Журнал "Information Security/ Информационная безопасность" #4, 2024

На рынке информационной безопас- ности представлено большое количество SIEM-систем от разных вендоров. Все они выполняют схожие задачи: сбор, анализ и корреляцию событий безопас- ности, обнаружение инцидентов и пре- доставление отчетов, – сегодня каждая SIEM-система успешно закрывает этот базовый набор задач. Однако, несмотря на общую цель, каждая SIEM проявляет свои уникальные особенности и пре- имущества в процессе использования. Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслу- живания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в пер- вичных расчетах. Рассмотрим график на рис. 1: в зави- симости от целевой нагрузки системы он показывает стоимость обслуживания и поддержки SIEM-системы: подключе- ния источников, изменения архитектуры, трансформации топологии и добавления новых средств. На графике отмечены три точки, где он резко меняет свое своего поведение. Почему растет стоимость эксплуатации SIEM? В процессе эксплуатации SIEM поль- зователи сталкиваются с различными задачами, трудозатратность которых напрямую зависит от размера и слож- ности самой системы. Чем масштабнее структура системы, тем больше времени и усилий требуется для устранения непо- ладок и поиска конкретных ошибок. Отметим некоторые из них. 1. Большое количество доработок через внутренние интерфейсы и “косты- ли”, которые позволяют решить пробле- му “здесь и сейчас”, однако приводят к огромным расходам на поддержку таких решений в будущем. 2. Объемный процесс устранения непо- ладок. Поиск и устранение неисправно- стей в SIEM-системе может быть много- уровневым и дорогостоящим. Сложная структура и большое количество затра- гиваемых бизнес-процессов в системе SIEM затрудняют диагностику, отладку и поиск ошибки. 3. Ситуационное масштабирование нагрузки. Адаптация системы к изме- няющимся нагрузкам и требованиям бизнеса также требует времени. Поиск оптимальной конфигурации, как прави- ло, проходит методом проб и ошибок, а значит включает в себя тестирование различных сценариев и архитектур системы. Применение таких сценариев занимает значительное время на созда- ние, конфигурацию и перенос машин. Исходя из вышеописанного, одна из ключевых задач – это преодоление ограничений и недостатков имеющегося в системе инструментария. Вместо того чтобы сосредоточиться на ключевой задаче – поддержке развития бизнеса, – пользователю приходится тратить время на решение вышеперечисленных непрофильных проблем. Однако при правильном подходе к использованию инструментов ресурсы могут расходо- ваться более эффективно. Каким должен быть SIEM в организации? Правило первое – простота SIEM – это Management-система, а значит она должна быть гибкой и уметь подстраиваться под индивиду- альные задачи пользователя. Например, R-Vision SIEM интегрирована с техноло- гией Kubernetes, что позволяет масшта- бировать ее буквально в несколько кли- ков. Можно увеличить количество ядер, которое использует система, прямо из интерфейса. В R-Vision SIEM мы изменили подход к корреляции. Теперь коррелятор рас- пределен между несколькими физиче- скими машинами, что делает его более отказоустойчивым и открывает возмож- ности для горизонтальной масштаби- руемости. Это гораздо более экономич- ный вариант по сравнению со стандарт- ным вертикальным масштабированием. Синергия функционала распределен- ной корреляции с технологией Kubernetes расширяет возможности масштабиро- вания и отказоустойчивости. Пользова- тель задает объем ресурсов, необходи- мый для задач корреляции, и система сама резервирует физические ресурсы, а в случае сбоев перекидывает логику на другие сервера без потерь. Все составляющие корреляции по умолча- 28 • СПЕЦПРОЕКТ Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM IEM-система — ключевой элемент в работе SOC, так как бизнес-процессы центров мониторинга и реагирования построены на базе именно этого класса решений. Благодаря SIEM можно централизованно управлять событиями информационной безопасности и анализировать их. S Виктор Никуличев, продакт-менеджер R-Vision Рис. 1. Cтоимость обслуживания и поддержки SIEM-системы Фото: R-Vision