Журнал "Information Security/ Информационная безопасность" #4, 2025

У SIEM как класса нет полноценной альтернативы. К тому же некоторым компа- ниям, например субъектам КИИ (а принадлежность к КИИ зависит от отрасли и задач, а не от размера орга- низации), регулятор прямо предписывает применять именно SIEM для защиты инфраструктуры. В "СёрчИнформ SIEM" 1 всю нормализацию и пред- варительную обработку событий мы реализовали на этапе написания коннек- торов. Поэтому их запуск сводится к вводу адресов для обмена данными на источнике и в системе. Задачи по обеспече- нию информационной безопасности стоят перед компаниями раз- ного размера: у всех есть оборудование и ПО, которое может выйти из строя или подвергнуться атаке, что поставит бизнес под угрозу. ИТ-инфраструктура требует контроля, обеспечить его можно с помощью систем клас- са SIEM. Они в реальном вре- мени собирают данные из всех источников в периметре, ото- бражая их в одном окне, для оперативного устранения воз- никшей проблемы. Почему именно SIEM? Разберемся, чем SIEM так незаменимы. На первый взгляд, их задачи довольно просты: l Собрать данные. Для этого SIEM задействуют коннекторы к оборудованию, ПО и сред- ствам защиты, получают по ним информацию о состоянии и событиях на источнике в реальном времени. l Выделить события безопас- ности. SIEM выделяют в потоке данных те, что касаются без- опасности. Внутри систем это называется правилами корре- ляции, а по сути – это фильтры, которые помогают системе сфо- кусироваться на потенциальных угрозах. l Обнаружить инциденты. Среди ИБ-событий системе нужно определить штатные и нештатные, например отли- чить разовую ошибку пользо- вателя при вводе пароля от настоящей попытки взлома. Кроме того, SIEM должны вынести вердикт об инциден- те, если разные штатные события в инфраструктуре вместе выглядят подозритель- но. За это отвечает кросс- корреляция. За всем этим стоит обработка больших массивов информации и сложная аналитика, которые требуют большой вычислитель- ной нагрузки и тонкой настрой- ки, вплоть до самостоятельного написания алгоритмов обработ- ки данных. Именно эти сложно- сти часто становятся барьером для закупки SIEM в МСБ. Для решения каждой задачи у SIEM есть доступные с виду альтернативы. Например, вычит- ку данных от источников дове- ряют лог-менеджерам. Они не приоритизируют события с точки зрения потенциальной опасно- сти, зато сводят логи "в одно окно". С другой стороны, есть сканеры уязвимостей, которые указывают на потенциальные опасности, но фокусируются на состоянии инфраструктуры, а не на происходящем в ней, то есть не отслеживают реальную дина- мическую картину. Что до выявления угроз, то тут просто нет универсального средства: классические реше- ния вроде антивирусов, файр- волов или DLP работают каждое на своем фронте, а специ- альные инструменты типа EDR/XDR или IPS заточены под серьезные инциденты и про- пускают зреющие проблемы. Так что одним средством не обойтись, а закупать и обслу- живать все – непосильная зада- ча для небольшой компании. У SIEM как класса нет полно- ценной альтернативы. К тому же некоторым компаниям, например субъектам КИИ (а принадлежность к КИИ зави- сит от отрасли и задач, а не от размера организации), регуля- тор прямо предписывает при- менять именно SIEM для защи- ты инфраструктуры. Поэтому возникает следующий вопрос: как и какую SIEM-систему выбрать небольшой компании? Пять критериев выбора Рынок российских SIEM- систем достаточно зрелый, но продукты значительно отли- чаются друг от друга по функ- ционалу и стоимости. Компа- ниям МСБ при выборе реше- ния необходимо обращать внимание на условия внедре- ния и удобство эксплуатации. Вот несколько важных крите- риев. Скорость внедрения Часто именно внедрение, настройка и кастомизация системы требуют самых боль- ших трудозатрат. Чтобы впи- сать SIEM в инфраструктуру, нужно подключить все источ- ники, добиться совместимости с ними, а также настроить пра- вила вычитки событий и нор- мализовать их, то есть вклю- чить корреляцию. Большинство систем поставляются с готовы- ми коннекторами и правилами корреляции к ним, но на деле их часто нужно дописывать вручную. Порой на это уходят месяцы. В условиях нехватки специа- листов МСБ лучше подойдут преднастроенные системы. Например, в "СёрчИнформ SIEM" 1 всю нормализацию и предварительную обработку событий мы реализовали на этапе написания коннекто- ров. Поэтому их запуск сводится к вводу адресов для обмена данными на источнике и в системе. К каждому коннектору есть набор правил корреляции, которые включаются автомати- чески: они фокусируются на событиях, базово актуальных в любой инфраструктуре. В итоге весь процесс внедрения может уместиться в рабочий день, без остановки бизнес- процессов и конфликтов с ИТ- инфраструктурой. 18 • СПЕЦПРОЕКТ Какая SIEM подойдет небольшой компании? втоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удо- вольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье. А Павел Пугач, системный аналитик “СёрчИнформ” Фото: "СёрчИнформ" 1 https://searchinform.ru/products/siem/