Журнал "Information Security/ Информационная безопасность" #4, 2023

• 15 SIEM www.itsec.ru Нехватку специалистов в области ИБ нельзя закрыть моментально, например за счет массовой рекламы вакансий или повышения уровня заработной платы. Системы ИБ требуют широких знаний и высокой квалификации экспертов, а зача- стую и продолжительного обучения. Например, при внедрении и использо- вании SIEM-систем экспертам необходимо подключить и покрыть правилами норма- лизации и обогащения нужные источники событий ИБ, создать и настроить правила детектирования угроз, постоянно отсле- живать качество данных, поставляемых для анализа, реагировать на выявленные инциденты и расследовать их. Эти операции требуют не только серьез- ной подготовки в области кибербезопасно- сти в целом, но и глубокого понимания информационных систем и связывающих их информационных потоков. При этом специалистам зачастую сложно понять, какие шаги по реагированию на инцидент и его дальнейшему расследованию им нужно предпринять. Нередко решение всех перечисленных задач становится не под силу не только новичкам, но и экспертам. Автоматизация экспертизы В условиях дефицита кадров управ- ление SIEM-системой должно быть понятно операторам, аналитикам и поль- зователям с минимальным опытом рабо- ты с продуктом. Чтобы минимизировать среднее время от начала нелегитимной активности в инфраструктуре до ее обнаружения SIEM и среднее время с момента обнаружения инцидента до момента его подтверждения и реагиро- вания на него, поддерживать кибер- устойчивость компании и обеспечивать результативную кибербезопасность, системе надо делегировать большинство экспертных функций, в их числе помощь в определении объектов мониторинга, подготовка правил нормализации, тюнинг правил корреляции, работа по минимизации false positives, проверка вердиктов и автоматизация работ в пай- плайне обработки событий в целом. Топ требований к SIEM 1. SIEM-система должна обеспечивать постоянный анализ защищаемого пери- метра, определять ИТ-системы и потоки информации между ними, выдавать реко- мендации по их контролю и защите – содержать информацию о том, какие источники данных следует контролиро- вать. Правильная SIEM обладает воз- можностью автоматизированно подклю- чать новые источники событий по мере их появления в сети компании и при этом приоритизировать их постановку на контроль в зависимости от типа. 2. Быстрый старт и обнаружение инци- дентов ИБ должны быть возможны в любой инфраструктуре, как с извест- ным набором ИС, так и с набором ИС, про которые вендору ничего неизвестно. Стартовое подключение новых источни- ков не должно требовать от оператора знаний специализированных языков написания правил нормализации. 3. Одна из проблем практически любой организации: теневое ИТ (shadow IT). Это устройства, компьютеры, серве- ры, сервисы или ПО, не соответствую- щие политикам безопасности, однако используемые сотрудниками. Современ- ный продукт класса SIEM должен обес- печивать постоянный контроль таких теневых сегментов за счет автоматиза- ции сбора данных из сети. 4. Ландшафт угроз для различных информационных систем постоянно меняется, а число используемых ата- кующими техник и тактик перманентно растет. Поэтому система должна опи- раться на максимально широкую экс- пертную базу – вендора, комьюнити, специалистов по ИБ защищаемой ком- пании и иметь широкий набор инстру- ментов для консолидации этих знаний. Недавно мы анонсировали каталог расширений для своих продуктов. В нем уже доступны фреймворки и плагины для поддержки нестандартных источни- ков и внешних систем, отдельные под- ключаемые модули для MaxPatrol SIEM 1 , пакеты экспертизы с правилами обна- ружения актуальных угроз. 5. Дополнительная валидация зареги- стрированных инцидентов с использо- ванием сторонних систем – это могут быть внешние TI-системы или сторонние корреляционные движки. Предоставле- ние second opinion должно стать обяза- тельной практикой. 6. SIEM должна выдавать рекоменда- ции по реагированию на выявленные инциденты, а также расследованию и обработке инцидентов. Базой таких рекомендаций может быть внутренняя экспертиза или правила реагирования, сформированные комьюнити и добав- ленные в систему. 7. Умная SIEM постоянно реагирует на изменение контролируемого ландшафта ИБ и повышает точность выявления инци- дентов. Например, данные телеметрии, полученные с рабочих станций при интег- рации с системами класса XDR, должны улучшать качество детектирования опас- ных событий ИБ в SIEM. Соответственно, простые интерфейсы интеграции со сто- ронними системами являются неотъем- лемой частью будущих SIEM-систем. SIEM из экспертного инструмента в руках высококвалифицированных специалистов становятся ядром построения результа- тивной кибербезопасности. Для этого они должны научиться выдавать оператору рекомендации на каждом этапе эксплуа- тации, транслировать заложенную в них экспертизу. Правильная SIEM снизит порог входа для пользователей, а также интег- ральные показатели среднего времени от начала нелегитимной активности в инфра- структуре до ее обнаружения системой и среднего времени с момента обнаружения инцидента до момента его подтверждения и реагирования на него. l SIEM: рекомендательный инструмент для результативной кибербезопасности егодня компании сталкиваются с дефицитом экспертов по кибербезопасности. Согласно данным The International Infor- mation System Security Certification Consortium (ISC), во всем мире не хватает 3,4 млн таких специалистов. В России, по данным СберБанка, за два года потребность в экспертах по ИБ выросла в пять раз и теперь составляет 100 тыс. человек. С Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.ptsecurity.com/ru-ru/products/mpsiem/ На правах рекламы