Надо вспомнить, что именно лет 20 назад было автоматизировано в банках и от каких угроз эту инфраструктуру необходимо было защищать. В большинстве случаев хватало некого решения, которое обобщенно называлось антивирусом. Если оно было снабжено единой консолью управления, которая имела обратную связь с конечными устройствами, где было установлено агентское антивирусное ПО, то с современной точки зрения, такое решение вполне можно было бы назвать SIEM и даже с натяжкой SOC (операционным центром информационной безопасности). Ведь это было полноценное менеджерское решение с замкнутым циклом управления, функционирующее в рамках модели угроз, характерных для того времени.

С тех пор изменилось очень многое. В digital-реальности, в том числе в digital-банкинге, едва ли не основную ценность приобретают данные. Компании зарабатывают прибыль путем их коммерциализации. Поэтому фокус ИБ сместился с защиты периметра на комплексную real-time и превентивную защиту данных, где бы они ни находились в мобильной реальности. Это совершенной иной вызов, изменяющий саму философию обеспечения информационной безопасности: из запретительного и ограничительного элемента банковского бизнеса ИБ постепенно трансформируется в компонент, привносящий в банкинг собственную, дополнительную клиентскую ценность.

Технология SIEM здесь имеет уже совсем другое наполнение. Со временем в ней появились корреляция событий и выявление инцидентов. Каждый производитель старается дополнить функционал системы вспомогательными функциями, такими как управление уязвимостями и рисками, поиск аномалий в сетевых протоколах, формирование списков зараженных IP-адресов и т.д. Даже DLP-решения (технологии предотвращения утечек конфиденциальной информации из информационной системы вовне) становятся компонентом SIEM-решений или работают с ней в тесной связке.

Модератор первой секции конференции, начальник управления безопасности НСПК Василий Окулесский, задавая тон дискуссии, говорил обо всем этом. Кроме того, он призвал собравшихся не смешивать в одну кучу существующие сегодня многочисленные точки зрения на суть SIEM: для одних — это философия, для других — удобный инструмент, для третьих — модный тренд, для остальных — это то, что можно и нужно продать потенциальному заказчику.

Модератор первой секции конференции, начальник управления безопасности НСПК Василий Окулесский и Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies

Вместо всего этого он предложил разобраться в вопросе: можно ли построить «правильную» SIEM без наличия модели угроз, а также без четкого понимания со стороны бизнеса, что именно представляет для него ценность, а потому что он хочет защитить.

Позитивное начало

Первым с докладом «Что нам стоит SOC построить? SIEM для людей или люди для обслуживания SIEM» выступил Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies, сделавший основной акцент на кадрах. Не создано еще ни одной SIEM-системы, которую можно было бы внедрить и сопровождать без самого активного участия специалистов.

Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies

Очень часто дополнительные проблемы этим специалистам по внедрению создают, как ни удивительно, сами заказчики. Как известно, для создания сложной IT-системы (будь то ERP, АБС или SIEM) организация и ее топ-менеджмент должны в прямом смысле слова «созреть». Прежде всего это касается наведения порядка во внутренних бизнес-процессах, выявлении наиболее приоритетных для бизнеса задач и определения допустимых затрат на защиту. Без этого невозможно оценить эффект от внедрения решения, а именно этого в итоге потребует топ-менеджмент организации — руководители IT- и ИБ-служб.

Рынок SIEM в России все еще формируется, и, пока не установлены жесткие критерии и требования к системам в каждом проекте, необходимо проводить достаточно серьезную и скрупулезную работу по выявлению и анализу требований потребителя. Именно возможность выполнения этой работы и заинтересованность в ней на российском рынке выгодно отличает компании с серьезным «локальным» присутствием (в первую очередь, естественно, российские).

