© 1995-2022 Компания «Инфосистемы Джет»
Цели и особенности внедрения SIEM системы в Банке Тинькофф
Информационная безопасность

Cвоим экспертным мнением делится Алексей Кислицын, руководитель управления информационной безопасности Тинькофф Банка

04.09.2015

Посетителей: 280

Просмотров: 270

Время просмотра: 2 мин.

По этому и другим вопросам – интеграции SIEM с источниками данных, экономической эффективности решения и т.д. – своим экспертным мнением делится Алексей Кислицын, руководитель управления информационной безопасности Тинькофф Банка.

Алексей, наш первый вопрос связан с функционирующей в вашем банке SIEM-системой. Опишите, пожалуйста, процесс выбора решения.

При выборе SIEM-системы мы изучали рынок решений этого класса, мнения экспертов отрасли и непосредственных пользователей систем. У некоторых производителей весьма неплохо развиты профессиональные интернет-сообщества, в которых идет живое общение по поводу особенностей их продуктов, описаны лучшие практики и решения проблем, возникающих при эксплуатации.

 

Несколько решений – McAfee SIEM, HP ArcSight, IBM QRadar – мы развернули в пилотной зоне, чтобы составить собственное мнение об их работе применительно к нашей инфраструктуре.

С какими системами интегрировано SIEM-решение?

В нашу SIEM систему поступают данные из журналов различных систем безопасности, в том числе обнаружения/предотвращения вторжений и целевых атак, журналов контроллеров домена, прокси-серверов, firewall’ов и т.д. Стоит сказать, что чем больше данных вы будете собирать и обрабатывать, тем полнее будет картина, тем лучше и точнее вы сможете сопоставлять события и выявлять нарушения, а также строить прогнозы для своевременного изменения или корректировки правил обработки событий в SIEM.

Какие факторы обычно являются драйверами внедрения SIEM?

Для начала стоит сказать, что лучше самой компании-заказчика никто не сможет сформулировать и поставить задачи по развертыванию SIEM системы. Это подразумевает ее определенную зрелость и четкое осознание, почему этого решения не хватает и какую пользу хочется от него получить.

 

Обычно драйвером проекта является желание автоматизировать ежедневную рутинную работу по разбору инцидентов, ускорить анализ огромного объема журналов событий, который необходимо пересматривать при расследовании инцидентов и для сбора доказательной базы. В результате внедрения SIEM сократится время обработки событий, и, как следствие, освободятся человеческие ресурсы.

Предлагаем посмотреть на другую сторону медали – что может «вставлять палки в колеса» проекта?

Основной проблемой может стать отсутствие у заказчика опыта подключения к SIEM источников данных. Ситуацию усугубляет тот факт, что у производителей существуют свои подходы и инструменты для осуществления этой операции. Чтобы как следует разобраться в данном вопросе, нужно потратить много времени, но зачастую у компании нет на это свободных человеческих ресурсов, не хватает компетенций, знания особенностей SIEM. Отмечу, что делегировав задачу подключения источников интегратору и не поставив при этом четкого ТЗ, компания рискует получить на выходе посредственную реализацию.

 

В любом случае SIEM-система будет требовать постоянной поддержки и тюнинга. Это можно осуществлять собственными силами или прибегать к услугам аутсорсера – интегратора, имеющего большую компетенцию в данном вопросе. На мой взгляд, первый вариант более правильный – нужно уметь самостоятельно управлять системой и настраивать ее.

В чем заключается отраслевая специфика Вашей компании в части внедрения и эксплуатации таких решений? Есть ли точки пересечения с другими отраслями?

Во многом задачи и потребности в части SIEM в разных отраслях совпадают: всем интересна периметровая защита, никто не хочет проникновения злоумышленников в корпоративную сеть, утечки чувствительных данных и т.п. В то же время степень критичности и характер инцидентов однозначно отличаются, причем даже в компаниях одной отрасли – это целиком зависит от модели ведения бизнеса. Например, более «агрессивное» присутствие компании в сети Интернет (направленность на e-commerce) подразумевает большое внимание к ней со стороны сетевых злоумышленников, следовательно, некоторые типы угроз извне более актуальны. При этом нельзя сбрасывать со счетов и внутреннего нарушителя, особенно сотрудников, превышающих свои полномочия или использующих свое положение и информацию, которая им доступна, не по назначению.

От чего в таком случае SIEM не защитит? Чего не стоит ждать от подобных решений?

