Вход Регистрация
Подписка

SIEM: от средства ИБ к конкурентному преимуществу банка

05.09.2016

Идее о том, что неплохо было бы иметь некое решение, внедрив которое, можно разом закрыть если не все, то большинство «дыр» в IT-инфраструктуре с точки зрения информационной безопасности, довольно много лет. Старожилы рынка утверждают, что первое практическое знакомство с SIEM, а именно так стали называть подобные системы, состоялось примерно 20 лет назад. 25 августа 2016 года в гостинице Marriott Tverskaya деловое издание «Банковское обозрение» собрало около 50 экспертов в области информационной безопасности из банковской сферы, чтобы обсудить текущие достижения, новинки и проблемы в области внедрения и эксплуатации SIEM-систем




Надо вспомнить, что именно лет 20 назад было автоматизировано в банках и от каких угроз эту инфраструктуру необходимо было защищать. В большинстве случаев хватало некого решения, которое обобщенно называлось антивирусом. Если оно было снабжено единой консолью управления, которая имела обратную связь с конечными устройствами, где было установлено агентское антивирусное ПО, то с современной точки зрения, такое решение вполне можно было бы назвать SIEM и даже с натяжкой SOC (операционным центром информационной безопасности). Ведь это было полноценное менеджерское решение с замкнутым циклом управления, функционирующее в рамках модели угроз, характерных для того времени.

С тех пор изменилось очень многое. В digital-реальности, в том числе в digital-банкинге, едва ли не основную ценность приобретают данные. Компании зарабатывают прибыль путем их коммерциализации. Поэтому фокус ИБ сместился с защиты периметра на комплексную real-time и превентивную защиту данных, где бы они ни находились в мобильной реальности. Это совершенной иной вызов, изменяющий саму философию обеспечения информационной безопасности: из запретительного и ограничительного элемента банковского бизнеса ИБ постепенно трансформируется в компонент, привносящий в банкинг собственную, дополнительную клиентскую ценность.

 

 

Технология SIEM здесь имеет уже совсем другое наполнение. Со временем в ней появились корреляция событий и выявление инцидентов. Каждый производитель старается дополнить функционал системы вспомогательными функциями, такими как управление уязвимостями и рисками, поиск аномалий в сетевых протоколах, формирование списков зараженных IP-адресов и т.д. Даже DLP-решения (технологии предотвращения утечек конфиденциальной информации из информационной системы вовне) становятся компонентом SIEM-решений или работают с ней в тесной связке.

Модератор первой секции конференции, начальник управления безопасности НСПК Василий Окулесский, задавая тон дискуссии, говорил обо всем этом. Кроме того, он призвал собравшихся не смешивать в одну кучу существующие сегодня многочисленные точки зрения на суть SIEM: для одних — это философия, для других — удобный инструмент, для третьих — модный тренд, для остальных — это то, что можно и нужно продать потенциальному заказчику.

 

Модератор первой секции конференции, начальник управления безопасности НСПК Василий Окулесский и Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies

 

Вместо всего этого он предложил разобраться в вопросе: можно ли построить «правильную» SIEM без наличия модели угроз, а также без четкого понимания со стороны бизнеса, что именно представляет для него ценность, а потому что он хочет защитить.

Позитивное начало

Первым с докладом «Что нам стоит SOC построить? SIEM для людей или люди для обслуживания SIEM» выступил Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies, сделавший основной акцент на кадрах. Не создано еще ни одной SIEM-системы, которую можно было бы внедрить и сопровождать без самого активного участия специалистов.

 

Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies

 

Очень часто дополнительные проблемы этим специалистам по внедрению создают, как ни удивительно, сами заказчики. Как известно, для создания сложной IT-системы (будь то ERP, АБС или SIEM) организация и ее топ-менеджмент должны в прямом смысле слова «созреть». Прежде всего это касается наведения порядка во внутренних бизнес-процессах, выявлении наиболее приоритетных для бизнеса задач и определения допустимых затрат на защиту. Без этого невозможно оценить эффект от внедрения решения, а именно этого в итоге потребует топ-менеджмент организации — руководители IT- и ИБ-служб.

Рынок SIEM в России все еще формируется, и, пока не установлены жесткие критерии и требования к системам в каждом проекте, необходимо проводить достаточно серьезную и скрупулезную работу по выявлению и анализу требований потребителя. Именно возможность выполнения этой работы и заинтересованность в ней на российском рынке выгодно отличает компании с серьезным «локальным» присутствием (в первую очередь, естественно, российские).

