Данное руководство предназначено для разъяснения ценности платформ Security Information and Event Management ( SIEM ) и Security Orchestration, Automation, and Response ( SOAR ), объяснения принципов их работы, описания основных вызовов внедрения и предоставления высокоуровневых рекомендаций по их реализации.
Инструкция в первую очередь предназначена для лиц, принимающих решения на исполнительном уровне организации, но может использоваться любой организацией, рассматривающей возможность внедрения SIEM и/или SOAR.
Комплексное руководство состоит из трех частей:
- Внедрение SIEM и SOAR: гайд для руководителей - определяет платформы SIEM/SOAR, описывает их преимущества и вызовы, предоставляет общие рекомендации по внедрению
- Внедрение SIEM и SOAR: руководство для специалистов - предоставляет более детальные технические рекомендации
- Приоритетные логи для приема SIEM: руководство для специалистов - содержит подробные технические рекомендации по логам, которые должны быть приоритетными для приема SIEM
Ценность SIEM и SOAR платформ
SIEM и SOAR платформы могут быть компонентами стратегии мониторинга и обеспечения видимости вашей организации. Видимость является основой для обнаружения вредоносной киберактивности и критически важна для эффективной и комплексной стратегии кибербезопасности.
Основные возможности платформ
Эти платформы могут:
- Повысить общую видимость происходящего в сети организации путем сбора, централизации и анализа важных квалифицированных данных о событиях, которые в противном случае были бы крайне сложными и разрозненными
- Улучшить обнаружение событий и инцидентов кибербезопасности путем генерации быстрых оповещений о подозрительной активности
- Усилить обнаружение событий и инцидентов путем предотвращения модификации/удаления определенных данных злоумышленниками для сохранения доступа к сети (как наблюдалось в кампании Volt Typhoon)
- Улучшить реагирование на события и инциденты кибербезопасности путем побуждения к своевременному вмешательству через оповещения и обеспечения доступа специалистов по реагированию к данным о произошедших событиях
- Автоматизировать реагирование (в случае SOAR) путем автоматизации определенных действий по реагированию, сокращения среднего времени реагирования и предоставления команде безопасности возможности сосредоточиться на более сложных проблемах
- Помочь в соответствии требованиям Essential Eight Maturity Model Австралийского управления сигналов и Целям производительности кибербезопасности (CPGs) Агентства кибербезопасности и безопасности инфраструктуры (CISA), которые требуют сбора и централизации данных журналов
Результаты внедрения
Следовательно, эти платформы могут помочь поддерживать функционирование систем и сервисов вашей организации и защищать данные от несанкционированного доступа, модификации и кражи.
Принципы работы платформ
Сеть одной организации может быть крайне сложной, содержащей множество устройств, приложений, операционных систем и облачных сервисов. Каждый из этих источников в сети может генерировать данные журналов или специфическую информацию о том, что происходит внутри источника (такую как пользовательская активность на устройстве).
Что такое SIEM
SIEM собирает сложные и разрозненные данные журналов со всей сети и консолидирует их в упорядоченные отчеты и панели мониторинга. SIEM также анализирует эти данные через применение правил и фильтров для обнаружения аномальной сетевой активности, которая может представлять событие или инцидент кибербезопасности.
Многие продукты SIEM усиливают этот анализ, включая актуальную информацию о киберугрозах из внешних источников. Если SIEM обнаруживает событие/инцидент, он генерирует оповещения, побуждая команду безопасности организации к расследованию и реагированию по мере необходимости.
Что такое SOAR
Некоторые платформы SOAR выполняют эти функции самостоятельно, в то время как другие интегрируются с существующим SIEM и используют его возможности сбора, централизации и анализа.
Принцип работы SOAR
В любом случае SOAR автоматизирует часть реагирования на обнаруженные события и инциденты кибербезопасности. Он делает это путем применения предопределенных "плейбуков" (playbooks), которые устанавливают определенные действия, выполняемые при возникновении конкретных событий, например:
- Изоляция источника события в сети
- Блокирование подозрительного трафика
- Автоматическое уведомление ответственных лиц
- Сбор дополнительной информации о инциденте
Ключевые вызовы внедрения платформ
Этот персонал сталкивается с двумя ключевыми техническими вызовами:
Первый вызов: Обеспечение точности оповещений SIEM
Первый вызов заключается в том, чтобы обеспечить генерацию SIEM оповещений при возникновении событий и инцидентов кибербезопасности и, наоборот, отсутствие оповещений при отсутствии событий/инцидентов.