SIEM – прекрасный инструмент для сопоставления и анализа событий, но ошибки при составлении правил и вообще человеческий фактор всегда имеют место. Нельзя слепо доверять тому, что было написано ранее: нужно всегда дополнять или пересматривать то, что есть – проверять, насколько корректно работают созданные вами правила. Так, отсутствие срабатываний ослабляет бдительность и вовсе не говорит о том, что ничего не происходит – вполне вероятно, что вы просто чего-то не видите. Избыточность срабатываний (в том числе ложных) при слишком чувствительных настройках также отвлекает, и вы перестаете реагировать на всплывающие предупреждения с должным вниманием, как следствие, можете пропускать что-то важное.

«Внедрение SIEM не целесообразно» – возможна ли такая ситуация? В каких случаях/компаниях это может иметь место?

Проект не целесообразен, если компания относительно небольшая – соответственно, мало событий/трафика или бюджет на внедрение многократно превышает содержание сотрудников, занимающихся этим направлением безопасности. В таком случае оптимальнее будет ручной режим обработки событий.

 

При этом стоит отметить, что SIEM-решение позволяет существенно экономить по мере роста компании, в основном затратно само внедрение, а последующая поддержка может быть оптимизирована.

Специалисты, работающие с SIEM, – много ли их на рынке? Какими качествами они должны обладать?

В любом случае хороших ИБ-специалистов не так много, поэтому сотрудник, умеющий правильно обращаться с SIEM, – это пока «штучный товар». Конкретные профессиональные качества, необходимые сотрудникам, зависят от того, что вы от них ждете – разбора инцидентов от оператора 1-й линии или же построения правил и тюнинга системы от аналитика/архитектора и т.д. Но так или иначе эти специалисты должны быть легко обучаемы и открыты всему новому. Важными качествами являются незашоренность и наличие исследовательской жилки – желание постоянно совершенствовать свои навыки, приобретать новый опыт.

Что ждет рынок SIEM в ближайшем будущем – Ваши прогнозы?

Многие эксперты говорят, что в чистом виде системы подобного класса перестанут существовать и преобразуются в нечто новое. Я полагаю, что будет симбиоз нескольких ИБ-решений – новая высокоуровневая система безопасности, включающая в себя все аспекты новых модных направлений. Она, наконец, сможет нормально «подружить» поиск и анализ уязвимостей и последующую проверку их эксплуатируемости в конкретном сегменте сети, а также будет включать защитные функции по необходимости и др. Все технологии уже есть в разных продуктах: осталось только реализовать эту концепцию в едином решении, скорее всего, в софт- верном. Важно, чтобы оно было удобным для интегрирования в существующую инфраструктуру компании и интуитивно понятным для управления и поддержки.

 

Может быть, интеграция подобной системы реализуется на уровне единых протоколов обмена между различными производителями железа: к этому периодически призывает ряд поставщиков решений, но подобные отраслевые стандарты внедряются со скрипом из-за конкуренции между крупными игроками.

SIEM – это в большей степени «центр затрат» или «центр прибыли»? Как вы полагаете и почему? В чем можно измерить эффективность подобных решений?

Речь идет не о прибыли, а, скорее, об оптимизации и снижении потерь – сохранении средств компании и экономии в перспективе. Монетизировать выгоду от использования SIEM или оценить эффективность системы для бизнеса сложно. Дело в том, что в подобной оценке будут фигурировать эфемерные определения: предотвращение событий с определенной долей вероятности, влекущих за собой тяжелые последствия для бизнеса – возможную остановку деятельности, потерю средств компании/клиентов, недоступность сервисов, а также репутационные потери.

Достигается ли в вашем банке бизнес-эффект с помощью SIEM?

Думаю, да, но он не всегда очевиден: опосредованно накопленные данные используются в расследованиях, а также при управлении инцидентами ИБ, и через это оказывается влияние на различные бизнес-процессы в плане их пересмотра – корректировки и оптимизации.

Алексей, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

"По сути дела, мы не банк в чистом виде"

По сути дела, мы не банк в чистом виде. Мы – ИТ-компания с банковской лицензией, и это накладывает свою специфику на процессы обеспечения ИБ

Превосходный SOC, или Рецептура решения инцидентов

Как построить оптимальный SOC и грамотно выстроить процесс решения инцидентов

Как организовать Threat Hunting

Когда и зачем нужно проводить Threat Hunting? Как SIEM может помочь во время “охоты”? Кейс: выдвигаем и проверяем гипотезу?

Кадровый голод в ИБ

Как регуляторы влияют на рынок ИБ? Почему tinkoff.ru не торгуется с соискателями? что общего между Positive Technologies и Гнесинкой?

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

SIEM против закона Мёрфи

Беседуем с Михаилом Ивановым, начальником отдела информационной безопасности Sberbank CIB

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня