Вопрос выбора оптимальной SIEM-системы по-прежнему актуален. Участники эфира AM Live поделились мнениями о том, как оптимально решить эту задачу, а также обсудили нетипичные сценарии использования решений данного класса и поговорили об их ближайшем будущем.
- Введение
- Главное — не EPS, а результат
- Спор о коннекторах
- Особенности управления данными в SIEM
- Удобство, эргономика, автоматизация
- Запрос на интеграции и укрупнение как фактор роста зрелости
- Нетипичные сценарии использования SIEM
- Перспективы российского рынка SIEM
- Выводы
Введение
Выбрать оптимальную SIEM по-прежнему трудно. Этому мешает высокая вариативность, которая со временем не снижается, а продолжает расти. Плюс ко всему, многие аспекты выбора систем данного класса отличаются большим количеством нюансов.
Рисунок 1. Участники эфира в студии AM Live
В качестве экспертов были приглашены:
- Игорь Таланкин, старший инженер по информационной безопасности, «Лаборатория Касперского».
- Максим Жевнерев, руководитель отдела развития технологий и перспективных услуг SOC, ГК «Солар».
- Дмитрий Горохов, эксперт, Security Vision.
- Григорий Ревенко, директор центра экспертизы, R-Vision.
- Максим Степченков, совладелец компании RuSIEM.
- Сергей Поляков, совладелец компании САВРУС.
- Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies.
Вёл дискуссию генеральный директор «АМ Медиа» Илья Шабанов.
Главное — не EPS, а результат
Одним из ключевых параметров при выборе SIEM-системы является производительность, которая оценивается по тому, сколько событий в секунду (EPS) может обрабатывать то или иное решение. Но тут есть много нюансов и маркетингового лукавства вендоров.
Совладелец RuSIEM Максим Степченков
Максим Степченков:
— У разных пользователей даже из схожих бизнесов с почти идентичными ИТ-инфраструктурами могут быть разные потребности. Применительно к SIEM это выражается в разных запросах по количеству объектов и глубине логирования. Тут основным фактором является способность аналитиков обработать этот поток данных. Особенно много сложностей добавляет логирование бизнес-систем, которые генерируют даже не в разы, а на порядки, в сотни и тысячи раз больше событий, чем системное ПО или средства защиты. Под обработку объёмов и производится сайзинг SIEM, c поправками на всплески во время возможных атак.
Дмитрий Горохов отметил, что помочь выделить в инфраструктуре заказчика зону, где необходимо развернуть SIEM, поможет аудит, проведённый вендором или интегратором при участии вендора.
Руководитель отдела развития технологий и перспективных услуг SOC ГК «Солар» Максим Жевнерев
Максим Жевнерев:
— Комфортная производительность достигается при обработке количества событий, которое в 10 раз меньше заявленной вендором производительности SIEM-системы. Надо иметь в виду, что горизонтальное масштабирование будет весьма и весьма проблемным. Камнем преткновения обычно является модуль корреляции.
При недостатке производительности возникают задержки и сбои в работе. События могут и вовсе не обрабатываться системой.
Руководитель продукта MaxPatrol SIEM (Positive Technologies) Иван Прохоров
Иван Прохоров:
— Главное — не EPS, а достигнутый результат. Необходимо определить область и источники данных для мониторинга, а также ту нежелательную активность, которую стоит отслеживать. Только после этого нужно приступать к подсчёту производительности SIEM.
Старший инженер по информационной безопасности «Лаборатории Касперского» Игорь Таланкин
Игорь Таланкин:
— Современные SIEM являются модульными. Многие из них позволяют легко масштабироваться за счёт применения технологий контейнеризации.
Игорь Таланкин также обратил внимание на то, что российские SIEM не имеют багажа унаследованного кода — в отличие от лидирующих зарубежных продуктов с громкими именами, для которых переход на новые технологии может оказаться очень болезненным.
Совладелец компании САВРУС Сергей Поляков
Сергей Поляков:
— Вынос модуля корреляции на выделенный сервер и оптимизация правил позволяют существенно повысить производительность SIEM-системы без дополнительных вычислительных ресурсов.
Директор центра экспертизы R-Vision Григорий Ревенко
Григорий Ревенко:
— Использование технологий частного облака позволит при необходимости выделить необходимые ресурсы для работы SIEM-системы или её отдельных модулей, в том числе за счёт других систем.
