Журнал "Information Security/ Информационная безопасность" #4, 2023

Павел Пугач, СёрчИнформ: 1. Для любого бизнеса главная метри- ка – деньги. Если компания уже сталки- валась с финансовыми потерями из-за ИТ- или ИБ-инцидентов, то главный KPI – их снижение (как самих инциден- тов, так и финансовых потерь, с ними связанных). 2. Уменьшение времени простоя инфра- структуры или персонала благодаря опе- ративному реагированию на инциденты и решение проблем, с ними связанных, – важная и понятная метрика. 3. Еще одним плюсом станет снижение рисков попасть под штрафные санкции из-за нарушений требований регулятора. Евгения Лагутина, Лаборатория Касперского: Бизнесу важна не ценность отдельных инструментов, а ИБ как целостная функ- ция. При оценке SIEM как инструмента необходимо показать, как продукт улуч- шит метрики команды ИБ. Конкретные KPI необходимо трассировать от биз- нес-метрик ИБ через дерево метрик. В частности, рекомендуем оценивать: 1. Учет бизнес-контекста – инвентари- зация и приоритизация активов, гибкость и расширяемость, возможности форми- рования отчетов и панелей мониторинга. 2. Как ускоряется детектирование или реагирование с применением SIEM- системы, сколько инцидентов сможет выявить и обработать команда ИБ. 3. Устойчивость SIEM к сбоям и ее защищенность от компрометации. 4. Насколько полно SIEM закрывает требования законодательства. Олег Акишев, NGR Softlab: 1. Количество событий от различных источников, которые может принимать и обрабатывать система. 2. Гибкость настроек корреляций для возможностей покрытия модели без- опасности пользователя. 3. Время реагирования системы на подозрительные события. 4. Среднее время, необходимое для проведения расследования по данным системы. 5. Удобство контроля за целостностью и корректностью работы системы как критерий доверия к ней. 6. Удобство подключения различных источников и разработки правил корре- ляции. Даниил Вылегжанин, RuSIEM: Для оценки эффективности работы SIEM обычно руководствуются такими показателями, как количество выявлен- ных инцидентов, среднее время обнару- жения и реагирования на инцидент, количество ложных срабатываний, эффективность проведенных расследо- ваний, показатели по улучшению общего уровня безопасности предприятия и уровню снижения финансовых потерь предприятия. Для повышения ценности SIEM для организаций можно демонстрировать выявленные инциденты не только свя- занные с информационной безопас- ностью, но и инциденты на производстве, при разработке, а также инциденты, связанные с экономической и физиче- ской безопасностью предприятия. Александр Скакунов, VolgaBlob: 1. Сформировать требования по пол- ноте покрытия платформой мониторинга объектов и информационных источни- ков. 2. Покрытие контролями – корреля- ционными правилами, выявлением ано- малий, расчетом скоринг-баллов, детек- тирования срабатывания тактик/техник атак. 3. SLA расследования инцидентов, качество работы службы по устранению последствий инцидентов и превентив- ного реагирования для их недопущения или раннего предотвращения. Павел Пугач, СёрчИнформ: Прежде всего нужно признать, что от так называемых ложных уведомлений полностью избавиться нельзя. В системе всегда остаются подозрения на инци- денты, которые требуют расследования. Но снизить их количество можно, и это нужно делать. Способы, которые лежат на поверхности, – уточнение граничных условий для определения инцидента (или подозрения на него), введение дополнительных фильтров, разделение разных инцидентов по разным прави- лам. Алексей Дашков, R-Vision: Не существует универсального реше- ния, все зависит от того, как происходит работа с SIEM. Проблему ложных сра- батываний необходимо решать тонкой настройкой самого решения специали- стами по информационной безопасности. Проблему утомления аналитиков важно проанализировать: чем именно оно вызвано. Как правило, существует несколько факторов, завязанных на неизменную рутину с повторяющимися процедурами, сложностью или забаго- ванностью инструментария. SIEM должна активно помогать аналитику различными инструментами, которые будут давать подсказки относительно эффективности правил, их качества, производительности и позволять проводить тонкую настройку оперативно и безболезненно. Лидия Виткова, Газинформсервис: К сожалению, сейчас нет реальных методик для оценки количества ложных срабатываний. Важно для начала при- знать, что проблема ложных срабаты- ваний реальна, что существует большой поток алертов и нужна их группировка в инциденты, и затем применять алгорит- мы оптимизации и автоматизации для обработки потока сообщений, создавать промежуточные формы отчетности. Константин Саматов, АРСИБ: В целом справиться с проблемой лож- ных срабатываний невозможно, они будут всегда, но можно уменьшить их количество. Для этого важно корректно настроить правила и пороговые значения SIEM. Алгоритмы машинного обучения и анализ аномалий (я давно не видел SIEM, где бы их не было) значительно снижают количество ложных срабаты- ваний. А вот для снижения утомляемости аналитиков необходимо грамотное построение процесса управления инци- дентами, прежде всего автоматизация рутинных задач, внедрение интеллекту- альных систем для анализа больших объемов данных и использование инструментов, упрощающих совместную работу и обмен информацией по инци- денту. Сергей Сухоруков, Positive Technologies: В части ложных срабатываний SIEM- система должна максимально упрощать их выявление, а также настройку исклю- чений в правилах корреляции, опираясь на продуманный UI и архитектуру правил. Кроме того, обогащение карточки собы- тия данными из внешних систем и воз- можность изменения ее вида позволяют значительно увеличить скорость обра- ботки данных за счет сокращения числа "переключений контекста", с которым приходится работать аналитикам. Олег Акишев, NGR Softlab: Минимизация ложных срабатываний предполагает проработку модели угроз и базового контроля компании для воз- можности разработки эффективных пра- вил корреляции. Важно агрегирование однотипных и связанных событий для сокращения времени анализа и исклю- чения двойной работы, а также обога- щение и приоритизация событий в зави- симости от инфраструктуры компании. Даниил Вылегжанин, RuSIEM: Если регулярно выполнять тонкую донастройку правил корреляции и настройку фильтрации, можно добиться отличных показателей по снижению количества ложных срабатываний и улучшению точности обнаружения инци- дентов. Использование расширенных аналитических возможностей системы, включая машинное обучение и искус- Как справляться с про- блемой ложных сраба- тываний и "утомления" аналитиков в процессе анализа событий, гене- рируемых SIEM? 34 • СПЕЦПРОЕКТ