— Максим, какие данные необходимо собирать для SIEM?

— Давайте для начала разберемся с вопросом: зачем нам собирать данные? Тогда будет понятно, какая конкретно информация нам нужна. SIEM (Security Information and Event Management) — это решение для мониторинга и анализа всей активности, происходящей в организации. Мониторинг проводится для выявления и защиты от угроз информационной безопасности — активных атак, попыток заражения, внутренних неправомочных действий и т.д. При получении новых данных SIEM применяет к ним различные правила, соотносит события из разных источников между собой (устанавливает корреляцию), сравнивает с историческими данными и в результате позволяет построить цельную картину текущей угрозы, выявить все задействованные узлы и при необходимости обогатить эту информацию данными из других источников.

Исходя из этого понятно, что собирать необходимо все данные: сетевые события, события их различных решений ИБ, рабочих станций, информационных систем и со всего, что может быть важно.

Необходимо обратить внимание еще на два обстоятельства. Во-первых, для службы ИБ информация, которая неактуальна здесь и сейчас, часто становится актуальной завтра. Никто не хочет быть атакованным и понести убытки либо потерять конфиденциальную информацию. Однако атаки случаются, и нужно быть к ним готовыми. Информация из SIEM используется при расследовании инцидентов информационной безопасности, и чем больше данных удалось собрать, тем проще и удобнее будет команде по реагированию расследовать и предотвращать повторение инцидента ИБ. Однако при этом надо учитывать тот факт, что даже организация среднего размера генерирует несколько тысяч событий в секунду, и большую часть событий необходимо хранить на протяжении полугода-года. Для этого нужны очень большие системы хранения, что сильно удорожает внедрение SIEM. А ведь на старте неизвестно, будут ли востребованы все данные из нее или нет. 

Поэтому ответ на поставленный вопрос носит индивидуальный характер. Заказчику необходимо четко понять, для чего ему хранить данные, что конкретно хранить и как именно информация будет использоваться. К примеру, можно ужимать или архивировать собираемые данные, что позволит сократить инвестиции, однако усложнит корреляцию с историческими данными. Сами события можно агрегировать или удалять часть сведений, но при этом подобные видоизмененные события невозможно использовать в качестве доказательной базы при расследовании инцидентов.

Зависит ответ и от уровня зрелости ИБ в организации. На первых этапах SIEM зачастую используется для расширения функционала существующих средств защиты информации или для сокращения трудозатрат по их мониторингу. Представьте, что у вас десятки различных решений со своими собственными консолями, и для обслуживания и сбора событий со всех этих систем вручную требуется очень много времени, а мы пока даже не говорим о корреляции между событиями и их обогащении.  

— В последнем случае можно говорить о синергетическом эффекте?

— Безусловно! За счет ИБ-мониторинга вся IT-инфраструктура может получить дополнительный функционал. Мы, к примеру, в состоянии контролировать доступность или недоступность тех или иных сервисов, которые напрямую влияют на протекание бизнес-процессов, в том числе критических.

И чем меньше сотрудников в ИБ-подразделении, тем важнее становится наличие коробочных средств мониторинга, которые можно очень быстро установить и сразу «заставить» работать, без больших трудозатрат на заведение всех источников событий, их корреляцию и настройку правил обработки событий.  При использовании некоторых SIEM-систем к этому процессу, вне зависимости от размера компании, в обязательном порядке привлекается системный интегратор. Более того, сама компания должна выделить сотрудника, отвечающего за постоянную актуализацию внутренних правил SIEM-системы.

В небольших компаниях такие вопросы, как «Обновляете ли антивирусы?», «Сколько у вас учетных записей с ролью “Администратор”?» вызывают головную боль, хотя никого в необходимости соблюдения элементарных норм цифровой гигиены убеждать не надо. А причина такой ситуации в том, что подобные операции обычно в МСБ делаются вручную, что резко увеличивает риски человеческого фактора. Поэтому синергия налицо.

— Вы рассказали о специфике, а что в SIEM универсально?

— Здесь нельзя ответить однозначно. Система начиналась с управления логами (LM, Log Management), а куда она будет двигаться, зависит именно от видения компании-вендора и конкретного рынка.  

Абсолютное большинство SIEM движется в сторону системы аналитики для ИБ. Некоторые воспринимают SIEM как систему поддержки принятия решений (корреляция событий, проверка гипотез, понимание человеческого языка (NLP), другие —как полноценную систему, принимающую решения на основании внутреннего AI-движка, в результате ее работы сотрудник получает уже обработанные данные, которым нужно доверять.

