9 советов по успешному внедрению SIEM-решений

Защита данных

Инструменты управления информацией о безопасности и событиями (SIEM) являются неотъемлемой частью системы информационной безопасности современного предприятия, но для получения максимальной пользы от SIEM-решения необходимо тщательное планирование и внедрение. В этой статье мы рассмотрим, в чем заключается преимущество SIEM-инструментов для клиентов, как использовать их максимально эффективно и как Varonis может дополнить ваши SIEM-системы.

Краткая история SIEM

Современные SIEM-решения объединяют в себе две функции: управление информацией о безопасности (SIM) и управление событиями безопасности (SEM). SIM-инструменты сосредоточены на долгосрочном сборе и хранении журналов для отслеживания динамики, в то время как SEM-инструменты осуществляют контроль в режиме реального времени и оповещают о событиях. Со временем эти категории объединились для предоставления сведений как в режиме реального времени, так и исторической информации. Кроме того, передовые SIEM-инструменты имеют ряд других функций, от анализа угроз на основе ИИ до автоматического реагирования и восстановления прав доступа к данным.

Цели, которых можно достичь благодаря SIEM-инструментам

SIEM-инструменты собирают, сопоставляют и анализируют файлы журналов устройств, приложений и конечных точек. В зависимости от содержания собранной информации SIEM-система может выполнять множество операций, в том числе:

  1. Выявление инцидентов безопасности

Выявление инцидентов является классическим вариантом использования SIEM-инструментов. Сопоставляя данные журналов из разных источников по всей организации, платформа SIEM обнаруживает многие типы инцидентов безопасности, которые нелегко обнаружить. Например, необычное повышение сетевой активности с ранее неизвестным получателем данных может быть признаком заражения или утечки информации, которые смогли обойти другие инструменты безопасности. Используя SIEM, аналитики могут легко сортировать, исследовать и реагировать на угрозы через единый пользовательский интерфейс, экономя время и повышая операционную эффективность.

  1. Соответствие требованиям

SIEM-инструменты являются бесценными для организаций с особыми требованиями. Такие регламенты, как HIPAA, GDPR и др. обычно подразумевают регулярный контроль журналов из приложений, конечных точек и устройств инфраструктуры. Например, в правилах безопасности HIPAA предусмотрено, что подчиняющаяся им организация должна “использовать оборудование, ПО и/или процедуры, позволяющие записывать и проверять активность в информационных системах, в которых содержится или используется электронная защищенная медицинская информация”. Это идеальный вариант для применения SIEM.

Многие из указанных выше регламентов также обязывают хранить данные в течение длительного периода времени и подтверждать эффективность реализованных мер безопасности. SIEM-инструменты эффективны для обеих этих задач. Большинство SIEM-систем можно настроить на хранение данных в течение года или более, однако некоторые поставщики могут взимать дополнительную плату за длительные периоды хранения. Эффективность того или иного инструмента контроля безопасности можно продемонстрировать аудиторам или регулирующим органам, а любые пробелы в соблюдении требований легко обнаруживаются и устраняются.

  1. Помощь в реагировании на инциденты безопасности

В случае утечки данных информация играет ключевую роль. Несмотря на то, что квалифицированный специалист по безопасности может определить степень утечки на основе экспертной информации на пострадавших конечных точках и сетевых устройствах, затраченное для этого время замедлит восстановление прав доступа к данным. SIEM-системы могут играть важнейшую роль на протяжении всего процесса реагирования на инциденты. Возможность открытия, сопоставления и анализа информации из тысяч различных файлов журналов по всей организации позволяет специалистам быстро оценить масштаб события, предпринять шаги по сдерживанию сохраняющихся угроз и предоставить необходимую информацию регулирующим органам или пострадавшим сторонам.

  1. Поиск угроз

Выполняя упреждающий поиск угроз внутри организации, SIEM-инструменты обеспечивают большое преимущество. Высокая степень детализации и большой объем данных, обрабатываемых SIEM-решениями, позволяют аналитикам выявлять подозрительную активность, которую пропустили используемые средства безопасности. Аналитики могут отслеживать необычную динамику, проверять журналы на наличие известного вредоносного IP-адреса или хеша файла либо проверять данные на предмет признаков тактик, методов и процедур (TTP), используемых опытными хакерами.

Системы от многих поставщиков поддерживают каналы данных об угрозах, содержащие индикаторы компрометации (IOC) для новых сложных киберугроз. Несмотря на возможные дополнительные затраты, это может быть полезно для организаций, сталкивающихся с постоянными серьезными угрозами (Advanced Persistent Threats).

  1. Отчетность и визуализация

Многие SIEM-инструменты не только отлично собирают и сопоставляют данные, но и предлагают множество вариантов их представления. Панели управления, диаграммы, графики и другие типы визуализации могут облегчить службам безопасности отображение огромных объемов информации, которые производят эти решения. Они помогут приоритизировать ключевые события и даже будут полезны в обнаружении подозрительной активности.

