Журнал "Information Security/ Информационная безопасность" #4, 2023

данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функ- ционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками. 2. Сложность настройки правил и кор- реляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специали- сты, которые проведут работы по ана- лизу инфраструктуры и настройки SIEM под задачи конкретной организации. 3. Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Mana- gement, выстраивать иерархию сбора с использованием локальных коллекторов. Вадим Порошин, Пангео Радар: 1. Согласования, бесконечные согла- сования: открытие портов, настройка источников и пр. Особенно это актуаль- но, когда внедрение проходит в органи- зации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования уве- личивают время внедрения и пилотиро- вания на несколько месяцев. 2. Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC. 3. Настройка и формирование кон- тента под конкретного заказчика. Константин Саматов, АРСИБ: 1. Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расши- ренную поддержку вендора, при заказе внедрения – заказывать у самого вен- дора либо у партнера, за которого вен- дор отвечает. 2. Системные требования меняются с момента проведения пилота до момен- та ввода в промышленную эксплуата- цию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектирова- нии закладывать резерв мощностей. 3. Недостаток возможностей для касто- мизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – соз- дание более гибкой архитектуры. Лидия Виткова, Газинформсервис Со стороны заказчика: 1. Сложность с обоснованием необхо- димости внедрения SIEM и бюджета на закупку. 2. Сложность с выбором между реше- ниями, уменьшившееся количество вен- доров за последние полтора года. 3. Поиск команды, которая будет рабо- тать с SIEM (операторов). Со стороны поставщика: 1. Сложность со сбором действитель- ной информации об инфраструктуре. 2. Сложность с разнородностью источ- ников данных и зоопарком СЗИ, с кото- рыми требуется интеграция. 3. Возрастание потока алертов о собы- тиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре. Александр Скакунов, VolgaBlob: 1. Отсутствие процессов, связанных с реагированием на инциденты. Это вопро- сы методологической зрелости клиентов. 2. Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импор- тозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет прак- тически на лету подключать новые источ- ники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели. 3. Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта. Даниил Вылегжанин, RuSIEM: 1. Выделение вычислительных ресур- сов для обработки и хранения больших объемов данных SIEM-системой. 2. Интеграция с множеством различ- ных источников данных, которая зача- стую требует ручной настройки. 3. Создание новых и настройка встроен- ных в SIEM-систему правил корреляции. Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроен- ный графический конструктор для соз- дания новых правил корреляции и редак- тирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимо- сти знания различных языков програм- мирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к вирту- альной инфраструктуре для получения должного уровня производительности. Вадим Порошин, Пангео Радар: 1. Снижение времени выявления инци- дентов безопасности и реагирования на них. Если реакция команды по безопас- ности и разрешение кибератак происхо- дит быстрее, это говорит об успешном внедрении SIEM-решений. 2. Экономический эффект. Можно оце- нить пользу от SIEM, посчитав потенци- альные убытки от предотвращенных атак. И еще можно продавать свои услуги. Некоторые крупные компании стали зара- батывать своими компетенциями в ИБ, например в своих дочерних обществах. Сергей Сухоруков, Positive Technologies: 1. Полнота покрытия инфраструктуры: без достаточного покрытия команда мониторинга увидит только финальную часть атаки. 2. Качество и количество правил кор- реляции, а также полнота покрытия ими распространенных тактик и техник ата- кующих на основе независимой оцен- ки – матрица MITRE. 3. Проведение киберучений для оценки полноты и качества выявления действий злоумышленника. 4. Среднее время обнаружения инци- дента и среднее время восстановления после расследования инцидента. Алексей Дашков, R-Vision: Основной и главной метрикой каждого SIEM-решения является своевременное выявление угроз. Метрики могут охваты- вать как технические характеристики работы системы, так и бизнес-результаты. Среди технических метрик можно отме- тить время обнаружения инцидента, ста- бильность, количество ложных срабаты- ваний, количество успешно обнаруженных инцидентов. В то же время, если говорить о бизнес-метриках, то это снижение ущер- ба и потерь, влияния инцидента на бизнес, а также эффективность использования ресурсов организации. Подбор конкрет- ных метрик зависит от стратегии компа- нии и ее уникальных характеристик. Константин Саматов, АРСИБ: 1. ROI (Return On Investment) от внед- рения SIEM – возврат инвестиций, пока- зывающий финансовую выгоду от использования SIEM. 2. Затраты на обработку и реагирова- ние на инциденты – этот показатель указывает на стоимость процесса обна- ружения, анализа и реагирования на инциденты, включая расследование. Снижение затрат на этапы обработки и реагирования на инциденты может свидетельствовать об эффективности решения о внедрении SIEM-системы. 3. Сокращение затрат, связанных с инцидентами, – отслеживание эконо- мии средств благодаря быстрому обна- ружению и реагированию на инциденты. Этот показатель очень сложно рассчи- тывать, поэтому он не всегда применим. Какие метрики и KPI стоит использовать для оценки эффективности SIEM-решений и демонстрации их ценно- сти бизнесу? • 33 SIEM www.itsec.ru