5 главных заблуждений о SIEM

Системы мониторинга событий информационной безопасности окружены мифами, начиная с того, что такой мониторинг якобы не нужен или он только для крупных компаний, а это откладывает их внедрение либо они используются неэффективно.

В колонке на РБК Компании «SIEM: 5 мифов, мешающих компаниям эффективно защищаться» технический директор ARinteg Максим Деев постарался развеять эти  представления, а заодно показал, чем рискует бизнес, когда оказывается у них в плену.

МИФ 1

«У нас уже есть антивирус, нет ценных данных, зачем SIEM?»

Антивирус — это лишь один из слоёв защиты, который не покрывает все угрозы.

«Нет ценных данных» — опасное заблуждение. Антивирус не видит аномалий в поведении пользователей (например, утечку данных или подозрительные действия сотрудников).

Даже если компания не хранит платежные данные, у неё есть:

·         персональные данные сотрудников (требования к обработке таких данных установлены 152-ФЗ).

·         корпоративные учетные записи (доступ к почте, облакам, CRM).

·         интеллектуальная собственность (документы, базы клиентов). 

Атаки на компании происходят не только ради наживы, злоумышленники могут использовать инфраструктуру компании:

·         для майнинга.

·         последующих атак на партнёров (через взломанную сеть).

·         шпионажа (даже небольшие фирмы могут быть «мостиком» к более крупным целям).

SIEM помогает обнаруживать не только вирусы, но и подозрительную активность, которую антивирус пропустит.

МИФ 2

«Мониторинг — это только для крупных компаний»

Сегодня наступление киберинцидента – вопрос не вероятности, а времени, такое событие рано или поздно произойдет, и к этому надо быть готовым. Кибератаки – реальная угроза для любого предприятия, а малый и средний бизнес нередко становится лёгкой добычей хакеров.

МИФ 3

«Мы не видим угроз в логах, и SIEM не нужен»

Так угрозы и невозможно иначе выявить — современные атаки слишком сложные и распределённые для возможности ручного анализа. Логирование без анализа бесполезно. SIEM автоматически коррелирует события из разных источников.

Человек не заметит «медленную» атаку, распределенную во времени. Если злоумышленник месяцами выстраивает цепочку доступа к данным, то именно SIEM выявит аномалии. Без SIEM вы не будете знать, что уже атакованы.

Если вы не видите угроз в логах — это не значит, что их нет. SIEM помогает находить скрытые атаки. 

МИФ 4

«SIEM работает из коробки и сам исправляет проблемы»

SIEM — это инструмент, а не волшебный чёрный ящик. Он требует настройки под инфраструктуру. Без правильных правил и корреляций он будет выдавать ложные срабатывания.

Не заменяет SOC-аналитиков. SIEM только показывает угрозы, но реагировать должен человек (или SOAR-система).

SIEM эффективен только при правильной настройке и регулярном обслуживании.

МИФ 5

«SIEM помогает обнаружить только атаки»

Не только, он помогает оптимизировать бизнес-процессы.

Так, SIEM пригодится в случае:

·         мониторинга инцидентов ИТ-инфраструктуры (падение серверов, сбои в работе приложений);

·         анализа действий сотрудников (кто и когда изменял критичные файлы);

·         поддержки compliance (GDPR, PCI DSS, 152-ФЗ) — автоматический сбор доказательств для аудита.

SIEM — это не только про хакеров, но и про контроль над всей ИТ-средой. Этот инструмент, наряду с SOAR и XDR, неслучайно входит в числе решений, которые «заставят хакеров сдаться без боя». SIEM позволяет комплексно анализировать события от разных СЗИ для понимания цепочки атаки, выявлять сложные шаблоны кибератак, которые могут остаться незамеченными отдельными системами безопасности. Она анализирует логи, поступающие от разных СЗИ, и «подсвечивает» аномалии. 

Будущее SIEM: машинное обучение меняет подход к обнаружению угроз 

Машинное обучение усиливает возможности SIEM, предоставляя более точные алгоритмы для выявления угроз. Панели мониторинга в реальном времени позволяют отслеживать текущие события и быстро расставлять приоритеты.

В качестве примера могу привести приоритизацию событий в KUMA, где модуль машинного обучения анализирует, насколько характерна та или иная активность, связанная с различными активами — рабочими станциями, виртуальными машинами, мобильными телефонами и так далее. Если алерт, выявленный системой в результате корреляции событий, не является типичным для актива, на котором он обнаружен, такое срабатывание помечается в интерфейсе дополнительным статусом. Таким образом, аналитик быстрее видит инциденты, которые требуют первостепенного внимания. 

«Лаборатория Касперского» недавно провела опрос представителей российских предприятий и госкорпораций, который показал, что весомая доля компаний использует или планирует использовать более продвинутые классы решений, такие как SIEM.

Тем не менее, те компании, которые в последние два года стали переходить к более сложным решениям, таким как SIEM, находятся еще в начале этого пути. Отдачу от такого шага можно ожидать в перспективе трех-пяти лет. За первые два года можно было определиться с необходимыми системами, выбрать их, сделать первые шаги в описании новых бизнес-процессов с их использованием. Дальше с SIEM-системами должны работать аналитики, а таких специалистов на рынке катастрофически недостает.