Реализацию таких проектов специалистам Positive Technologies нередко приходится начинать с разбора информационного хаоса, существующего в компаниях, и работы с требованиями (иногда противоречивыми) нескольких департаментов. Масштабы проблем можно оценить, например, по результатам расследуемых инцидентов ИБ, выявляемых на этапе анализа состояния информационной системы. Выясняется, что, даже особенно не скрывая следов, злоумышленники могут присутствовать в IT-системах в течение несколько лет. Выявленный рекорд подобного рода — семь лет!

SIEM, будучи единой точкой контроля ИБ и работы средств защиты информации, глубоко интегрированной в IT-инфраструктуру банка, требует унификации поступающей в нее информации и ее перекрестного анализа в едином интерфейсе. Достаточно простая формулировка на практике оборачивается сложной проектной работой, которая может постоянно требовать все новых и новых ресурсов, прежде всего человеческих. Для эффективного решения этой задачи и снижения издержек в дело пойдут и автоматическое наполнение базы знаний SIEM, и наработанные практики команды внедрения.

Для собранных данных требуются классификация и упорядочивание, а также интеграция средств инвентаризации с SIEM. После этого необходимо «наложить» IT-инфраструктуру на организационную структуру бизнеса, провести так называемый мэппинг. После этого заканчивается этап внедрения и начинается жизнь системы.

И вот тут-то выясняется, что инфраструктура постоянно изменяется, развивается в соответствии с потребностями бизнеса! Необходимы мониторинг задач по сбору данных, настройка задач сбора c новых устройств, постоянная адаптация задач под изменяющиеся условия и изменение правил корреляции событий. Если ничего этого не делать, то через пару лет SIEM придется внедрять повторно, так как контекст работы системы полностью утратится. По разным оценкам такая ситуация встречается в 70–90% случаев. Издержки на поддержку настроек SIEM в актуальном состоянии неизбежны, но стоит отметить, что в ходе этих работ выявляются и могут быть решены многие задачи инвентаризации и управления уязвимостями.

Кроме того, «выясняется», что SIEM может быть полезна не только для сбора логов. Она могла бы помочь и в анализе конфигурации информационной системы: из хранилища SIEM можно извлечь информацию, которая позволяет разобраться, какое именно ПО установлено в банке, какие версии, когда и какие были обновления. Все это нужно, например, для системного выстраивания процесса управления уязвимостями (Vulnerability management), управления активами и конфигурациями (Asset и Configuration management).

С одной стороны, SIEM-система необходима для управления множеством процессов IT и ИБ, а с другой — она, безусловно, потребует привлечения некоторого числа дополнительных специалистов. Очевидное преимущество инвестиции в персонал при внедрении и развитии SIEM заключается в том, что результаты работы сотрудников накапливаются в виде конфигураций и правил SIEM. Это и есть качественное изменение: помимо рутинного процесса обслуживания операционные расходы начинают приносить эффект «накопления» практик безопасности в автоматизированной системе.

В качестве резюме своего выступления Владимир Бенгин сделал вывод: большинство задач команды, о которых он говорил выше, выглядит рутинно, а значит, они могут и должны быть автоматизированы. Когда это сделано и проверено, вендор ставит перед собой задачу помочь клиенту перенять и использовать его экспертизу. В MaxPatrol SIEM это реализовано в рамках технической поддержки разных источников информации, в виде единой платформы для множества классов решений, встроенного полноценного Asset Management решения и механизмов адаптации к изменяющейся инфраструктуре. Благодаря такому подходу не требуется постоянно дергать команду экспертов, люди не становятся «рабами лампы» и занимаются тем, что действительно повышает уровень обеспечения информационной безопасности организации.

Предпосылки к проектам

После выступления разработчика слово перешло к практикам: Игорю Писаренко, начальнику отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ24, и Владимиру Шикину, заместителю директора по маркетингу Национального бюро кредитных историй (НБКИ).

Василий Окулесский, представляя Игоря Писаренко и его презентацию «Предпосылки к внедрению SIEM-систем», охарактеризовал его как руководителя отдела методологии, который определяет, что и как должно быть. Поэтому докладчик сконцентрировался на некоторых академических, по его словам, вопросах, а именно на том, какие предпосылки существуют на сегодняшний день для внедрения SIEM-систем.

