"Daugeliui nereikia pristatinėti
saugumo įvykių valdymo sprendimo (SIEM), kuris centralizuotai kaupia saugumo
įvykius iš įvairių galinių taškų, leidžia užkardyti atakas bei pasikėsinimus į
jautrius duomenis. Vis aktyvesnių grėsmių kontekste vis daugiau įmonių planuoja
SIEM įsigijimą, tačiau susiduria su dilema – įsigyti savo SIEM platformą ar
rinktis sparčiai populiarėjančias SIEM paslaugas? Kuris iš šių sprendimų
efektyvus ne tik trumpalaikėje, bet ir ilgalaikėje perspektyvoje? Greičiau
rasti atsakymus į šiuos klausimus padeda „Blue Bridge“ SIEM ekspertai – „Blue
Bridge“ tinklo ir saugumo sprendimų vadybininkas Aivaras Teleiša ir SOC
(saugumo operacijų centro) vadovas Povilas Kaminskas.
Nuo prabangos iki
kasdienybės: kaip evoliucionavo SIEM?
Įsilaužėliai tampa vis išmanesni ir apsiginkluoja net
dirbtiniu intelektu, tad SIEM suteikiama
galimybė surinkti saugumo įrenginių duomenis į vieną vietą ir atsekti bendrą
puolimo vaizdą kaip niekada reikalinga. Tai leidžia atsekti sudėtingas atakos
grandinėles, kai bandoma įsilaužti skirtingais vektoriais.
Kaip rodo įvairių gamintojų statistika, be SIEM sudėtingų
atakų demaskavimui prireikia pusmečio ar net ilgesnio laiko. Turint SIEM šios
atakos susekamos per valandą ar dar trumpesnį laiką.
Svarbu ir tai, kad SIEM padeda valdyti atakos pasekmes –
padeda atsekti visą įvykių eigą, nustatyti, kodėl ataka buvo sėkminga ir
išvengti jos pasikartojimo.
Vis tik SIEM sprendimas nėra naujovė. Manoma, kad pati
SIEM idėja atsirado dar devintojo dešimtmečio pabaigoje. Suprasta, kad galima
sukurti sistemą, kurioje būtų centralizuotai kaupiami duomenys apie aplikacijų,
infrastruktūros ir naudotojų elgseną, o šių duomenų analizė galėtų padėti
pamatyti neįprastą elgseną, galinčią būti saugumo grėsmėmis.
Iki 2005 m. dauguma SIEM platformų vis dar buvo nuosavos
IT infrastruktūros dalis. Vėliau, vystantis debesijos paslaugoms, gamintojai
bei tiekėjai pradėjo siūlyti SIEM kaip paslaugą. Taip
prisidėta prie didesnio SIEM paplitimo įvairaus dydžio versle, o ne tik
didelėse įmonėse.
Pagrindiniai skirtingų
SIEM tipų pliusai
„Blue Bridge“ tinklo ir saugumo sprendimų vadybininkas A.
Teleiša atkreipia dėmesį, kad pirmiausia svarbu įsitikinti, kad jūsų
organizacija tikrai subrendusi SIEM sprendimui: „Jeigu jau naudojate
ugniasienę, galinių taškų grėsmių aptikimo ir atsako (NDR), naudotojų elgsenos
analitikos (UEBA), el. pašto apsaugos sprendimus ir kitus saugumo sprendimus,
tikėtina, kad artėja laikas, kai jums bus patogiau visus duomenis kaupti ir
analizuoti vienoje vietoje. SIEM tokiu atveju padidins jau turimų sprendimų
naudą.“
Jeigu toks scenarijus panašus į jūsų, tuomet reikėtų
pereiti prie skirtingų SIEM tipų lyginimo. Svarbu žinoti, kad SIEM kaip
paslauga paveldėjo visus SaaS (sistema kaip paslauga) privalumus – nedideles
pradines investicijas, patrauklią kainodarą, kai mokama tik už tiek, kiek
naudojama ir galimybę iškart pradėti naudotis SIEM. Vis dėlto, kaip pastebi A.
Teleiša, SIEM kaip paslaugos atsiradimas nereiškia nuosavo SIEM eros pabaigą.
„Svarbiausi nuosavo SIEM privalumai – visiška duomenų
kontrolė, galimybė kurti bei išlaikyti savo know-how, taisykles,
playbook‘us (gaires). Galiausiai, nuosavas SIEM garantuoja nepriklausomybę nuo
tiekėjų. Lengviau pakeisti aptarnaujančią sprendimą tiekėją, nei pakeisti patį
sprendimą“, – išvardija pašnekovas.