Появляется огромное количество дополнительных, надстроечных систем, для которых SIEM-системы являются входными. Это системы реагирования на инциденты ИБ, системы оркестрации, автоматизации и реагирования (SOAR), системы UBA и т.д. Или наоборот, системы, поставляющие данные киберразведки. Для SIEM подобные сторонние системы служат источником для обогащения данных информацией. Все эти классы можно объединять и добавлять функции одной системы в другие, реализуя такие «комбайны». Это дает свой плюс. 

Но надо отметить, что для компаний разного масштаба существует разная потребность во внешней информации (фидах). В крупном бизнесе они необходимы. Существует еще специфика различных SIEM-систем и модулей к ним в рамках той или иной индустрии. Например, в финансовой сфере необходим модуль PCI DSS или другие типы комплаенсов с международным и местным законодательством. К примеру, защита персональных данных в Европе — GDPR, у нас — ФЗ-152, что также накладывает некоторые ограничения. 

— Учитывая сказанное выше, как архитектурно выгодно строить SIEM?

— Не могу говорить за всех. Конечно, есть общие подходы: модульность, горизонтальная масштабируемость, удобство использования. Но все очень индивидуально и зависит от задач. Что касается RuSIEM, то мы в компании придерживаемся модульного подхода к архитектуре системы. Причем, учитывая потребности МСБ, о чем я говорил ранее, ядро RvSIEM free является свободно распространяемым решением класса LM. Оно имеет отчеты, нормализацию и поиск данных, долгосрочное хранение событий, информационные панели и инструменты визуализации.

SIEM-система должна учитывать значительное увеличение количества событий ИБ (легко масштабироваться), поддерживаться и постоянно развиваться — это не стагнирующий рынок

А вот уже RuSIEM — это коммерческая версия класса SIEM, которая включает корреляцию событий в реальном времени, удобную, а главное, настраиваемую визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами, отчеты и многое другое. 

Любой бизнес стремится идти в гору и рассчитывает на рост, и SIEM-систему нужно выбирать по этому же принципу. Она должна учитывать значительное увеличение количества событий ИБ (легко масштабироваться), поддерживаться и постоянно развиваться — это не стагнирующий рынок.  Киберпреступность постоянно развивается, и системы защиты тоже. Это гонка. Поэтому вендор SIEM должен смотреть в будущее, испытывать и внедрять новые, перспективные технологии. 

Данные, которые хранятся в SIEM-системе, очень критичны, и мы специально проектировали систему таким образом, чтобы при внезапной перезагрузке сервера, процессов или при сбоях данные не потерялись.  Корреляция осуществляется уже по нормализованным и обогащенным данным.

Также в состав коммерческой версии входит модуль RuSIEM Analytics, объединяющий как раз те самые важные на текущий момент технологии, жизнь без которых в эпоху больших данных и постоянно увеличивающейся сложности атак не представляется возможной. Туда входят AI (искусственный интеллект), DL (глубокое обучение), управление активами и многие другие функции, повышающие способность своевременно обнаруживать различные угрозы, решать многие кейсы и визуализировать данные.

Отдельно хочу заметить, что в бесплатной (коробочной) версии отсутствует интеграторская поддержка. Но при этом вокруг продукта активно формируется комьюнити. Мы всячески способствуем его развитию и даем возможности обучиться самостоятельной настройке правил подключения новых источников, написанию правил корреляции, создаем форум и т.д. Надеемся, что некоторые участники сообщества смогут разобраться в функциональных возможностях системы и будут делиться друг с другом практическими навыками.

— Какая роль в SIEM отводится AI и DL?

— Я бы немного перефразировал вопрос: «Какие технологии двигают SIEM?». AI и DL — важные драйверы развития, но не только они двигают отрасль вперед.

Например, когда мы увидели, что полноценный комплаенс стал реальной потребностью, возникли соответствующие системы и модули рядом с SIEM. Когда стало понятно, что только событий мало для поиска и необходимо обогащение, появилась нормализация. То есть функционал наращивается в зависимости от развития технологий, потребностей рынка и наших пользователей.

Что сегодня хотят клиенты? Упрощения администрирования системы! Что происходит в крупных компаниях? Количество событий 10 лет назад было огромным, сейчас оно колоссальное, а ближайшее будущее сулит десятки петабайт данных в хранилищах. 

Если мы по старинке будем продолжать писать огромное количество правил корреляции, то столкнемся с тем, что, даже написав тысячу правил, мы можем что-нибудь пропустить. А потолка количества этих правил, похоже, не существует. По этой причине главный вектор развития направлен в сторону работы с Big Data, искусственным интеллектом и систем машинного обучения. Без помощи искусственного интеллекта естественный интеллект попросту не справится.