Игорь Писаренко, начальник отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ24

По его словам, сам термин SIEM, вошедший в обиход с легкой руки аналитиков Gartner, представляет собой довольно сложный симбиоз существовавших ранее решений: «управление информационной безопасностью» (SIM) и «управление событиями безопасности» (SEM). Соответственно сегодня под SIEM понимают системы, обеспечивающие сбор, корреляцию, хранение и анализ событий ИБ, поступающих из разных источников в корпоративной сети. На выходе — сообщение (и, возможно, рекомендации) офицеру службы безопасности о том, что произошло некое очень подозрительное событие, которое требует соответствующего вмешательства. На основании этого определения выступающий причислил себя к сторонникам того мнения, что SIEM — это инструмент обеспечения ИБ. А раз так, инструмент должен быть универсальным и гибким. Поэтому абсолютно оправдана практика, при которой к традиционным источникам событий — операционным системам, промежуточному слою ПО и т.д. — могут быть добавлены те данные, которые поступают из систем контроля и управления доступом (СКУД) и других средств обеспечения физической безопасности банка. Однако при этом объем поступающих и обрабатываемых данных становится колоссальным, поэтому выделить из этого океана информации именно то, что имеет для безопасности бизнеса значение с точки зрения его модели угроз, крайне сложно, но результат того стоит.

Это происходит в несколько этапов: сначала фильтрация, нормализация и агрегирование миллионов сообщений, в результате чего на вход второго узла попадают уже всего тысячи сообщений в той форме, которая пригодна для машинного анализа. Затем происходит процесс поиска корреляций. Это, очевидно, самый сложный этап, потому что правила, по которым машина ищет совпадения, различаются от банка к банку. Что-то поступает от разработчика «из коробки», но далеко не все, поэтому настроить правила для выявления, например, таргетированных атак — дело самого банка: модель угроз-то его!

Таким образом, по словам Игоря Писаренко, современные SIEM-системы представляют собой мощный инструмент защиты информации, позволяющий выявлять большой спектр угроз. Зная сильные и слабые стороны SIEM, можно выделить ряд предпосылок для внедрения решения подобного класса в банке:

• сложность IT-структуры организации и потребность в сборе и обработке значительного количества событий ИБ для выявления соответствующих инцидентов;
• автоматизация процесса обработки значительных объемов поступающих из различных источников событий ИБ, избавление от монотонной и рутинной работы, к тому же с большой вероятностью пропуска важной информации;
• централизация процесса управления ИБ, необходимость хранить в одном месте всю информацию, иметь возможность оперативного доступа к ней для анализа и реагирования на инциденты ИБ;
• построение центра управления информационной безопасностью (SOC) на основе SIEM-системы;
• усложнение инцидентов информационной безопасности (скрытность, распределенность, целевая направленность);
• дополнительный функционал современных SIEM-систем, позволяющий расширить сферу их использования (управление рисками ИБ, оценка угроз ИБ);
• визуализация процесса управления инцидентами ИБ, построение отчетов, предоставление необходимой информации, сбор и анализ статистики по инцидентам ИБ;
• соответствие требованиям регуляторов в области ИБ (PCI DSS, ISO 27002 и т.п.);
• «активность» службы ИБ, желание развивать систему обеспечения ИБ;
• финансовая «возможность» организации и закупки SIEM-системы.

Владимир Шикин продолжил тему с докладом «Кредитное мошенничество: размер проблемы и способы ее решения». Забегая вперед, отметим, что на заданный им аудитории вопрос: «выстроил НБКИ SIEM-систему или нет?», в конце презентации дал сам Василий Окулесский. По его словам, это нечто большее, чем SIEM или даже SOC. Это целый бизнес, основанный на технологиях SIEM. Ведь речь идет не столько о выявлении тех или иных угроз, сколько о межбанковском сервисе, основанном на правилах, и не требующем никаких доработок на стороне банка-партнера.