Minusų turi ir
nuosavas SIEM, ir paslauga
Kaip vieną didžiausių nuosavo SIEM minusų, „Blue Bridge“
SOC vadovas P. Kaminskas įvardija nuosavos komandos poreikį. „Viena vertus,
turint SIEM prižiūrinčią komandą, ją galima ugdyti pagal savo verslo specifiką
ir kultūrą. Kita vertus, komandą iš pradžių reikia suburti, o tai iššūkis net
stambiems verslams“, – pasakoja pašnekovas.
Jis pastebi, kad įprastai tokioje komandoje turėtų būti
net kelių lygių specialistai: „Pavyzdžiui, mūsų SOC komanda susideda iš
inžinierių, turinčių 3-7 metų patirtį konfigūruojant įvairius IT saugumo
sprendimus. Antrasis lygis – TIER-1 arba baziniai analitikai, turintys „CompTIA
Security+“sertifikatą ir analizuojantys SIEM renkamus sisteminius įrašus bei
teikiantys siūlymus SIEM taisyklių tobulinimui. Trečiasis lygis – tai TIER-2
analitikai/incidentų sprendėjai, valdantys incidentus, analizuojantys atakos
grandinėles ir teikiantys rekomendacijas. Galiausiai, turime ir TIER-3
specialistus arba etiškus įsilaužėlius, kurie yra bent 10 metų patirtį turintys
specialistai, sudarantys atakos grandinėlę ir atliekantys įsilaužimo
testavimus. Jeigu apsisprendėte turėti savo SIEM, mažesnė ar didesnė tokios
struktūros kopija turėtų atsirasti ir jūsų organizacijoje. Be to, svarbu
nepamiršti ir bazinių SIEM priežiūros kompetencijų.“
Didžiausias SIEM kaip paslaugos minusas, P. Kaminsko
nuomone, yra duomenų nutekinimo ar praradimo rizika, kuri visada egzistuoja
atiduodant savo duomenis trečiosioms šalims.
„SIEM kaip paslaugos privalumai irgi turi savo
kainą. Jeigu įsigyjate SIEM kaip paslaugą, turite priimti ir tai, kad jūsų
duomenys bus kaupiami ir analizuojami trečiosios šalies. Be to, greičiausiai
jie bus saugomi „debesyje“. Nepaisant IT tiekėjo profesionalumo ir įvairių
sutarčių, bet koks duomenų perkėlimas iš organizacijos infrastruktūros jau
atneša tam tikrą riziką. Antras su duomenimis susijęs aspektas yra tai, kad
galite ne visuomet turėti prieigą prie „žalių“, išeitinių log‘ų duomenų (angl.
raw log data). Jų gali prireikti, jeigu vieną dieną nuspręsite patys imtis
saugumo analizės arba vystyti savo SOC“, – komentuoja pašnekovas.
Kaip nepasiklysti tarp
SIEM gamintojų pasiūlymų?
Trečiasis žingsnis renkantis SIEM tipą – tai SIEM
gamintojų arba tiekėjų analizė. Kaip pasakoja A. Teleiša, renkantis nuosavą
SIEM, reikėtų įsigilinti į „The Forrester Wave“ ir „Gartner“ kvadrantą. Dar
vienas objektyvios informacijos šaltinis – „Gartner Peer Insights“ apžvalgos,
sudaromos remiantis ne gamintojų, o naudotojų nuomone.
Pašnekovas palygina SIEM pasirinkimą su prabangaus
automobilio įsigijimu – čia taip pat svarbi markė, komplektacija, naujovės. Nuo
visų šių elementų visumos ir priklauso galutinė sprendimo kaina.
„SIEM nėra pigus sprendimas. Tai rimta investicija, todėl
tarp svarbiausių kandidatų turėtų atsirasti vardai, minimi „Gartner“ kvadrante.
Taip pat patarčiau pasižiūrėti, kurie gamintojai turi partnerius Lietuvoje.
Tokiu būdu ne tik gausite kokybiškesnį palaikymą, bet ir ,galimai, palankesnes
kainas“, – akcentuoja A. Teleiška.
Renkantis sau
tinkamiausią sprendimą tarp lyderių
Pašnekovas pabrėžia, kad pažintis su pirmaujančiais
gamintojais turėtų būti išsami. Reikėtų išsiaiškinti, kodėl vieni ar kiti
vardai pirmauja, ir ar jūsų organizacijai tie privalumai aktualūs.