Максим Степченков напомнил, что в ряде случаев более важным, чем производительность, фактором являются условия лицензирования. Некоторые продукты подорожали за последние несколько лет в четыре-пять раз, что даже становилось предметом недовольства регуляторов.
По мнению зрителей, принявших участие в первом опросе аудитории, в 2024 году основным критерием выбора остаётся цена (рис. 2). Значимость остальных факторов, за исключением количества коннекторов, заметно снизилась по сравнению с 2023 годом. Иван Прохоров при этом обратил внимание на то, что важна не столько цена продукта, сколько общая стоимость владения. Например, необходимо учитывать доступность и цену оборудования.
Рисунок 2. Основные факторы выбора SIEM-систем
Спор о коннекторах
Вопрос о том, как быстро вендор готов подключить к SIEM-системе новые источники, вызвал весьма острую дискуссию.
По мнению Игоря Таланкина, на решение такой задачи требуется минимум две недели. Максим Степченков назвал этот срок сильно завышенным и добавил, что многие заказчики могут справиться своими силами, тем более что все системы, имеющиеся на рынке, это позволяют.
Эксперт Security Vision Дмитрий Горохов
Дмитрий Горохов:
— Заказчик очень часто неготов делиться информацией о том, что происходит в его инфраструктуре; это создаёт проблемы с технической поддержкой и касается не только разработки новых коннекторов. Следствием ситуации является растягивание сроков решения проблем и появление новых рисков. При этом создавать коннекторы самостоятельно заказчики, как правило, не могут, у них нет необходимых специалистов. Эту задачу может решить только вендор.
Иван Прохоров заявил, что решение задачи очень сильно зависит от природы источника. Он привёл в пример проприетарные промышленные протоколы, многие из которых плохо документированы. В таком случае разработка коннектора становится весьма трудоёмкой задачей.
Григорий Ревенко обратил внимание на то, что полный цикл разработки коннектора включает в себя создание не только парсера, но и правил корреляции, а также документации. Все эти задачи чрезвычайно трудоёмки, и их решение, по оценке эксперта, может занимать даже не недели, а месяцы — тем более что документация по источникам данных, интересующих заказчиков, далеко не всегда полна. Кроме того, необходимо оптимизировать правила корреляции, иначе они будут работать медленно. Для этого полезны инструменты бенчмаркинга.
Максим Жевнерев назвал парсер без правил корреляции (хотя бы их базового набора) абсолютно бесполезным для заказчика. Минимальный срок их разработки спикер оценил в две-три недели.
По мнению Ильи Шабанова, вопрос разработки коннекторов очень важен, особенно для перспективных внешних рынков.
Особенности управления данными в SIEM
Все участники дискуссии сошлись во мнении, что SIEM являются аналитическими системами и для их корректного функционирования нужно обеспечить полноту и качество данных. Это является непростой задачей. Тем не менее, как отметил Игорь Таланкин, есть примеры успешных проектов, где в ходе внедрения SIEM использовались подходы по управлению данными.
Григорий Ревенко обратил внимание на то, что если в 2023 году большинство пользователей не удовлетворяла работа правил корреляции «из коробки», то в 2024 году как минимум половину она уже устраивала. По мнению спикера, именно проблемы с тем, чтобы привести данные к общему знаменателю, являются основным препятствием, которое приходится преодолевать в ходе проектов по внедрению SIEM. Особенно часто они возникают при передаче данных в модуль корреляции. Эксперт назвал успешную реализацию управления данными для SIEM частным случаем Data Governance, причём решение такой задачи находится в компетенции скорее ИТ, чем ИБ.
Иван Прохоров назвал наиболее сложной проблемой контроль данных и обеспечение их качества. Однако их нормализация — задача в целом решённая в большинстве систем.
Максим Степченков отметил, что многие SIEM требуют организации полноценного озера данных (Data Lake), работающего по тем же принципам, что и для бизнес-систем. Однако это — сложное решение, что к тому же усугубляется нестандартным представлением данных во многих источниках.
Максим Жевнерев заявил, что для правильной обработки событий нужны сведения об источниках и ИТ-активах, иначе коррелятор не будет работать как следует. При этом подходы к сбору данных у разных SIEM различаются, иногда кардинально. Особо спикер выделил молодые продукты, которые чаще остальных используют различные нестандартные подходы, но при этом у них может не быть ряда важных для заказчиков функций.