Владимир Шикин, заместитель директора по маркетингу НБКИ

Кроме рассказа об особенностях внутренней архитектуры, основанной на решении Fraud Score от компании FICO, Владмир Шикин сделал акцент еще на том, что, если банк с помощью своей собственной SIEM способен вычислить только действия кредитных мошенников, то он беззащитен от других угроз, идущих извне. Индустриальный межплатформенный подход снижает эти риски. Поэтому, чем больше в системе участников, тем больше информации удается собрать: порой отдельное действие мошенников крайне трудно признать противоправным. Точно классифицировать его можно только по совокупности всех фактов.

Зачем вам SIEM

Во второй части конференции в качестве модератора выступил известный эксперт в области конкурентной разведки, кавалер ордена «Звезда Славы Отечества», президент консорциума «Инфорус» Андрей Масалович. Его — знатока того, как выглядят корпоративные информационные системы глазами хакеров — особенно интересовали вопросы: зачем вам SIEM? Есть ли им альтернатива? Как перейти к общих слов к делу?

Поэтому, Павел Нагин, менеджер отдела информационной безопасности Райффайзенбанка, в своем выступлении «SIEM и фрод-мониторинг транзакций, подобно Владмиру Шикину говорил о предельно понятных и измеримых с точки зрения ИБ и бизнеса вещах. Начал он с того, что в России как грабили банки, так и продолжают это делать. Поэтому, чтобы понять масштабы вызовов, он привел данные из «Обзора о несанкционированных переводах денежных средств» от ЦБ по итогам 2015 года.

Динамика количества и объема несанкционированных операций, совершенных с использованием систем ДБО

Источник: ЦБ, 2015 год

Числа на графике говорят сами за себя, поэтому Павлу Нагину было что ответить на вопрос модератора: «Зачем?». По его словам, SIEM необходима для минимизации потерь от мошеннических транзакций в системах ДБО путем:

• своевременного выявления фродовых транзакций и приостановления их обработки;
• минимизации ложных срабатываний (False Positive);
• предоставления оператору SIEM дополнительной информации для принятия решения.

Современный банк не имеет права быть безучастным к попыткам хищения денег, он обязан предотвращать подобные угрозы. Кроме того, вполне ожидаемая ситуация, судя по представленному графику, что регулятор в недалеком будущем изменит правила игры и переложит риски потери денег клиентом на банк. Поэтому построение SIEM сегодня — это выгодные инвестиции в будущее, причем такие, которые позволят соблюсти баланс между удобством работы, доходностью банкинга и достижением определенных уровней ИБ.

Следующий докладчик, Александр Кузнецов, руководитель направления ИБ в НТЦ «Вулкан», презентовал собравшимся доклад «Отчетность SIEM — шашечки или ехать?». Такое витиеватое название, было адресовано тем, кто разрабатывает и сопровождает системы для топ-менеджеров и владельцев бизнес-процессов. Эти люди мыслят совершенно иными категориями, нежели представители IT и ИБ, они привыкли потреблять информацию во вполне определенных форматах. Поэтому докладчик задался вопросами: почему эти данные важны? Как дальше их использовать? Что они позволят улучшить? На поставленные вопросы он сам же детально ответил. Современные BI-решения в связке с SIEM позволяют легко обеспечить ориентированность отчета на конкретного потребителя, соблюсти баланс презентабельности и содержания и приоритизировать результаты работы.

Одним из ключей к успешному своевременному выявлению и полноценному расследованию инцидентов информационной безопасности является обеспечение подотчетности. С учетом масштабов современных IT-инфраструктур попытки сделать это «точечно» или «вручную» обречены на провал. Все это позволяет менеджерам «работать с отчетами», а не получать красивые, но бесполезные графики.