Реализацию таких проектов специалистам Positive Technologies нередко приходится начинать с разбора информационного хаоса, существующего в компаниях, и работы с требованиями (иногда противоречивыми) нескольких департаментов. Масштабы проблем можно оценить, например, по результатам расследуемых инцидентов ИБ, выявляемых на этапе анализа состояния информационной системы. Выясняется, что, даже особенно не скрывая следов, злоумышленники могут присутствовать в IT-системах в течение несколько лет. Выявленный рекорд подобного рода — семь лет!

SIEM, будучи единой точкой контроля ИБ и работы средств защиты информации, глубоко интегрированной в IT-инфраструктуру банка, требует унификации поступающей в нее информации и ее перекрестного анализа в едином интерфейсе. Достаточно простая формулировка на практике оборачивается сложной проектной работой, которая может постоянно требовать все новых и новых ресурсов, прежде всего человеческих. Для эффективного решения этой задачи и снижения издержек в дело пойдут и автоматическое наполнение базы знаний SIEM, и наработанные практики команды внедрения.

Для собранных данных требуются классификация и упорядочивание, а также интеграция средств инвентаризации с SIEM. После этого необходимо «наложить» IT-инфраструктуру на организационную структуру бизнеса, провести так называемый мэппинг. После этого заканчивается этап внедрения и начинается жизнь системы.

И вот тут-то выясняется, что инфраструктура постоянно изменяется, развивается в соответствии с потребностями бизнеса! Необходимы мониторинг задач по сбору данных, настройка задач сбора c новых устройств, постоянная адаптация задач под изменяющиеся условия и изменение правил корреляции событий. Если ничего этого не делать, то через пару лет SIEM придется внедрять повторно, так как контекст работы системы полностью утратится. По разным оценкам такая ситуация встречается в 70–90% случаев. Издержки на поддержку настроек SIEM в актуальном состоянии неизбежны, но стоит отметить, что в ходе этих работ выявляются и могут быть решены многие задачи инвентаризации и управления уязвимостями.

Кроме того, «выясняется», что SIEM может быть полезна не только для сбора логов. Она могла бы помочь и в анализе конфигурации информационной системы: из хранилища SIEM можно извлечь информацию, которая позволяет разобраться, какое именно ПО установлено в банке, какие версии, когда и какие были обновления. Все это нужно, например, для системного выстраивания процесса управления уязвимостями (Vulnerability management), управления активами и конфигурациями (Asset и Configuration management).

С одной стороны, SIEM-система необходима для управления множеством процессов IT и ИБ, а с другой — она, безусловно, потребует привлечения некоторого числа дополнительных специалистов. Очевидное преимущество инвестиции в персонал при внедрении и развитии SIEM заключается в том, что результаты работы сотрудников накапливаются в виде конфигураций и правил SIEM. Это и есть качественное изменение: помимо рутинного процесса обслуживания операционные расходы начинают приносить эффект «накопления» практик безопасности в автоматизированной системе.

В качестве резюме своего выступления Владимир Бенгин сделал вывод: большинство задач команды, о которых он говорил выше, выглядит рутинно, а значит, они могут и должны быть автоматизированы. Когда это сделано и проверено, вендор ставит перед собой задачу помочь клиенту перенять и использовать его экспертизу. В MaxPatrol SIEM это реализовано в рамках технической поддержки разных источников информации, в виде единой платформы для множества классов решений, встроенного полноценного Asset Management решения и механизмов адаптации к изменяющейся инфраструктуре. Благодаря такому подходу не требуется постоянно дергать команду экспертов, люди не становятся «рабами лампы» и занимаются тем, что действительно повышает уровень обеспечения информационной безопасности организации.

Предпосылки к проектам

После выступления разработчика слово перешло к практикам: Игорю Писаренко, начальнику отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ24, и Владимиру Шикину, заместителю директора по маркетингу Национального бюро кредитных историй (НБКИ).

Василий Окулесский, представляя Игоря Писаренко и его презентацию «Предпосылки к внедрению SIEM-систем», охарактеризовал его как руководителя отдела методологии, который определяет, что и как должно быть. Поэтому докладчик сконцентрировался на некоторых академических, по его словам, вопросах, а именно на том, какие предпосылки существуют на сегодняшний день для внедрения SIEM-систем.