Удобство, эргономика, автоматизация
Удобство работы является одним из важных факторов выбора SIEM-системы. Однако всяческого рода «красивости», которые эффектно выглядят, не означают, что работа с системой будет действительно удобной.
Сергей Поляков обратил внимание на то, что многие средства визуализации, которые часто очень эффектно смотрятся при демонстрации продукта, оказываются в итоге невостребованными.
Игорь Таланкин отметил, что эргономика интерфейса важнее его простоты — особенно если вендор использует явные излишества.
Максим Степченков призвал к большой осторожности при смене интерфейса. Этот процесс, как он подчеркнул, должен проходить при участии не просто представителей заказчика, а именно тех, кто будет реально эксплуатировать систему.
По мнению Ивана Прохорова, об автоматизации надо думать на самых ранних стадиях внедрения SIEM, на этапе определения источников событий. По его мнению, инструменты с большими языковыми моделями вполне пригодны для разработки правил. Однако применение искусственного интеллекта в детектировании угроз, не говоря уже о принятии решений, — дело будущего.
Максим Жевнерев назвал автоматизацию рутины одной из тех функций, которую пользователям хотелось бы видеть, однако пока её реализация находится на уровне экспериментов. Реально, по его оценке, работают только те инструменты, которые направлены на определение источников и контроль качества данных.
Григорий Ревенко назвал одним из препятствий для внедрения высокоавтоматизированных инструментов с использованием искусственного интеллекта и машинного обучения их высокие требования к вычислительным ресурсам. В итоге на их внедрение часто не решаются те заказчики, которые такими мощностями не располагают. По мнению спикера, при эксплуатации SIEM вполне работоспособны решения аналогичные RPA. Также, по его оценке, есть работающие средства нормализации данных.
Как показал второй опрос зрителей, по сравнению с 2023 годом заметно вырос запрос на включение функций связанных с разведкой киберугроз (рис. 3).
Рисунок 3. В развитие каких функций стоит вкладываться российским вендорам SIEM?
Запрос на интеграции и укрупнение как фактор роста зрелости
Максим Степченков назвал востребованность расширенных функций следствием общего повышения зрелости рынка. Илья Шабанов, сославшись на исследования, назвал тенденцией 2024 года запрос на интеграцию с системами разведки киберугроз (Threat Intelligence) и расширение функций по реагированию на инциденты.
Сергей Поляков назвал интеграцию одним из способов повысить полноту и качество данных. Поэтому, на его взгляд, данная тенденция полезна.
Максим Жевнерев при этом отметил, что инструментарий для Threat Intelligence на базовом уровне есть практически в любой SIEM. Интеграцию с системами управления уязвимостями он оценил неоднозначно: в ряде случаев, когда атакующие используют неизвестную уязвимость, которая не попала в соответствующие базы, такая интеграция усложняет локализацию и устранение проблем. Но в целом эксперт назвал интеграцию полезной: она позволяет устранить фрагментацию данных.
Григорий Ревенко согласился с тем, что есть явная тенденция на укрупнение функций SIEM. Среди прочих появляются такие функции, которые характерны для SOAR-систем. Интеграция со внешними источниками данных Threat Intelligence или включение соответствующих функций в штатный набор также, по его мнению, встречаются всё чаще. Запрос этот появляется по мере расширения опыта работы в SIEM, по принципу «аппетит приходит во время еды».
По мнению Ивана Прохорова, всё это является частью общей тенденции к развитию экосистемности и возможности интеграции всего со всем. Кроме того, интеграция разных систем позволяет получать более подробную информацию о различных активах, что ускоряет процесс принятия решений. Однако спикер обратил внимание на то, что не все интеграции, которые виделись перспективными, «взлетели».
В качестве примера он привёл системы поведенческого анализа (UBA / UEBA), которые показали очень низкое качество детектирования. Впрочем, Positive Technologies продолжает попытки применить инструменты поведенческого анализа для других задач, в частности — тестирования качества правил, выявления неизвестных атак и сложных угроз с учётом контекста тех или иных действий, которые могут оказаться как легитимными, так и нет.
Григорий Ревенко отметил, что сочетание технологий поведенческого анализа и машинного обучения даёт хорошие результаты. Что касается интеграции с системами управления уязвимостями, то она позволяет приоритизировать их устранение, что полезно.