Евгений Матюшенок, заместитель коммерческого директора SearchInform, в докладе «Просто о сложном: SIEM для отдела информационной безопасности» рассказал о том, как компания SearchInform, будучи известным в России производителем решений класса DLP, пришла на рынок SIEM. По словам эксперта, в совокупности эти две системы способны практически на 100% закрыть весь спектр внутренних угроз банка, дополняя друг друга и базируясь на общих компонентах, что удешевляет решение. А это крайне важно, учитывая цены на продукты, о которых ранее много спорили на панельных дискуссиях.

Но не только это является изюминкой нового продукта от SearchInform. Успехи работы на смежном с ИБ сегменте рынка — DLP — дали колоссальный клиентский опыт, что позволило создать набор правил корреляции «из коробки», который значительно упрощает внедрение и «закрывает» наиболее распространенные у нас в стране проблемы с ИБ, например выявление «мертвых душ». Так обычно называют действующие учетные записи сотрудников, покинувших банк, которые являются одним из самых действенных «ключей» для входа в информационные системы для злоумышленников.

Замкнул список выступающих второй секции Сергей Добриднюк, директор по исследованиям и инновациям компании «Диасофт Системы». Начал он свой доклад «Поддержка технологий SIEM со стороны разработчика автоматизированных банковских систем. Лучшие практики» с анализа нормативной базы для обеспечения информационной безопасности банковской системы. По его словам, во многом благодаря усилиям регулятора уровень автоматизации отечественных банков и степень обеспечения в них должного уровня информационной безопасности не уступают соответствующим показателям других стран, в чем ему регулярно удается лично убедиться, бывая в командировках.

Сергей Добриднюк, директор по исследованиям и инновациям компании «Диасофт Системы»

Но самое страшное в этих условиях банкирам, как и разработчикам почить на лаврах и считать, что все идет хорошо. Анализ статистики 2015 года показывает, что киберкриминал шагнул далеко вперед, и, казалось бы, неприступные ранее банковские бастионы относительно легко берутся штурмом. Не все банки, конечно, а те, где решили, что ИБ — одноразовый процесс: внедрили и забыли. По словам Сергея Добриднюка, известны примеры, когда, придя утром на работу, банкиры обнаруживали, что их корсчет пуст.

Поэтому на рубеже 2015-2016 годов пришлось серьезно переосмыслить, что происходит с безопасностью как со стороны регулятора, так и в самих банках. Но проблема отрасли состоит и в том, что более трети банков имеют убытки, а расходы на ИБ уменьшаются, сокращается высококлассный персонал. Поэтому наблюдается парадоксальная ситуация: денег все меньше, а рисков все больше. Одним из новых, но мощных вызовов, как считает эксперт, стало то, что на волне диджитализации банковская IT-инфраструктура приобретает свойство многокомпонентности, а также возможность работы через каналы с партнерами из небанковской сферы. Именно это помещает банк в новую для него, агрессивную внешнюю среду.

Таким образом, можно утверждать, что современный банк как организация переходит от клиентоцентричной концепции к датацентричной, в которой высшей ценностью являются данные о клиентах и т.п., хранящиеся в базах данных банка. Поэтому меняется и характер действий злоумышленников: от внешних взломов — ко все большему вовлечению в противоправные действия сотрудников (так называемых инсайдеров), что в целом подтверждается данными ранее выступавшего представителя SearchInform.

Компания «Диасофт», понимая сложности банкиров и учитывая характер новых рисков, выступает за то, чтобы исключить роль человеческого фактора, в том числе того человека, который по должности обязан был за тот или иной фронт работы отвечать. Поэтому кроме использования традиционных и новых средств защиты становятся едва ли не обязательными сбор информации о работе IT-систем в SIEM и использование полученных из нее сигналов в качестве обратной связи (например, человек не прошел через СКУД на входе в офис, а кто-то под его учетной записью пытается войти в сеть).