Для достижения этой цели персонал должен:
- Определить правильные типы и количество данных журналов для приема SIEM
- Установить правильные правила и фильтры для применения к этим данным
- Разработать модель угроз, которая определяет события, представляющие интерес и способные запускать оповещения, связанные с моделью угроз, для обеспечения точности оповещений
Последствия неточной настройки:
- Перегрузка ложными оповещениями: Команды безопасности могут быть операционно перегружены ложными оповещениями от SIEM
- Пропуск реальных инцидентов: Реальные события/инциденты могут быть пропущены из-за отсутствия оповещений
Второй вызов: Обеспечение правильности действий SOAR
Второй ключевой технический вызов заключается в том, чтобы обеспечить предпринятие SOAR соответствующих действий только в ответ на реальные инциденты кибербезопасности, а не против обычной сетевой активности или действий, препятствующих специалистам по реагированию на инциденты.
Требования к ресурсам и непрерывной работе
Для решения этих технических вызовов персонал должен:
- Тщательно настроить SIEM и/или SOAR для уникальной сети и организации, в которой они используются
- Постоянно корректировать их работу по мере изменения сети, технологий и ландшафта киберугроз
- Регулярно тестировать их эффективность
Варианты выполнения работ:
- Внутренними силами
- Внешним поставщиком услуг
- Комбинацией двух подходов
Стоимость внедрения
Правильное внедрение SIEM и/или SOAR включает значительные затраты, которые могут включать первоначальные и постоянные:
- Лицензирование и использование данных: Затраты на лицензирование и/или использование данных платформы
- Персонал: Затраты на найм и удержание сотрудников с востребованными специализированными навыками внедрения SIEM и/или SOAR
- Обучение: Затраты на повышение квалификации существующих сотрудников, а также постоянные затраты на непрерывное обучение, необходимое для поддержания платформы по мере изменения технологий, сети и ландшафта угроз
- Аутсорсинг: Затраты на услуги, если внедрение передается на аутсорсинг
Стоимость бездействия
Однако неспособность обнаружить или правильно отреагировать на инцидент кибербезопасности может быть крайне дорогостоящей. Это также может привести к:
- Отключению систем организации
- Нарушению предоставления услуг
- Утечке или уничтожению данных
- Потере общественного доверия
Рекомендации по внедрению
Ниже приведены высокоуровневые стратегические рекомендации для руководителей, рассматривающих возможность внедрения SIEM и/или SOAR.
A. Рассмотрите возможность внутреннего внедрения
Когда необходимо внутреннее внедрение
Если ваша организация управляет конфиденциальной информацией или предоставляет критически важные услуги, может потребоваться внутреннее внедрение платформы.
Преимущества внутреннего внедрения
Ключевое преимущество внутреннего внедрения SIEM и/или SOAR заключается в том, что персонал обычно имеет:
- Глубокие знания уникальной сети и бизнес-процессов организации
- Полномочия для запроса у пользователей информации о необычном поведении
- Возможность немедленного инициирования действий по реагированию на инциденты
В отличие от этого, аутсорсинг может привести к:
- Пробелам в видимости
- Дублированию работы
- Трудностям в коммуникации
Вызовы внутреннего внедрения
Однако развитие и удержание внутренних возможностей может быть сложной задачей, поскольку это ресурсоемко и эти навыки пользуются высоким спросом. Руководители должны ожидать, что несколько сотрудников должны будут работать над внедрением SIEM и/или SOAR на постоянной основе. Эксплуатация этих платформ также может включать длительные периоды высокострессовой работы.
