Журнал "Information Security/ Информационная безопасность" #4, 2023

Сергей Сухоруков, Positive Technologies: Непонимание компанией защищаемо- го ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источни- ках, а также приема на стороне SIEM и контроля непрерывности их поступле- ния на протяжении работы решения. Рецепты преодоления этих сложно- стей: 1. Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практи- ков, признанных на рынке услуг по рас- следованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях. 2. Выбирайте SIEM с широким покры- тием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и кор- реляции. При этом оцените сроки и стои- мость этой работы, чтобы понять целе- сообразность выбора экономрешений. 3. Работайте с SIEM, которая предо- ставляется вместе с качественной доку- ментацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников. Евгения Лагутина, Лаборатория Касперского: 1. Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка. 2. Высокие требования к квалификации внедряющих: нужно знать особенности рабо- ты не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция. 3. Высокие требования к квалифика- ции аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт. Олег Акишев, NGR Softlab: 1. Неизвестность или неточность тре- бований. Важно заранее уточнить воз- можности кастомизации и масштабиро- вания SIEM под возможные изменения и форс-мажоры. 2. Сложность продукта для эксплуата- ции. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода. 3. Сложность интеграции. Если в ком- пании уже есть устоявшаяся ИБ-инфра- структура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ- департамента, которые могут затормо- зить внедрение и даже помешать ему. Павел Пугач, СёрчИнформ: 1. Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закреп- ляем за каждым клиентом персональ- ного специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат. 2. Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "Сёр- чИнформ" сделали инструкции по настройке всех наиболее распростра- ненных источников. А если нужно что-то редкое, то подготовим по запросу. Алексей Дашков, R-Vision: 1. Сложность интеграции с разнооб- разными источниками данных. Чтобы преодолеть данную проблему, необхо- димо предварительно оценить источники Назовите топ-3 типовых сложностей, возникаю- щих при внедрении SIEM в корпоративной инфра- структуре, и рецепт, как их преодолеть. 32 • СПЕЦПРОЕКТ SIEM: в поиске совершенства в безопасности. Круглый стол экспертов истемы класса SIEM (Security Information and Event Management), как и многие другие технологии в области кибербезопасности, продолжают активно эволюционировать и приспосабливаться к меняющимся угрозам и требованиям. Редакция журнала “Информационная безопасность” спросила у экспертов о перспективах развития систем SIEM и ключевых проблемах в их использовании. С Участники: Олег Акишев, архитектор информационных систем NGR Softlab Лидия Виткова, ведущий инженер-аналитик отдела технологий анализа компании “Газинформсервис” Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM Алексей Дашков, директор Центра продуктового менеджмента R-Vision Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского” Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского” Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies Павел Пугач, системный аналитик “СёрчИнформ” Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности Александр Скакунов, основатель и генеральный директор компании VolgaBlob Сергей Сухоруков, лидер продуктовой практики MaxPatrol SIEM, Positive Technologies