При этом, учитывая датацентричность архитектуры современных АБС, основное внимание уделяется защите баз данных и серверов приложений как наиболее атакуемых компонентов. Здесь SIEM помогает выявить попытки взлома, убрать актуальность похищенных данных, а также собрать и хранить юридически значимые улики. Учитывая все это, представитель «Диасофт» считает, что внешняя по отношению к IT-системам банка SIEM сама может стать угрозой, подвергнувшись атакам хакеров. Поэтому наступают времена, когда SIEM в банках должна быть изначально встраиваемой компонентой, разрабатываемой на базе жесткой регламентации, сертификации и стандартизации со стороны регуляторов. Кроме того, тем банкам, которые испытывают сложности с финансированием служб безопасности, стоит рассмотреть концепцию приоритизации задач, отталкиваясь от бизнес-задач и модели угроз.

В итоге

В ходе конференции состоялось три панельных дискуссии, на которых делегаты активно обсуждали значительный круг вопросов, касающихся SIEM и SOC. Наиболее жаркими и продолжительными оказались диалоги о необходимости сертификации ПО и работы с кадрами в области ИБ. «Б.О» планирует вынести их итоги в отдельный обзор, как это уже сделано с беседой между Василием Окулесским и Тимуром Аитовым, членом комитета по финансовым рынкам и кредитным организациям ТПП РФ, в которой они попытались выяснить, к какому эффекту должно привести внедрение SIEM в банках, насколько это сейчас востребовано и актуально.

Панельная дискуссия. Участники, слева направо: Владимир Шикин, заместитель директора по маркетингу НБКИ; Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies; Тимур Аитов, член комитета по финансовым рынкам и кредитным организациям ТПП РФ; Павел Нагин, менеджер отдела информационной безопасности Райффайзенбанка; Игорь Писаренко, начальник отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ24

Резюмируя, можно выделить несколько основных положений, получивших одобрение собравшихся:

1. Технологии ИБ в целом и SIEM в частности из запретительного и ограничительного элемента банковского бизнеса постепенно трансформируются в компонент, привносящий в банкинг собственную, дополнительную клиентскую ценность.
2. В digital-реальности, в тот числе в digital-банкинге, едва ли не основную ценность приобретают данные. Компании зарабатывают прибыль путем их коммерциализации. Поэтому фокус ИБ сместился с защиты периметра, на комплексную real-time и превентивную защиту данных, где бы они ни находились.
3. Как следствие детальный анализ совокупности миллионов и миллиардов событий в информационных системах банков, каждое из которых в отдельности является легитимным, позволяет буквально «вычислить» потенциальный инцидент ИБ. Именно этим и занимается SIEM.
4. Чтобы замкнуть контур управления ИБ с точки зрения менеджмента, требуется нечто большее: операционный центр информационной безопасности (SOC). Говоря о SOC, банкиры прежде всего подразумевают новые технологии и методы управления, которые позволяют значительно повысить эффективность противодействия информационным угрозам как сегодняшнего, так и завтрашнего дня.
5. SIEM в совокупности с системой предотвращения утечек конфиденциальной информации из информационной системы вовне (Data Leak Prevention, DLP) позволяет практически полностью закрыть внутренние ИБ-угрозы банка. Поэтому виден тренд, когда производители DLP-систем выходят на рынок SIEM и предлагают интегрированные решения.
6. Поскольку на рынке пока так и не сформовалось общее мнение о том, где и кому реально нужна SIEM, чтобы это было не ради моды, велика доля неудачных внедрений или вывода системы из эксплуатации в первый-второй год. Эта доля по разным оценкам составляет 70–90%.
7. SIEM (не говоря уже о SOC) — это дорогой продукт. Поэтому предпринимается масса попыток сделать его коробочным, не требующим длительного внедрения, а также вывести часть функционала на аутсорсинг или в облако по модели SaaS.
8. Ключевым компонентом системы являет набор правил корреляций, отражающих информацию о наборах связок «угроза — риск», которые присущи конкретному банку. Поэтому крайне важны вовлечение заказчика а работу на этапе подготовки внедрения, а также в последующее поддержание правил и политик в актуальном состоянии. Этим занимаются высококлассные специалисты, которых на рынке крайне мало. Поэтому все чаще речь идет о применении элементов искусственного интеллекта в сочетании с технологиями BigData.