Критерии выбора внешнего поставщика
Если ваша организация передает часть или все внедрение на аутсорсинг, рекомендуется рассмотреть, предоставляют ли различные поставщики услуг:
- Высококачественный круглосуточный мониторинг и службу реагирования на инциденты
- Известную хорошую позицию в области кибербезопасности
- Информацию о том, находятся ли они в иностранном государстве или имеют офисы в иностранных государствах
Важные контрактные положения
Вы также должны уделить особое внимание контрактным положениям относительно:
- Проверка эффективности: Как будет проверяться и обеспечиваться эффективность услуги
- Соответствие требованиям: Как поставщик услуг будет проверять соответствие законодательным, нормативным и внутренним требованиям, применимым к вашей организации
- Уровень квалификации: Уровень квалификации поставщика услуг
- Объем услуг: Услуги, которые будут предоставлены, включая использование стандартов, обучение и обратную связь от конечных пользователей
- Видимость: Степень видимости, которую поставщик услуг предоставит обратно вашей организации
- Разделение ответственности: Разделение ответственности и обязательств по обнаружению и реагированию на инциденты кибербезопасности
B. Ищите потенциальные скрытые затраты в различных продуктах
Рекомендуется тщательно изучить затраты, связанные с различными продуктами SIEM и/или SOAR. Обычно персонал со временем подает в SIEM увеличивающееся количество данных журналов для улучшения видимости и обнаружения платформы.
Риск роста затрат
Большинство моделей ценообразования SIEM основаны на количестве данных, которые SIEM принимает. Некоторые продукты ограничивают прием согласно предварительно приобретенному количеству. Для продуктов, которые этого не делают, ваша организация должна быть внимательна к потенциально очень значительным затратам, если прием не управляется тщательно.
C. Планируйте постоянные затраты на внедрение, особенно затраты на обучение
Как указано выше, правильное внедрение SIEM и/или SOAR включает значительные первоначальные и постоянные затраты.
Организации должны консультироваться с документацией поставщиков, чтобы определить, могут ли альтернативные варианты ведения журналов снизить эти затраты.
Для организаций, которые развивают внутренние возможности, рекомендуется выделить значительные усилия и финансирование на непрерывное обучение персонала с течением времени.
D. Правильно внедрите SIEM перед рассмотрением внедрения SOAR
В общем случае необходимо правильно внедрить SIEM и обеспечить точность его оповещений о событиях и инцидентах кибербезопасности перед внедрением SOAR.
E. Обеспечьте тестирование производительности платформ
Крайне важно установить внутренние процессы и процедуры для тестирования того, эффективно ли платформа оповещает вас о событиях и инцидентах кибербезопасности, поскольку постоянные изменения в сетях, технологиях и ландшафте киберугроз будут влиять на производительность.
Рекомендации по тестированию
После установления зрелой возможности SIEM и/или SOAR рекомендуется тестировать производительность с использованием внешних профессиональных сервисных возможностей, таких как пентестирование.
Рекомендуется исследовать различных поставщиков SIEM и/или SOAR, которые лучше всего подходят потребностям вашей организации.
Заключение
Внедрение SIEM и SOAR платформ представляет собой стратегически важное решение для организаций, стремящихся повысить уровень кибербезопасности. Эти технологии могут значительно улучшить способность организации обнаруживать, анализировать и реагировать на киберугрозы, но их успешное внедрение требует тщательного планирования и значительных инвестиций.
Ключевые выводы для руководителей
- Стратегический подход: SIEM и SOAR не являются решениями "установил и забыл" - они требуют постоянного внимания и ресурсов
- Человеческий фактор: Успех внедрения критически зависит от наличия квалифицированного персонала и инвестиций в его обучение
- Поэтапность: Рекомендуется сначала правильно внедрить SIEM, а затем рассматривать добавление SOAR
- Выбор подхода: Тщательно взвесьте преимущества и недостатки внутреннего внедрения против аутсорсинга
- Скрытые затраты: Учитывайте не только первоначальные расходы, но и долгосрочные затраты на эксплуатацию и обучение
- Непрерывное совершенствование: Планируйте регулярное тестирование и настройку систем
- Альтернативы: Рассмотрите возможность использования более простых и экономичных решений, если они соответствуют потребностям организации
Правильно внедренные SIEM и SOAR платформы становятся мощным инструментом защиты организации, способным обеспечить видимость сетевой активности, быстрое обнаружение угроз и эффективное реагирование на инциденты. Однако достижение этих результатов требует долгосрочной приверженности, адекватного финансирования и профессионального подхода к управлению этими сложными системами.
Помните: Стоимость правильного внедрения SIEM и SOAR может быть значительной, но цена неспособности обнаружить и отреагировать на серьезный инцидент кибербезопасности может быть гораздо выше - как в финансовом плане, так и с точки зрения репутации организации.
