Михаил, наш первый вопрос связан с внедренным в вашей компании решением. Как проходил его выбор?
Мы реализовали стандартную для таких ситуаций схему: на этапе формирования требований изучали отчеты Gartner, IDC, Forester Research, анализировали функционал SIEM-систем, обращались к аналогичному опыту коллег. Например, мы провели несколько референс-визитов – в крупный российский банк, телекоммуникационную компанию и международный холдинг. Напрямую общались с экспертами, уже внедрившими и эксплуатирующими SIEM. Наработанный опыт коллег позволил нам избежать возможных ошибок на всех этапах внедрения системы, в том числе в части закладки возможностей ее масштабирования.
Как говорится, с этого момента поподробнее.
Просчеты, связанные с масштабированием системы, встречаются чаще всего. При закупке оборудования под SIEM ты закладываешь определенное количество элементов ИТ-инфраструктуры, которые будут передавать информацию в решение. При этом зачастую не учитывается, что их реальное – актуальное на данный момент – число не отражает будущую нагрузку. Его нужно умножать минимум на два. Capacity Management позволяет избежать внезапных открытий из разряда «мы поставили слабый сервер, не рассчитали ширину канала». На этапе проектирования мы учитывали подобный риск и закладывали мощности по разумному максимуму.
То есть процесс «погружения» SIEM в ваш ИБ-ландшафт прошел без сучка без задоринки?
Не совсем, само внедрение прошло гладко, небольшой сюрприз преподнесли первые несколько месяцев техподдержки вендора. Производитель нашего SIEM-решения в тот момент участвовал в сделке по слиянию компаний, и происходило объединение масштабных баз данных конечных пользователей. В итоге то время, когда техподдержка со стороны вендора по объективным причинам не оказывалась, было бесплатно включено в наш следующий сервисный контракт. Я участвовал в трех слияниях крупных банков и не понаслышке знаю, что такое интеграция систем – обстоятельство непреодолимой силы, так и иначе вызывающее «шероховатости» в работе компании. В последующем с точки зрения поддержки у нас не возникало никаких вопросов.
Проявлялась ли отраслевая специфика при внедрении и эксплуатации SIEM-решения?
Да, в принципе объекты мониторинга можно разделить на классические и специфические. Первые «отрасленезависимы», обычно это инфраструктурные элементы – межсетевые экраны, службы каталогов, файловые ресурсы, базы данных, шлюзы безопасности прикладного уровня, веб-серверы и т. д. Соответственно, они подразумевают штатные коннекторы. Другое дело – специфические объекты, в телекомах это биллинговые системы, в банках – АБС, в инвестиционно-банковском секторе – системы управления позициями, рисками, заявками. Для них коннекторы нужно разрабатывать самостоятельно или с помощью интеграторов.
А что касается степени критичности тех или иных инцидентов – есть ли здесь зависимость от отрасли?
Любой инцидент – это всегда форс-мажор, его критичность зависит от того, какое воздействие он оказывает на бизнес компании. Соответственно, сложно оценить, насколько серьезность инцидента в финансовой сфере отличается от таковой в ритейле, например. И там, и там потери потенциально могут исчисляться миллионами.
С какими системами вы в первую очередь интегрировали SIEM и почему?
Принцип отбора прост – нужно максимально оперативно включать в «поднадзорный» ландшафт те ИТ-ресурсы, наличие которых в ИТ-инфраструктуре очевидно для злоумышленников. Речь идет как раз о штатных элементах, подключить которые можно, образно говоря, в два клика. Другое дело, что при их интеграции с SIEM нужно учитывать ряд моментов.
Например?
Формат логов, их размер, общий объем, какую нагрузку он даст на хранилище данных, сможет ли движок SIEM-системы в принципе его обработать. И самое главное – нужно четко понимать, как интерпретировать и использовать полученный массив данных. Собрать – это лишь часть процесса, система должна «переварить» информацию и понять, что действительно важно – что является просто event’ом, а что – инцидентом. То есть необходимо установить нормативные показатели, а затем контролировать их корреляцию с общей ситуацией.
Как вы для себя определяете наступление часа Х – необходимости корректировки показателей?
