборе новой SIEM системы следует уделять внимание удобству интерфейса консоли, поскольку от этого напрямую зависит эффективность работы специалистов SOC.

Также SIEM система должна позволять создавать различного рода отчёты. Для этого будет полезным конструктор создания отчётов, позволяющий создавать шаблоны отчётов и выбирать способы визуализации информации о результатах мониторинга. Далее система должна уметь рассылать сформированные отчёты по электронной почте по расписанию.

Вариант работы корреляции «по запросам», в свою очередь, выдаёт данные об инцидентах с задержкой и значительно повышает нагрузку на базу данных за счёт необходимости постоянного выполнения запросов.

В консоли SIEMсистеме должен быть реализован конструктор написания правил для выявления инцидентов ИБ. Дополнительным плюсом будет наличие готовых механизмов переноса правил из одной SIEMсистеме в другую, что значительно сократит время миграции.

Если рассматриваемая система не имеет одной или нескольких требуемых функций, стоит уточнить у вендора возможность и сроки разработки дополнительного функционала системы «под запрос». Возможно окажется, что этот функционал уже запланирован в «roadmap» производителя.

Сценарии импортозамещения (миграции)

В зависимости от решаемых задач и сложившейся ситуации, организация может выбрать один из возможных сценариев миграции на отечественную SIEM систему.

Сценарий 1. «Быстрое» импортозамещение

Этот сценарий предполагает замену иностранной SIEM на новую в кратчайшие сроки. Выполняется копирование всех данных и ресурсов из имеющейся SIEM системы в новую, после чего новая система сразу вводится в промышленную эксплуатацию, а эксплуатация старой системы прекращается.

Данный сценарий миграции на новую SIEM систему является наиболее рискованным и трудозатратным, поэтому есть смысл его использовать только в том случае если эксплуатировать иностранную систему больше нет возможности, например, из-за санкций.

Сценарий 2. «Постепенное» импортозамещение

В данном сценарии новая SIEMсистема разворачивается параллельно с имеющейся SIEM системой. В течение некоторого времени обе системы работают параллельно, при этом данные о событиях ИБ сохраняются в обеих системах. После некоторого периода (к примеру, полгода) старая SIEM система выводится из эксплуатации и остаётся в качестве архивного хранения исторических данных. За время параллельной работы обеих систем в новой SIEM системе накапливаются данные за этот период. Пользователи имеют возможность в течение этого времени обучиться работать в новой системе и протестировать работу перенесённых из старой системы ресурсов, таких как правила корреляции и активные каналы.

Сценарий 3. Параллельная работа двух SIEM систем

В данном сценарии новая система разворачивается параллельно с имеющейся SIEM системой. Этот сценарий имеет смысл в том случае, когда эксплуатация существующей SIEM системы может быть продолжена, но не может быть расширена для решения новых задач, например, для подключения дополнительных источников событий. Тогда для мониторинга новых систем можно использовать инсталляцию новой системы (если она обладает такими возможностями). Одним из достоинств такой архитектуры является возможность новой SIEM производить мониторинг работоспособности используемой иностранной SIEM системы, что может быть критично, например, при отсутствии технической поддержки со стороны вендора.

Данный сценарий миграции имеет смысл, когда эксплуатация существующей иностранной SIEM системы может быть продолжена. Недостатком является необходимость использовать и обслуживать две SIEM системы.

Итоги

Подводя итог хочется сказать, что разумным подходом при импортозамещении SIEM системы будет подготовка конкретного списка требований к новой системе в целом, а также к её функционалу. При этом можно опираться на практику использования существующей импортной системы. Например, проверить, что новая система реализует те же возможности, что сейчас используются в старой. Полезным будет разделить требования на обязательные (необходимые) и желаемые. А также решить какой сценарий импортозамещения следует использовать в конкретном случае исходя из имеющихся условий и возможностей.

ГлавнаяНовостиНовостиНовости, 202205Новости, 202205 → Импортозамещение SIEM: что важно учесть