Внедрение SIEM: пошаговый путь к безопасности и контролю ИТ

Кибератаки на российские компании с каждым годом происходят все чаще, и ущерб от них может быть серьезным. По данным исследований «Солара», более 80% инцидентов ИБ остаются незамеченными в компаниях, которые пренебрегают внедрением SIEM (Security Information and Event Management) — решением для централизованного мониторинга и анализа событий. Такая система помогает в режиме реального времени выявлять инциденты, анализировать их и применять оптимальные сценарии остановки атак. Рассказываем о задачах и преимуществах SIEM и особенностях ее внедрения.

SIEM-система: роль в создании эффективного ситуационного центра ИБ

SIEM — система для мониторинга и управления событиями безопасности в корпоративной ИТ-инфраструктуре. Она отвечает за централизованный сбор и анализ логов, событий и трафика из всех основных ИТ-систем и СЗИ. Также среди задач — мониторинг, корреляция и анализ зафиксированных событий с целью выявления угроз ИБ. Таким образом, SIEM помогает обнаруживать аномальную сетевую активность, попытки несанкционированного входа, загрузку вредоносного ПО, изменение системных настроек.

Планирование, анализ потребностей бизнеса. На этом этапе компания должна определиться с требованиями к SIEM-системе. Важно четко продумать цели и ожидания от внедрения, например обеспечение соответствия законодательству, повышение эффективности стратегии защиты данных, противодействие актуальным киберугрозам. Аудит инфраструктуры. Перед внедрением SIEM-системы нужно проанализировать используемые системы и определить источники данных о событиях. Можно приоритизировать источники по их значимости для обеспечения информационной безопасности.

Можно использовать SIEM-систему как самостоятельное решение или создать тандем с технологией SOAR (Security Orchestration, Automation, and Response). Она обеспечивает согласованную работу инструментов безопасности и автоматическое выполнение действий по реагированию на киберугрозы. С помощью SOAR можно автоматизировать основные процессы центра мониторинга и реагирования на инциденты ИБ, что позволит быстрее и эффективнее останавливать атаки. Мы объединили SIEM и SOAR в единой платформе, благодаря чему в нашем продукте есть встроенный модуль ручного и автоматизированного реагирования на инциденты ИБ.

Как происходит внедрение SIEM-системы

Внедрение SIEM-системы проходит в несколько этапов. Обычно это планирование, аудит инфраструктуры, подготовка и проведение пилотного тестирования — и только потом полноценное развертывание.

Планирование, анализ потребностей бизнеса. На этом этапе компания должна определиться с требованиями к SIEM-системе. Важно четко продумать цели и ожидания от внедрения, например обеспечение соответствия законодательству, повышение эффективности стратегии защиты данных, противодействие актуальным киберугрозам.

Аудит инфраструктуры. Перед внедрением SIEM-системы нужно проанализировать используемые системы и определить источники данных о событиях. Можно приоритизировать источники по их значимости для обеспечения информационной безопасности.

Подготовка к пилотному тестированию. Включает несколько этапов:

• Составление плана пилотного проекта и определение критериев успешности.
• Определение пилотной зоны — выбор области инфраструктуры или конкретных источников данных.
• Подготовка инфраструктуры — развертывание серверов или виртуальных машин, необходимых для работы SIEM.

Пилотное внедрение SIEM-системы. Пилотное внедрение в согласованный участок инфраструктуры заказчика проходит при полном сопровождении специалистов. Этот процесс выглядит так:

• Развертываются коллекторы для получения событий из различных источников.
• Настраиваются правила корреляции, сбор данных с источников в пилотной зоне.
• SIEM собирает и обрабатывает события, выполняя нормализацию и корреляцию.
• Система выявляет аномалии и потенциальные угрозы.
• Компания реагирует на инциденты при их выявлении.

По истечении сроков пилотного проекта специалисты оценивают результаты и готовят итоговый отчет. Если компанию все устраивает, происходит полноценное развертывание SIEM-системы. Примерно по этому сценарию выполняется внедрение любого решения, в том числе от ГК «Солар».

Какие задачи может решать Solar SIEM после внедрения

Задачи системы условно делятся на несколько категорий:

• Сбор событий, получение данных киберразведки из внешних источников и от регуляторов.
• Регулярный мониторинг и поиск событий, которые могут указывать на потенциальные угрозы ИБ или прямо свидетельствовать о подозрительной активности в ИТ-инфраструктуре.
• Управление событиями и инцидентами ИБ — создание карточек, содержащих всю информацию о зафиксированных событиях и инцидентах.
• Управление реагированием — разработка и усовершенствование сценариев для ускорения реагирования на инциденты.
• Расследование — изучение деталей инцидентов ИБ, визуализация метрик, формирование отчетности, сбор статистики по аналогичным случаям в других компаниях. Также проводится ретроспективный анализ для поиска точек проникновения в ИТ-инфраструктуру, восстановления хронологии атак, определения инструментария.
• Исследование — проверка соблюдения законодательных и отраслевых требований, выявление предпосылок взлома, оценка защищенности инфраструктуры, поиск признаков компрометации.

Сильные стороны Solar SIEM

Основные конкурентные преимущества нашей SIEM-системы, уже доступной для внедрения:

• Автоматизация аналитики и обработки информации. В нашем продукте реализован сбор расширенного контекста сработанного правила корреляции на основе сведений из журналов Windows и Linux, БД, СЗИ и внешних систем.
• Автоматизация доставки контента в потоковом режиме. Постоянно осуществляется доставка новых типов источников и парсеров логов, правил корреляции.
• Ручное и автоматическое реагирование на события. Благодаря встроенному модулю можно в зависимости от ситуации выбирать удобный вариант.
• Гибкие настройки сценариев реагирования. Реализована возможность автоматизированного нативного обогащения, отправки запросов во внешние системы.
• Профилирование информации для быстрого анализа и ускоренного реагирования. Можно оптимизировать работу с ретроспективными данными путем создания отдельных профилей.
• Сжатие данных для эффективного хранения. Доступные коэффициенты — от 9,8 до 16,6 раз.

Еще можно отметить соответствие требованиям импортозамещения. Система есть в Реестре отечественного ПО, подходит для внедрения в инфраструктуры госсектора и компаний, которым нужны именно российские решения.

Инфраструктура под контролем

Внедрение SIEM-системы — не роскошь, а необходимость для защиты бизнеса в условиях растущего количества кибератак. Важно понимать, что может угрожать компании и как с этим бороться. Держать руку на пульсе поможет система Solar SIEM, которая совместно с технологией SOAR обеспечивает полный цикл защиты — от выявления до мгновенного устранения угроз. Хотите больше узнать о решении? Можете запросить онлайн-демонстрацию, оставить заявку на консультацию или участие в пилотном проекте.