10 питань для усвідомленого вибору SIEM-системи

вибір очевидний?
Прим.перекладача: в оригінальному документ 2017 року також наводиться короткий огляд 24 SIEM рішень і суміжних технологій. Додатково рекомендую звіт Gartner за 2014, 2015 і 2016.

Security Information and Event Management є складним і дорогим рішенням по збору, нормалізації, аналізу і кореляції інформації з лог-файлів всіх ІТ-систем, однак і результати її роботи при правильній експлуатації є видатними. Портал Solutions Review підготував список з 5 запитань до себе і 5 питань до потенційного постачальника, зібравши відповіді на які, ви зможете більш усвідомлено зробити вибір гідної SIEM системи для впровадження у вашій організації.

5 питань до власної команді перед вибором SIEM

Питання №1. Як ми буде здійснювати налаштування та використання своєї SIEM?

SIEM повноцінно працює лише в руках професіоналів і, будучи встановленою у великій організації, може вимагати команду з 8 виділених співробітників. Така складна система без обслуговуючого персоналу схожа на нежилу фортеця — з вигляду неприступна, але не є перешкодою атакуючому. SIEM не замінює відділ Інформаційної Безпеки, а є інструментом, що вимагає висококваліфікованих фахівців, для досягнення значущих результатів.

Переконайтеся, що ваша організація може використовувати SIEM. Є необхідні ресурси і персонал? Чи зможете ви найняти і навчити нових співробітників? Якщо «ні», то, можливо, найкращим рішенням для вас буде розглянути послуги від сторонніх сервісних організацій (інтегратори та/або MSSP).

Питання №2. Моя організація очікує отримати від впровадження SIEM?

Це здається очевидним, але ви повинні знати вимоги, вибираючи собі SIEM або аналітичну систему безпеки. Розставте пріоритети вимог Бізнесу та Відділу Безпеки перед початком процесу тестування і оцінки систем. Які системи будуть джерелами логів? Чи потрібна збір подій в режимі реального часу? Всі логи потрібно збирати, або ж тільки з критичних підсистем? Що потрібно архівувати і як довго зберігати? Як будуть використовуватися зібрані дані — для розслідувань? пошуку вразливостей? аудиту і перевірки на відповідність стандартам?

Питання №3. Чи потрібно нам повноцінне рішення, або достатньо лише системи обробки лог?

Можливості SIEM рішень вражають, але це недешеве задоволення для Бізнесу і, до того ж, складний в обслуговуванні. Якщо ви заглядаєте на саму «круту» систему, але не замислювалися ще про спосіб написання/отримання «крутих» Use Case'ів до неї [скрипти, правила, візуалізація], то вам варто переглянути ваш підхід.

Наприклад, багато вимог відповідності стандартам безпеки можуть бути легко виконані «простий» системою log management (збір, зберігання, аналіз і можливість пошуку). Тому якщо ваша основна задача саме обробка логів, а не кореляція подій безпеки — не купуйте надмірне рішення.

Питання №4. Потрібно традиційний SIEM або аналіз безпеки в Big Data?

Системи обробки великих масивів даних і пошуку прихованих закономірностей завойовують своє місце під сонцем на ринку SIEM. Це дуже ефективні системи, але ще більш складні. Тому вони «по зубах» лише компаніям з достатнім фінансуванням і зрілим і укомплектованим Відділом ІБ, в таких умовах вони здатні проявити всі свої сильні сторони.

Будьте обережні — якщо ваша компанія має ризик не осилити SIEM, то ще менше шансів, що big data security analytics буде нормально працювати. Аналітик Gartner Антон Чувакин радить «не платити за гламур Big Data, якщо невеликий шанс виправдати інвестиції».

Питання №5. Скільки грошей є можливість витратити на купівлю і налаштування системи?

Серйозна SIEM вимагає серйозних грошей. Це і вартість ліцензії на сам продукт (і, можливо, послуг з інтеграції та налаштування), і витрати на супутню ІТ-інфраструктуру (бази даних, системи зберігання і т. д.), і витрати на навчання персоналу. Підсумкова вартість легко може досягати сотень тисяч доларів, залежно від зазначених параметрів.

Як варіант економії можна розглянути спрощені версії SIEM у іменитих виробників або повноцінні, але недорогі — у нішевих гравців. Ви не отримаєте якийсь просунутий функціонал, але все ж зможете вирішувати більшу частину завдань для SIEM, що стоять перед відділом інформаційної безпеки.

5 питань до можливостей обраної SIEM і постачальника

Питання №6. Як їх продукт закриє вимоги відповідності стандартам та аудитів ІБ?

Завдання відповідності вимогам різних ІБ-стандартів є однією з найбільш частих причин придбання SIEM. Тому більшість рішень вже «з коробки» вбудована підтримка аудиту і звітності по найбільш популярним стандартам, таким як HIPAA, PCI DSS і SOX. Компанія значно заощадить в часі і ресурсах, використовуючи таку автоматичну звітність SIEM, але попередньо переконайтеся, що потрібний вам звіт буде в постачанні й підходить вам. Які ще передналаштовані звіти є «з коробки»? Які можливості по їх самостійної підстроювання?

Питання №7. Яка експертиза постачальника за розгортання і налаштування? Навчання персоналу?


Досить великий ризик невдалого впровадження такої складної системи, як SIEM. У звіті 2014 року аналітик Gartner Оліфер Рочфорд повідомив, що від 20% до 30% клієнтів задоволені результатами впровадження. А будучи успішно розгорнутої, система SIEM потребує кваліфікованих сб для щоденної роботи з нею. Запитайте у постачальника, яку підтримку він здатен надати при впровадженні рішення і, якщо буде потрібно, при навчанні ваших співробітників.

Питання №8. Підтримує дана SIEM роботу з хмарами і Big Data платформами? Тобто буде рішення, що купується сьогодні, працювати з системами, купленими завтра?

Хмарні (Software, Platform, Infrastructure)-As-A-Service продукти і платформи обробки Big Data вже використовуються у вашій організації або почнуть використовуватися буквально завтра. Якщо ви витрачаєте серйозну суму на покупку SIEM сьогодні, то явно хочете бути впевнені можливості інтеграції з новими системами завтра.

Питання №9. Скільки джерел логів вже підтримує SIEM? Наскільки складно підключити новий маловідомий?

SIEM буде неповноцінною, якщо не зможе приймати логи з важливого джерела подій вашої організації. Переконайтеся, що більшість ваших систем будуть підключені до SIEM штатними засобами, а складність підключення специфічного обладнання (або самопісного програми) буде не висока.

Основними джерелами логів будуть системи інформаційної безпеки (такі як фаєрвол, IPS/IDS, VPN, поштовий сервер, система антивірусного захисту тощо), а також клієнтські і серверні операційні системи.

Питання №10. Які можливості системи аналізу даних?

Крім базових функцій за сповіщень та звітності, SIEM повинна надавати оператору (аналітик відділу ІБ) інструментарій перегляду та аналізу подій в логах для розслідування інциденту і вироблення реакції на нього. Навіть найрозумніша і налаштована SIEM-система гірше самого розумного аналітика. Адже система не спрацює, якщо немає відповідного правила, не зможе запідозрити недобре без контексту подій. Тому ручної аналіз так само затребуваний і система повинна надавати аналітику зручний інструментарій. Розширені можливості пошуку і візуалізації даних однозначно сприяють успішності розслідування інциденту.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.