Конкурс для специалистов: чего нам не хватает в SIEM?

image

Теги: конкурс, SIEM

Победителей ожидают ценные призы. Авторы трёх лучших критических отзывов будут награждены планшетами и смартфоном (Apple iPad Air, Sony Xperia и Nokia Lumia).

Аббревиатура SIEM (Security Information and Event Management), которой обозначается новый класс систем безопасности для крупных компаний, существует почти 10 лет. Однако активное продвижение таких систем на рынок началось лишь в последние годы. При этом картина, сложившаяся в профессиональных CМИ, выглядит слишком уж позитивно, именно как продвижение вендорами этакого универсального магического средства.

А вот голос специалистов по безопасности, которые используют купленные SIEM-решения на практике, почти не слышен. Хотя как раз у них эта «магия» должна вызвать определенный скепсис. Ведь совсем недавно инструменты типа SIEM просто собирали логи от различных устройств и приложений. Выделение более значимых событий по заданному набору приоритетов или проверка выполнения стандартов безопасности — тоже понятные процедуры, автоматизация которых явно облегчает жизнь.

Однако нынешние SIEM-системы обещают на лету, в реальном времени, собирать и анализировать инциденты и с помощью особых корреляционных механизмов вылавливать угрозы, неподвластные aнтивирусам и сетевым экранам, в том числе затяжные атаки со сложными сценариями (APT). Действительно ли это работает и стоит ли овчинка выделки?

Пройдя по форумам компаний, которые внедряют SIEM, можно обнаружить, что некоторые покупатели, переоценившие возможности подобных систем, успевают разочароваться еще до того, как доберутся до волшебных корреляций. Вот основные проблемы SIEM, о которых зачастую становится известно только после покупки.

Сложность установки и поддержки. Во многом этом связано с отсутствием общих стандартов для логов. Каждый источник дaнныx ведет их в своем формате, так что ему требуется своя клиентская программа для перевода этих дaнныx в общий формат SIEM. Инфраструктура компании должна быть способна принять всю эту армию клиентов, а потом еще нужно следить за их корректной работой. Обновление такой армии или переход на другую SIEM-систему — небанальные процессы.

Слишком большие дaнные. Сортировка дaнных, собранных SIEM, завязана на устаревшие технологии реляционных баз дaнных, которые не предназначены для больших объемов и скоростей (речь может идти о тысячах событий в секунду). Да и сами коллекторы событий в SIEM собирают много лишнего: по дaнным некоторых экспертов, лишь 10% из всего терабайтного трафика действительно имеет отношение к безопасности. И надо еще учитывать, что организации растут, а с ними растут и потоки событий.

Человеческий фактор. Если некоторые другие ИБ-продукты можно использовать по принципу «поставил и забыл», то для правильной настройки, обучения и интерпретации результатов SIEM требуется постоянный специалист. Кроме того, для эффективной работы SIEM должна охватывать все подразделения компании в постоянном режиме, независимо от реорганизаций или смены локальных руководителей. На практике же бывает, что подразделения крупных компаний живут своей обособленной жизнью.

Рутина хоронит аналитику. Все перечисленные проблемы приводят к тому, что пользователи SIEM тратят много сил на низкоуровневые задачи (сбор и хранение логов) и с трудом добираются до главной фичи — до чистого data mining (вычисления угроз). Производителям нового поколения SIEM стоило бы акцентировать внимание на этой способности своих продуктов, в частности за счет более развитых графических интерфейсов, в которых детектирование аномалий, корреляционный анализ и другие техники выглядели бы как понятные инструменты, а не как тайное знание и колдовство.

Но все сказанное выше — лишь наши наблюдения со стороны. А хотелось бы услышать специалистов по безопасности, имевших дело с SIEM на практике. Поэтому мы решили провести конкурс критических рецензий с ценными призами победителям.

Условия простые: пришлите на наш почтовый ящик siem@securitylab.ru или прямо в комментарии к этой статье ваш отзыв на систему SIEM, которой вы уже пользовались или пользуетесь сейчас. В вашем отзыве укажите название системы (вендора) и постарайтесь ответить на два вопроса:

  1. В каких задачах данная SIEM-система работает хорошо? Какие типы инцидентов наиболее успешно выявляются?
  2. Чего вам не хватает в данной SIEM-системе? Желательно тоже не в общих словах, а с примерами конкретных задач, которые хотелось бы решить, или типов инцидентов, которые не выявляются или плохо расследуются с помощью данной SIEM.

Прислать вашу рецензию на конкурс можно до 30 мая включительно. Авторы трёх лучших критических отзывов будут награждены планшетами и смартфоном Аpple iРad Air, Sony Xperia и Nokia Lumia (общий призовой фонд 65 000 руб).


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Вадим
09-04-2014 18:24:02
Олеся, ты же сама знаешь, чего не хватает, - визуализации и системы принятия решений.
0 |
10-04-2014 16:48:12
Видеостена с визуализацией, графиками, отклонениями - для диспетчера ИБ и красненькие алерты и отправка СМС ))
0 |
Охран Секьюрный
11-04-2014 10:48:05
В SIEM нам не хватает генератора таких отчётов, которые можно положить на стол руководителя, и он всё поймёт.
0 |
Алексей
11-04-2014 11:06:33
Не хватает адекватных по с стоимости решений.
0 |
Михаил
13-04-2014 13:42:47
1. Arcsight ESM - для любых задач работает хорошо, если нормально настроить. Любые инциденты выявляются, если грамотно настроены СЗИ, сервера, сетевое оборудование. Для того, чтобы любые инциденты успешно выявлялись должна быть адекватно реализовано получение логов от источников и понимание того, что, где, когда искать. 2. Всего хватает, кроме времени на выстраивание процессов по управлению событиями ИБ. Любая SIEM требует хорошо выстроенных бизнес-процессов и понимания того от аналитика ИБ, что он хочет с помощью данной системы обнаружить. Для того, чтобы аналитик ИБ правильно настроил SIEM ему нужна высокая квалификация и хороший уровень знаний во всех технологиях, которые используются в ИТ-инфраструктуре. Помимо понимания принципов работы ИТ-систем у аналитика должен быть хороший уровень знаний в области тестирования на проникновения, чтобы он мог определить, где и какое событие будет отражено во время реальной атаки. Собственно вот так мы и пришли к тому, что на современном рынке SIEM достаточно решений, которые могут выполнить любые задачи, но недостаточно квалифицированных кадров, которые владеют практическими навыками и подкованы в теории. В идеале аналитик должен быть сильным системным администратором с навыками программирования, сетевым инженером, тестировщиком на проникновение, обычным тестировщиком, администратором ИБ. К сожалению, такие специалисты редкость, стоят дорого и обычно их ставят на руководящие должности ввиду этого им некогда заниматься выстраиванием и управлением работы SIEM.
0 |
05-05-2014 16:08:56
Мир Вам Михаил.Спешу согласиться с Вами,все что Вы выразили это так и есть.Ваше предложение будет неоценимо если Вы опишите его и предложите всем пользователям данного сайта. С уважением к Вам Бах.
0 |
Страницы: 1  2  3  4