Конкурс для специалистов: чего нам не хватает в SIEM?

Конкурс для специалистов: чего нам не хватает в SIEM?

Победителей ожидают ценные призы. Авторы трёх лучших критических отзывов будут награждены планшетами и смартфоном (Apple iPad Air, Sony Xperia и Nokia Lumia).

Аббревиатура SIEM (Security Information and Event Management), которой обозначается новый класс систем безопасности для крупных компаний, существует почти 10 лет. Однако активное продвижение таких систем на рынок началось лишь в последние годы. При этом картина, сложившаяся в профессиональных CМИ, выглядит слишком уж позитивно, именно как продвижение вендорами этакого универсального магического средства.

А вот голос специалистов по безопасности, которые используют купленные SIEM-решения на практике, почти не слышен. Хотя как раз у них эта «магия» должна вызвать определенный скепсис. Ведь совсем недавно инструменты типа SIEM просто собирали логи от различных устройств и приложений. Выделение более значимых событий по заданному набору приоритетов или проверка выполнения стандартов безопасности — тоже понятные процедуры, автоматизация которых явно облегчает жизнь.

Однако нынешние SIEM-системы обещают на лету, в реальном времени, собирать и анализировать инциденты и с помощью особых корреляционных механизмов вылавливать угрозы, неподвластные aнтивирусам и сетевым экранам, в том числе затяжные атаки со сложными сценариями (APT). Действительно ли это работает и стоит ли овчинка выделки?

Пройдя по форумам компаний, которые внедряют SIEM, можно обнаружить, что некоторые покупатели, переоценившие возможности подобных систем, успевают разочароваться еще до того, как доберутся до волшебных корреляций. Вот основные проблемы SIEM, о которых зачастую становится известно только после покупки.

Сложность установки и поддержки. Во многом этом связано с отсутствием общих стандартов для логов. Каждый источник дaнныx ведет их в своем формате, так что ему требуется своя клиентская программа для перевода этих дaнныx в общий формат SIEM. Инфраструктура компании должна быть способна принять всю эту армию клиентов, а потом еще нужно следить за их корректной работой. Обновление такой армии или переход на другую SIEM-систему — небанальные процессы.

Слишком большие дaнные. Сортировка дaнных, собранных SIEM, завязана на устаревшие технологии реляционных баз дaнных, которые не предназначены для больших объемов и скоростей (речь может идти о тысячах событий в секунду). Да и сами коллекторы событий в SIEM собирают много лишнего: по дaнным некоторых экспертов, лишь 10% из всего терабайтного трафика действительно имеет отношение к безопасности. И надо еще учитывать, что организации растут, а с ними растут и потоки событий.

Человеческий фактор. Если некоторые другие ИБ-продукты можно использовать по принципу «поставил и забыл», то для правильной настройки, обучения и интерпретации результатов SIEM требуется постоянный специалист. Кроме того, для эффективной работы SIEM должна охватывать все подразделения компании в постоянном режиме, независимо от реорганизаций или смены локальных руководителей. На практике же бывает, что подразделения крупных компаний живут своей обособленной жизнью.

Рутина хоронит аналитику. Все перечисленные проблемы приводят к тому, что пользователи SIEM тратят много сил на низкоуровневые задачи (сбор и хранение логов) и с трудом добираются до главной фичи — до чистого data mining (вычисления угроз). Производителям нового поколения SIEM стоило бы акцентировать внимание на этой способности своих продуктов, в частности за счет более развитых графических интерфейсов, в которых детектирование аномалий, корреляционный анализ и другие техники выглядели бы как понятные инструменты, а не как тайное знание и колдовство.

Но все сказанное выше — лишь наши наблюдения со стороны. А хотелось бы услышать специалистов по безопасности, имевших дело с SIEM на практике. Поэтому мы решили провести конкурс критических рецензий с ценными призами победителям.

Условия простые: пришлите на наш почтовый ящик siem@securitylab.ru или прямо в комментарии к этой статье ваш отзыв на систему SIEM, которой вы уже пользовались или пользуетесь сейчас. В вашем отзыве укажите название системы (вендора) и постарайтесь ответить на два вопроса:

  1. В каких задачах данная SIEM-система работает хорошо? Какие типы инцидентов наиболее успешно выявляются?
  2. Чего вам не хватает в данной SIEM-системе? Желательно тоже не в общих словах, а с примерами конкретных задач, которые хотелось бы решить, или типов инцидентов, которые не выявляются или плохо расследуются с помощью данной SIEM.

Прислать вашу рецензию на конкурс можно до 30 мая включительно. Авторы трёх лучших критических отзывов будут награждены планшетами и смартфоном Аpple iРad Air, Sony Xperia и Nokia Lumia (общий призовой фонд 65 000 руб).

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!