„Pavyzdžiui, „LogRhythm“ SIEM sprendimas pirmauja jau 9
metus ir yra tendencijas diktuojantis gamintojas. Po gilesnės analizės galime
pamatyti, kad įsigydami „NextGen SIEM“ platformą, gauname 3 kertines funkcijas
– duomenų analitikos, įvykių koreliacijos ir atsako (angl. Security
Orchestration, Automation and Response (SOAR)). Tai reiškia, kad mokame
daugiau, tačiau su bazine platformos komplektacija gauname daugiau“, – pasakoja
A. Teleiša.
Tokiu būdu reikėtų įvertinti kiekvieną gamintoją,
apžvelgti jo bazines galimybes ir inovacijų brandą. „Svarbu pastebėti, kad
jeigu gamintojas skelbia, kad naudoja dirbtinį intelektą arba mašininį
mokymąsi, reikėtų pasižiūrėti, kada ši inovacija buvo pristatyta. Gamintojai
skuba pritaikyti naujausias technologijos, todėl dalis tokių integracijų vis
dar „žalios“, sunkiai naudojamos kasdieniam darbe“, – pastebi pašnekovas.
Jei nusprendėte
išbandyti SIEM paslaugas – ieškokite kuo didesnės nepriklausomybės
Svarbiausias kriterijus, į kurį siūlo atsižvelgti P.
Kaminskas renkantis SIEM kaip paslaugas, tai šios paslaugos lankstumas. „Mažas
pradines investicijas, mažas SIEM įrankio išlaidas bei galimybę nesirūpinti
saugumo analitikų išlaikymu, ko gero, gali pasiūlyti visi SIEM kaip paslaugos
tiekėjai. Taip pat dauguma SIEM tiekėjų dirba su žinomais SIEM gamintojais.
Todėl svarbu įvertinti, kaip konkrečiai atrodo SIEM paslaugos – kas į jas
įeina, o kas ne. Būtent paslaugų lankstumas gali leisti jums „nukenksminti“
vieną svarbiausių SIEM kaip paslaugos minusų – didelę priklausomybę nuo IT
tiekėjo“, – sako pašnekovas.
P. Kaminskas pasakoja, kad, pavyzdžiui, „Blue
Bridge“ SIEM kaip paslauga leidžia naudotis SIEM įrankiu klientui
patogiausiomis sąlygomis: „Galime pasirūpinti turimo SIEM priežiūra, analizuoti
kliento kaupiamus SIEM duomenis arba išnuomoti klientui savo SIEM įrankį bei
pasirūpinti jo priežiūra ir duomenų analize. Kiekvienas iš šių variantų susiję
ir su skirtingais priklausomybės nuo vieno tiekėjo lygiais.“
Pasidomėkite tiekėjo
kultūra ir papildomomis naudomis
Pašnekovas paragina pasidomėti ir papildomomis naudomis,
kurias gali pasiūlyti SIEM kaip paslaugos tiekėjas: „Pavyzdžiui, mes visais
atvejais teikiame detalias saugumo rekomendacijas, atsakome į klientui
kylančius klausimus. Taip pat, jei dirbame su kliento turimu SIEM, ieškome būdų
sprendimą optimizuoti – t. y. sumažinti netikrų saugumo įvykių (angl. false
alarm) skaičių. Ilgalaikėje perspektyvoje tai leidžia sutaupyti.“
Galiausiai, „Blue Bridge“ SOC vadovas rekomenduoja
nebijoti vadovautis savo įspūdžiu apie IT tiekėją. „Dirbant su SIEM, kliento
įmonės veiklos specifika ir kultūra yra svarbi. Tiekėjo komanda šiuo
požiūriu niekada neprilys nuosavai komandai, tačiau gali sėkmingai arba
nesėkmingai integruotis į jūsų kultūrą. Būtent todėl renkantis SIEM tiekėją,
galite pasidomėti tiekėjo organizacine kultūra. Jeigu ji pasirodys visiškai
kitokia nei jūsų, tikriausiai, šis tiekėjas nėra tinkamas. Dideli skirtumai
gali kelti ir bendradarbiavimo, ir pasitikėjimo iššūkių. Kadangi SIEM yra apie
jautrių duomenų kaupimą, analizę, kai kada – ir bendrą darbą užkardant ataką,
„žmogiškieji“ aspektai – svarbūs“, – pabrėžia P. Kaminskas.”
Komentarų nėra:
Rašyti komentarą