Допустим, происходит одно событие – атака на устройство – с критичностью 9, и для тебя это не форс-мажор. Но вторая подобная активность за короткий промежуток времени уже настораживает. Понятно, что это не script kiddie, когда забрасывают шар, не «попадают» и решают не связываться. Налицо планомерная атака на устройство, идут систематические попытки подбора. Это критерий, который поднимает тебе флажок. Или наоборот – то, что раньше считалось риском, сегодня уже таковым не является. ИТ-инфраструктура ежедневно «дышит», и SIEM-система по отношению к ней выполняет роль своеобразного стетоскопа. Другое дело, что этим прибором нужно уметь правильно пользоваться – необходимы квалифицированные кадры.
Если вы затронули тему персонала, озвучьте ваше мнение – достаточно ли на рынке специалистов, умеющих качественно работать с SIEM?
Термину SIEM уже больше 10 лет, логично предположить, что с каждым годом таких экспертов становится все больше. Но при этом важно понимать, о каких именно специалистах идет речь – об операторах, аналитиках, архитекторах-администраторах. С первыми проблем нет вообще – курсы «молодых бойцов» вкупе с жизненным опытом, и ты уже можешь на среднем уровне реагировать на события. А вот архитекторы-администраторы – люди действительно уникальные, гуру в своей области. Достаточно одного звонка такому эксперту, чтобы определить, например, почему система повела себя крайне странно.
Что в таком случае происходит с самим рынком этих решений?
Сейчас мы уходим от идеологии классических SIEM, они становятся чем-то большим, чем просто системы сбора, корреляции и анализа событий. Современное решение – next generation SIEM – должно обязательно включать большое количество дополнительных модулей: Data Warehouse Security, Big Data Security, инцидент-, фрод-менеджмент и т. д.
Эти модули обрабатывают огромные объемы данных, анализируют, моделируют ситуации, в результате формируется максимально полная модель угроз. Сегодня пользователи хотят работать в едином окне, и производители, естественно, поддерживают это стремление к консолидации.
В то же время SIEM-системы «привязывают» не только к сбору самых разных событий, но и к реакции на них, причем в автоматическом режиме. Например, произошло событие на сетевом оборудовании, система отреагировала, и сразу пошел запрос на железо – разорвать соединение. Обеспечивается моментальный ответ, чего часто не хватает ручному режиму. То есть SIEM становится более интеллектуальным, разумным решением.
Зайдем с другой стороны – какие изменения имеют место на рынке покупателей?
Тенденция перехода от SIEM внутри компаний к SOC. Многие крупные российские компании либо серьезно рассматривают этот вопрос и уже проектируют, строят собственные центры, либо используют услуги аутсорсеров.
Допускаете ли вы для себя вариант аутсорсинга в каком-либо виде?
Мы рассматриваем любые формы взаимодействия с партнерами, которые будут удобны, выгодны и экономически эффективны для нашей компании. В том числе мы используем внешних провайдеров для получения определенных сервисов.
Можно выразить эффективность SIEM-решений в денежном эквиваленте?
Начнем с того, что в организациях, являющихся регуляторнозависимыми, подобные расчеты по определению не нужны. Внедрение SIEM в данном случае – вопрос не экономии, а нормального существования в правовом и финансовом поле. Поскольку мы регуляторно- и аудитозависимы, все это в полной мере относится и к нам.
Если говорить о рынке в целом, использование SIEM снижает время реагирования на инциденты, а значит, уменьшает трудозатраты ИБ-специалистов. Более качественный анализ событий ИБ приводит к совершенствованию процесса принятия решений, в том числе повышению скорости реакции. Как показывает мой профессиональный опыт, нередко драйвером внедрения SIEM-системы становится произошедший в компании критический инцидент. На компенсирующие меры тратится большое количество средств и времени, и это как раз наглядно переводит эффективность SIEM в денежный эквивалент.
Михаил, большое спасибо за беседу!
Sberbank CIB
Корпоративно-инвестиционный бизнес (Sberbank CIB) был создан в рамках интеграции Сбербанка и Тройки Диалог. Ключевыми направлениями деятельности Sberbank CIB являются корпоративное кредитование (включая торговое финансирование), документарный бизнес (Банковские продукты и услуги предоставляет ОАО «Сбербанк России»), инвестиционно-банковские услуги, торговые операции с ценными бумагами, собственные инвестиции. Корпоративно-инвестиционный бизнес Сбербанка предоставляет своим клиентам, в числе которых крупнейшие корпорации, финансовые институты, государства и федеральные и субфедеральные органы власти и организации, интегрированные финансовые решения и услуги финансового советника.