Возможности визуализации лучших SIEM-инструментов пригодятся не только в сфере безопасности. Руководители ИТ-отделов могут использовать эти инструменты для планирования дальнейшего роста, оценки текущих моделей и выявления областей, требующих улучшений.

9 советов по успешному внедрению SIEM-инструментов

 

SIEM-решения часто являются сложными и бывают разных видов. При внедрении могут возникнуть трудности, особенно в крупных организациях с сотнями или тысячами источников данных. Также может потребоваться серьезная помощь ваших ИТ-специалистов и экспертов по безопасности.

  1. Тщательно планируйте внедрение

Чтобы избежать добавления ненужных расходов для вашей организации, вам нужно четко осознать преимущества технологии SIEM. Необходимо сделать выбор между различными поставщиками, моделями внедрения (локально, SaaS или гибридный вариант), стратегиями укомплектования штата и т. д.

Для многих организаций может быть полезен поэтапный подход, который начинается с небольшого пилотного проекта с целью оценки коммерческой целесообразности SIEM-решения, за которым следует масштабное внедрение. Системы SIEM часто нужно настраивать вручную. Нередкими являются случаи ложного срабатывания — плохо спланированное внедрение SIEM может спровоцировать тысячи оповещений, с которыми службы безопасности не смогут справиться. При этом владельцы и руководители бизнеса должны принимать участие во всех этапах, от подготовки до внедрения.

  1. Выберите данные для контроля

В основу SIEM-инструментов заложен сбор данных из различных источников. В идеальном случае вы сможете направлять в систему огромный объем данных, но это не всегда целесообразно. Общий объем данных, которые способно обработать ваше SIEM-решение могут ограничивать технические и бюджетные рамки, что может привести к необходимости сложного выбора журналов регистрации, от которых следует избавиться. В компаниях, для которых важно соответствие регулятивным требованиям, необходимые для сбора данные могут определяться действующими правилами или отраслевыми нормами.

Обычно рекомендуется принимать журналы данных от брандмауэров, файловых серверов и серверов каталогов, систем обнаружения вторжений/защиты от вторжений и, возможно, инструментов защиты конечных точек. Получение журналов от DNS-серверов вашей организации также может помочь в исследованиях безопасности и выявлении технически сложных атак. Не забывайте и о широко используемых облачных сервисах и приложениях.

В решении DatAlert от Varonis реализованы передовые методы, которые обеспечивают максимальную прозрачность действий с вашими данными и позволяют быстро обнаруживать и сдерживать угрозы до того, как они нанесут значительный ущерб.

DatAlert принимает и объединяет данные о событиях из разнородных потоков информации, таких как локальные хранилища данных, облачные сервисы, Active Directory, Azure AD, электронная почта, DNS-серверы, VPN и веб-прокси, сопровождая оповещения уникальным контекстом, включая степень конфиденциальности файлов и тип учетных записей, благодаря чему они являются более эффективными по сравнению с обычными оповещениями SIEM-систем.

  1. Помните об имеющейся системе безопасности

Все лучшие SIEM-решения предлагают различные варианты интеграции с существующими системами, но масштаб внедрения и сложность настройки могут сильно различаться. При выборе SIEM крайне важно найти решение, которое хорошо совмещается с уникальным набором средств, уже используемых в вашей организации. Невыполнение этого требования может привести к сложностям в работе и административным проблемам. К примеру, применение SIEM-инструмента, который, не подходит для вашего брандмауэра, может сильно ограничить преимущества, которые должна иметь качественная SIEM-система.

Во многих случаях SIEM настраивается вручную, часто в несколько этапов. Об этом важно помнить при выборе решения, поскольку затраты на правильную настройку всех процессов могут обесценить обещанную поставщиком экономию.

  1. Разберитесь в моделях оплаты

Поставщики SIEM используют самые разные варианты оплаты за свои решения. Некоторые взимают плату за пользователя, некоторые — за событие, другие же применяют многоуровневую модель оплаты или взимают фиксированную сумму. Лицам, ответственным за принятие решений в сфере технологий и бизнеса, очень важно понимать суть этих моделей и выбирать наиболее подходящую для своей организации. В частности, модели оплаты на основе событий могут привести к неприятным сюрпризам для компаний, которые не уделяют пристального внимания существующей обстановке.

  1. Определите наиболее важные для вас функции

Многие SIEM-решения разрабатываются под заказ, что позволяет организациям выбрать наиболее подходящие для них функции или инструменты. Базовые функции, такие как управление журналами и система оповещений, обычно присутствуют в стандартной версии, но расширенные функции, например анализ угроз, автоматическое восстановление прав доступа к данным и долгосрочное хранение данных, могут предусматривать дополнительную плату. Важно провести анализ эффективности затрат не только SIEM-решений, но и любых дополнений, которые ваша организация планирует внедрять.

