Автор – Леонид Чуриков, ведущий аналитик «СёрчИнформ»
SIEM – важный элемент защитной инфраструктуры, он позволяет компаниям закрывать требования ФЗ-187, приказа ФСТЭК России № 239, ГосСОПКА, требования по защите государственных информационных систем (149-ФЗ, приказ ФСТЭК России №17, методические рекомендации ФСТЭК России). Эти нормативы касаются всех, кто имеет доступ к государственным и муниципальным информационным системам (например, ЕГИСЗ (здравоохранение), ГАС ГОС (оборонная промышленность), портал госуслуг и пр.) и объектов критической информационной инфраструктуры (т.е. компаний из промышленности, связи, здравоохранения, науки, транспорта, энергетики, финансов и др.).
Несмотря на то, что без SIEM выполнить требования регуляторов почти невозможно, как минимум 73% компаний не оснащены системами, из них 58% – субъекты КИИ. Об этом говорят цифры нашего опроса ИБ-специалистов из 300 компаний. Почему так происходит?
Что останавливает от покупки SIEM
Большинство опрошенных не внедряют SIEM из-за недостаточного финансирования. Судя по нашим исследованиям, три прошедших года компании сокращали бюджеты на ИБ, в т.ч. из-за удаленки. Были те, кто наращивали затраты, но это были крупные компании для внедрений, которые предполагали длинный этап тестирования и согласования. В прошлом году рынок оправился – затраты сокращали только 12% опрошенных, а 26% активно усиливали защитный арсенал. В 2022 году этот процесс продолжился, хотя и по экстренной причине – срочного импортозамещения ушедших продуктов и срочного же решения проблем с безопасностью, которых с февраля стало больше.
В 12% компаний считают, что имеющиеся у них ИБ-системы вполне компенсируют отсутствие SIEM, хотя другие данные показывают – у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC/SOAR используют 6% опрошенных, EDR/XDR – 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.
Об отсутствии задач для SIEM заявили треть компаний, не оснащенных системой, это 19% всех опрошенных. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их как субъекты КИИ, по сути, обязывают нормативные требования. 14% и 19% опрошенных говорят о трудозатратах на внедрение систем и отсутствии квалифицированных кадров для работы с ними.
Опыт тех, кто уже внедрил SIEM
Уже внедрившие SIEM-систему подтверждают, что опасения тех, кто только присматривается к софту, небеспочвенны. Сложности вызывали согласование бюджетов, внедрение и поиск нужных кадров для работы с системой.
Треть компаний смогли закончить внедрение в сроки «несколько недель» и практически столько же не смогли полноценно завершить внедрения, так и имея в эксплуатации продукт, который не вышел на расчетные показатели эффективности. Это часто более справедливо в отношении зарубежных решений – так исторически сложилось, что они более сложные, чем российские аналоги.
Компании часто сталкиваются со сложностями при кастомизации и адаптации систем под свои нужды. Опрошенным не нравится, когда недостаточно готовых коннекторов и правил корреляции, когда приходится реализовывать эти функции самостоятельно.
При этом большинство – 56% опрошенных, не справляется своими силами и прибегает к помощи вендоров и интеграторов. Дефицит специалистов достаточной квалификации – это самая распространенная проблема, с которой сталкиваются компании, внедрившие SIEM.
Что делать
За SIEM-системами закрепилась слава сложных enterprise-продуктов, что и подтверждают данные опроса. Тем не менее часть сложностей, с которыми сталкиваются при внедрении продуктов компании, можно нивелировать правильной постановкой техзадания перед пилотом. В таком случае на тесте вы увидите, что не все SIEM-системы «одинаково полезны».
- Отличаются требования к железу, часто в разы. Нужно просить расчет у разных вендоров под необходимое вам число источников. А позже – тестировать.
- Отличается требовательность к сотрудникам. Чтобы приступить к работе с одной системой нужно пройти многонедельные курсы, с другой – достаточно провести вводный разговор с техподдержкой.
- Отличается и подход к техподдержке у разных вендоров. Например, у вендоров может быть строго регламентировано число обращений в месяц.
- Разное количество предустановленных правил корреляции и возможности для их написания под себя.
- Разное количество доступных из «коробки» коннекторов. Их должно быть достаточно, чтобы система начала работать сразу. Остальные источники можно присоединить позже, но нужно уточнять, насколько сложно писать свой коннектор.
- Разные системы лицензирования, которые радикально влияют на размер итогового счета. Есть разные варианты – от учета количества событий в секунду (EPS), потоков в минуту (FPM) до лицензий по числу хостов. Этот момент нужно прояснять на этапе тестирования.
- Разный интерфейс. SIEM регулярно используют не только IT- и ИБ-специалисты, но и специалисты других профилей (системные администраторы, например). Поэтому хорошо, если бы в программе было просто сориентироваться любому, кто хоть раз открывал «ворд» или «эксель».
- Разная нагруженность дополнительным функционалом, который может оказаться невостребованным.
И напоследок. При всех сложностях, о которых мы говорили, SIEM-система – отличный программный продукт, который после всех настроек существенно облегчит жизнь, что подтверждают ответы на вопрос о том, что же все же мотивирует покупать SIEM. И как видите, требования регуляторов даже не на первом месте.
Что мотивировало на покупку SIEM?*
*можно было выбрать несколько вариантов ответа, % от числа компаний с SIEM
- Растущее количество ИБ-инцидентов – 41%
- Необходимость контроля специфических источников – 40%
- Требования регуляторов – 34%
- Расширение инфраструктуры 26%
- Другой вариант – 4%