Только треть субъектов КИИ оснащены средствами мониторинга угроз

Только треть субъектов КИИ оснащены средствами мониторинга угроз

Автор – Леонид Чуриков, ведущий аналитик «СёрчИнформ»

SIEM – важный элемент защитной инфраструктуры, он позволяет компаниям закрывать требования ФЗ-187, приказа ФСТЭК России № 239, ГосСОПКА, требования по защите государственных информационных систем (149-ФЗ, приказ ФСТЭК России №17, методические рекомендации ФСТЭК России). Эти нормативы касаются всех, кто имеет доступ к государственным и муниципальным информационным системам (например, ЕГИСЗ (здравоохранение), ГАС ГОС (оборонная промышленность), портал госуслуг и пр.) и объектов критической информационной инфраструктуры (т.е. компаний из промышленности, связи, здравоохранения, науки, транспорта, энергетики, финансов и др.).

Несмотря на то, что без SIEM выполнить требования регуляторов почти невозможно, как минимум 73% компаний не оснащены системами, из них 58% – субъекты КИИ. Об этом говорят цифры нашего опроса ИБ-специалистов из 300 компаний. Почему так происходит?

Что останавливает от покупки SIEM

Большинство опрошенных не внедряют SIEM из-за недостаточного финансирования. Судя по нашим исследованиям, три прошедших года компании сокращали бюджеты на ИБ, в т.ч. из-за удаленки. Были те, кто наращивали затраты, но это были крупные компании для внедрений, которые предполагали длинный этап тестирования и согласования. В прошлом году рынок оправился – затраты сокращали только 12% опрошенных, а 26% активно усиливали защитный арсенал. В 2022 году этот процесс продолжился, хотя и по экстренной причине – срочного импортозамещения ушедших продуктов и срочного же решения проблем с безопасностью, которых с февраля стало больше.

В 12% компаний считают, что имеющиеся у них ИБ-системы вполне компенсируют отсутствие SIEM, хотя другие данные показывают – у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC/SOAR используют 6% опрошенных, EDR/XDR – 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.

Об отсутствии задач для SIEM заявили треть компаний, не оснащенных системой, это 19% всех опрошенных. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их как субъекты КИИ, по сути, обязывают нормативные требования. 14% и 19% опрошенных говорят о трудозатратах на внедрение систем и отсутствии квалифицированных кадров для работы с ними.

Опыт тех, кто уже внедрил SIEM

Уже внедрившие SIEM-систему подтверждают, что опасения тех, кто только присматривается к софту, небеспочвенны. Сложности вызывали согласование бюджетов, внедрение и поиск нужных кадров для работы с системой.

Треть компаний смогли закончить внедрение в сроки «несколько недель» и практически столько же не смогли полноценно завершить внедрения, так и имея в эксплуатации продукт, который не вышел на расчетные показатели эффективности. Это часто более справедливо в отношении зарубежных решений – так исторически сложилось, что они более сложные, чем российские аналоги.

Компании часто сталкиваются со сложностями при кастомизации и адаптации систем под свои нужды. Опрошенным не нравится, когда недостаточно готовых коннекторов и правил корреляции, когда приходится реализовывать эти функции самостоятельно.

При этом большинство – 56% опрошенных, не справляется своими силами и прибегает к помощи вендоров и интеграторов. Дефицит специалистов достаточной квалификации – это самая распространенная проблема, с которой сталкиваются компании, внедрившие SIEM.

Что делать

За SIEM-системами закрепилась слава сложных enterprise-продуктов, что и подтверждают данные опроса. Тем не менее часть сложностей, с которыми сталкиваются при внедрении продуктов компании, можно нивелировать правильной постановкой техзадания перед пилотом. В таком случае на тесте вы увидите, что не все SIEM-системы «одинаково полезны».

  • Отличаются требования к железу, часто в разы. Нужно просить расчет у разных вендоров под необходимое вам число источников. А позже – тестировать.
  • Отличается требовательность к сотрудникам. Чтобы приступить к работе с одной системой нужно пройти многонедельные курсы, с другой – достаточно провести вводный разговор с техподдержкой.
  • Отличается и подход к техподдержке у разных вендоров. Например, у вендоров может быть строго регламентировано число обращений в месяц.
  • Разное количество предустановленных правил корреляции и возможности для их написания под себя.
  • Разное количество доступных из «коробки» коннекторов. Их должно быть достаточно, чтобы система начала работать сразу. Остальные источники можно присоединить позже, но нужно уточнять, насколько сложно писать свой коннектор.
  • Разные системы лицензирования, которые радикально влияют на размер итогового счета. Есть разные варианты – от учета количества событий в секунду (EPS), потоков в минуту (FPM) до лицензий по числу хостов. Этот момент нужно прояснять на этапе тестирования.
  • Разный интерфейс. SIEM регулярно используют не только IT- и ИБ-специалисты, но и специалисты других профилей (системные администраторы, например). Поэтому хорошо, если бы в программе было просто сориентироваться любому, кто хоть раз откры­вал «ворд» или «эксель».
  • Разная нагруженность дополнительным функционалом, который может оказаться невостребованным.

И напоследок. При всех сложностях, о которых мы говорили, SIEM-система – отличный программный продукт, который после всех настроек существенно облегчит жизнь, что подтверждают ответы на вопрос о том, что же все же мотивирует покупать SIEM. И как видите, требования регуляторов даже не на первом месте.

Что мотивировало на покупку SIEM?*

*можно было выбрать несколько вариантов ответа, % от числа компаний с SIEM

  • Растущее количество ИБ-инцидентов – 41%
  • Необходимость контроля специфических источников – 40%
  • Требования регуляторов – 34%
  • Расширение инфраструктуры 26%
  • Другой вариант – 4%

Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.