  1. Помните, что ИИ не заменит людей

SIEM-инструменты все чаще используют автоматизацию и ИИ для создания новых возможностей и повышения эффективности. Однако это не обязательно снижает потребность в человеческих ресурсах. SIEM-решения могут требовать активного вмешательства человека для реагирования на оповещения, проведения дополнительных расследований и обслуживания самих инструментов. Для работы с некоторыми инструментами также может понадобиться профессиональная подготовка и наличие специальных навыков. Если вы планируете использовать SIEM для сокращения затрат, то помните, что количество сотрудников вряд ли при этом уменьшится.

Хотя в процессе отправки оповещений человеческий фактор пока еще важен, решение DatAlert от Varonis помогает сократить его роль, а также объем ручной работы по фильтрации огромного количества событий, связанных с безопасностью данных. DatAlert делает оповещения более информативными, привязывая пользователей к устройствам и местам, изучая их поведение и добавляя дополнительные сведения, в том числе о том, включен ли конкретный пользователь в список особого внимания, отправлялись ли недавно в отношении него другие оповещения, имеет ли он доступ к конфиденциальным данным. Эта дополнительная информация позволяет быстро определить, связано ли оповещение с реальной угрозой или с незначительным нестандартным событием, без необходимости тратить время на сверку журналов регистрации.

  1. Выясните ограничения выбранного SIEM-решения

SIEM-инструменты обеспечивают большую прозрачность в организации, но часто имеют слабые места. Например, SIEM-системы не всегда эффективны в мобильных и облачных приложениях, а также во время удаленной работы. Для предприятий важно осознавать эти недостатки и принимать соответствующие меры.

Даже в тех областях, где SIEM хорошо справляются (допустим, в мониторинге сети), нередко у них отсутствуют важные контекстные данные. В качестве примера можно назвать инструменты удаленного доступа наподобие VNC и TeamViewer. Сетевой трафик, генерируемый этими инструментами, легко обнаруживается, но без достаточного контекста SIEM-решение не может отличить авторизированного пользователя от хакеров, использующих тот же самый инструмент для эксфильтрации данных. SIEM-инструментам может быть сложно выявить атаки, которые построены на использовании легитимных служб (например, отправку вредоносным ПО трафика в рамках модели управления и контроля обратно на сервер в сети доставки контента (CDN) или на общедоступной облачной платформе).

  1. Протестируйте и настройте решение

Поскольку новые типы угроз появляются ежедневно, важно постоянно проверять свою защиту и устранять слабые места. Это касается и SIEM-инструментов. Для точной оценки эффективности вашего SIEM-решения может понадобиться помощь специалистов по имитации атак (Red Team) или внешнему тестированию на проникновение. Затем можно добавить новые правила для устранения угроз, в отношении которых не сработала система оповещений. Для регулярного анализа эффективности защиты в промежутках между циклами полного тестирования на проникновение могут использоваться такие инструменты, как Atomic Red Team и MITRE’s Caldera.

Во многих системах безопасности распространена проблема ложного срабатывания. Если вы не установите надлежащие пороги оповещений, ваши аналитики могут настолько привыкнуть к ложной тревоге, что не отреагируют в случае реальной угрозы. При настройке любого SIEM-решения важно достичь баланса между излишним “шумом” и недостаточной прозрачностью.

  1. Используйте SIEM в комплексе с другими средствами

Как и со всеми продуктами безопасности, нельзя полагаться только на SIEM-инструменты или заменять ими другие виды защиты. Хотя SIEM-платформы всё чаще могут выполнять автоматические действия в ответ на определенные типы событий, они не заменяют такие основные средства защиты, как антивирусное ПО и брандмауэры. SIEM наиболее эффективны, когда у организаций уже есть хорошо продуманный стек решений в области информационной безопасности.

Как может помочь Varonis

SIEM-решения могут стать бесценным дополнением к общей системе безопасности организации, но они не являются панацеей.  Такие решения, как платформа кибербезопасности Varonis, могут повысить эффективность SIEM и обеспечить более глубокое понимание контекста, сократить количество оповещений и получить максимум полезной информации. Varonis DatAlert использует основанный на данных подход к обнаружению угроз, дополняя ориентированную на сеть методику SIEM-решений контекстом благодаря возможностям аналитики поведения пользователей и сущностей (UEBA). DatAlert сочетается со всеми ведущими SIEM-инструментами, включая ArcSight, Splunk, LogRhythm и IBM QRadar.

Для организаций, для которых критически важно соблюдение нормативных требований, Varonis DatAdvantage расширяет возможности составления отчетов с помощью SIEM-инструментов, а также снижает общие риски для бизнеса за счет выявления пользователей с чрезмерными привилегиями.

Рекомендуем также скачать наш whitepaper “SIEM: 5 ошибок, ведущих к провалу, и как их избежать”.

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.