По результатам третьего опроса аудитории, наибольший интерес у заказчиков вызывают такие сценарии применения SIEM, как интеграция с SOAR и использование машинного обучения для повышения качества детектирования (рис. 4). По мнению Максима Степченкова, полученные результаты наглядно показывают потребность в аналитических инструментах, что является прямым следствием кадрового дефицита.
Рисунок 4. Наиболее интересные сценарии использования SIEM-систем
Нетипичные сценарии использования SIEM
На различного рода форумах всегда вызывают большой интерес нетипичные сценарии использования разного рода инструментов. Не стали исключением и SIEM.
По мнению Сергея Полякова, запрос на нестандартное применение SIEM бывает, но редко. Он привёл в пример одного из заказчиков, который хотел за счёт интеграции с некоторыми смежными системами создать механизм контроля персонала с мониторингом действий сотрудников, в том числе ошибочных.
Максим Степченков назвал такое решение нерациональным: применение специализированных систем вроде StaffCop или «Стахановец» эту проблему решает проще, быстрее и дешевле. В качестве наиболее распространённого примера нетипичного применения SIEM он упомянул мониторинг причин отказа от покупок на сайтах интернет-магазинов и маркетплейсов. Есть также примеры использования аналитических функций SIEM в медицине, но они единичны. Вопрос, по его мнению, сводится к сложности подключения тех или иных источников и разработки правил корреляции.
По мнению Григория Ревенко, SIEM можно использовать для контроля состояния элементов ИТ-инфраструктуры, но при условии подключения дополнительных источников и разработки соответствующих правил. При этом всё равно нельзя рассчитывать на то, что система будет реагировать на какие-то критические изменения тех или иных параметров в настоящем времени. Однако, как подчеркнул Григорий Ревенко, SIEM как источник данных может помочь ответить на многие вопросы — в частности, почему люди отказываются от покупок.
Как отметил Иван Прохоров, SIEM вполне можно использовать для мониторинга промышленной инфраструктуры, в частности АСУ ТП и технологических сетей. Вопрос — в том, как организовать сбор данных так, чтобы это не влияло на нормальную работу.
Генеральный директор «АМ Медиа» Илья Шабанов
Илья Шабанов:
— Многие попытки нетипичного использования SIEM живо напоминают старый мем о том, что можно сделать троллейбус из буханки хлеба, вязальных спиц и прочих подручных материалов. Вопрос лишь в том, зачем это нужно.
Перспективы российского рынка SIEM
Участники дискуссии пришли к единодушному выводу, что к SIEM из облака отечественный рынок пока не готов. В основном это характеризует потенциальных потребителей, никаких технологических сложностей нет.
Наибольший оптимизм выразил Максим Степченков. По его оценке, росту популярности SIEM в виде облачной услуги будут способствовать дефицит кадров и проблемы с поставками оборудования.
Григорий Ревенко в качестве основных тенденций назвал расширение и укрупнение функций SIEM. Также, по его мнению, будет усиливаться тенденция к разделению на подсистемы сбора данных и корреляции, а также к совместному использованию SIEM со стороны ИТ и ИБ.
Дмитрий Горохов и Игорь Таланкин назвали тенденцией переход к экосистемности. Иван Прохоров добавил к этому усиление интеграции с другими системами, позволяющее рассчитывать на рост результативности.
Максим Степченков ожидает также роста быстродействия SIEM за счёт применения технологий сжатия данных. По его оценке, развитие экосистем в краткосрочной перспективе будет вполне активным, но затем резко возникнет разочарование. Также спикер спрогнозировал рост интереса к SIEM с открытым кодом (или наиболее дешёвым среди коммерческих), даже со стороны весьма крупных заказчиков.
Результаты итогового опроса (рис. 5) показали аномальное количество тех, кто ничего не понял. Илья Шабанов связал это с тем, что зрители получили большой объём новой информации, которая требует осмысления.
Рисунок 5. Отношение к российским SIEM после эфира
Выводы
SIEM-системы продолжают совершенствоваться. По мнению экспертов, основным вектором их развития станет повышение функциональности и уровня интеграции с другими инструментами ИТ и ИБ.
Что касается нетипичных сценариев использования, то они есть, но интересуются ими нечасто. Реализовывать их оказывается сложнее и дороже, а результативность они дают меньшую, чем при использовании специально разработанных под ту или иную задачу инструментов.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.
