01.06.2016

Срач по SIEM. То есть плач

Так случилось, что я внедрял свой первый SIEM в 1999-м году в Киеве, в одном из банков. Тогда по сути еще и термина-то такого не было, но внедряемое решение собирало данные от систем обнаружения атак, сетевых и системных сканеров безопасности и проводило корреляцию событий безопасности от этих средств защиты. И вот спустя 17 лет я вновь погрузился в тему SIEM... На самом деле я и в промежутке не упускал из ввиду эту тему, но для красоты почему бы и не написать про повторное вхождение в реку под названием SIEM :-)

Итак, на прошедшем PHDays мне доверили непростое дело - помодерировать секцию, посвященную SIEM. Причина столь странного выбора организаторов так и осталась для меня загадкой. То ли я понравился кому-то, то ли моя недавняя публикация позволила организаторам сделать вывод о том, что мое участие в секции придаст живость и остроту дискуссии, а может и еще какая-то причина была. Но в любом случае, во второй день PHdays я возглавил двухчасовой круглый стол с 5 отечественными и зарубежными производителями и поставщиками SIEM-решений - PT с недавно анонсированным SIEM, уже успевшим занять 10% российского рынка, IBM с QRadar, HP с ArcSight, RuSIEM с одноименным продуктом, и компания VolgaBlob, активно внедряющая Splunk.

К сожалению, обещанные организаторами заказчики, которые должны были рассказать о своем опыте внедрения и эксплуатации SIEM, до зала на первом этаже так и не добрались. Видимо отвлекла насыщенная конференционная программа, интересные доклады, живые демонстрации. А может просто в баре задержались. В итоге рояль в кустах не случился и меня оставили одного на пятерых. А тут еще в самом начале случился казус. Я решил привлечь на свою сторону зал, спросив, сколько слушателей уже внедрило SIEM?.. Руку подняло всего 5 человек (на примерно 200 человек в зале). В итоге диалог вендоров с потребителями не удался, превратившись в монолог производителей, местами носивший рекламный окрас.

Секция по SIEM (фото Александра Леонова)
Начал дискуссию я с результатов недавнего опроса. Согласно Netwrix 2014 SIEM Efficiency Survey Report 74% компаний (из 800 в 30 отраслях), внедривших SIEM, заявили, что SIEM почти не повлияли на число инцидентов безопасности в лучшую сторону. И это несмотря на победные реляции многих производителей. Как можно объяснить такое несоответствие? Надо признать, что все вендора сошлись на том, что в России статистика еще хуже и вообще во многом виноват заказчик.

Вина заказчика красной нитью проходила почти через все ответы на заранее заготовленные мной вопросы. Кстати, в конце заметки я приложил список этих вопросов, из которого я успел пройтись только по 20-25% из них. 7 блоков вопросов сопровождались небольшой презентацией.




Пересказывать два часа обсуждения я не буду, коснусь только некоторых моментов, которые мне запомнились. К сожалению, видео нашей сессии до сих пор на сайте PHDays не выложено. Может не успели обработать, может думают, что выложили, а может происки врагов, удаливших столь интересную запись, в которой были замечательные пикировки двух отечественных игроков SIEM-рынка - PT и RuSIEM, которые, похоже, впервые сошлись на одной сцене после ухода основателя RuSIEM, Олеси Шелестовой, из PT, где она также занималась SIEM:
  • У вендоров и потребителей полная неразбериха с термином SIEM и задачами, которые решает этот тип средств защиты информации. На Западе SIEM приобретается преимущественно для решения задач compliance, а в России такие решения воспринимаются как серебряная пуля, которая может все.
  • Потребитель в абсолютном большинстве не понимает, зачем ему SIEM и, как следствие, сталкивался, сталкивается и будет сталкиваться с низкой отдачей от внедрения. Без четкого понимания того, что является нормой, а что аномалией, систему будет невозможно настроить. А знать это может только заказчик. В итоге представители производителей пришли к мысли, что заложенные в SIEM правила корреляции помогут только хорошо если в 20% случаев. Остальные 80% надо создавать самостоятельно или за дополнительные деньги, которые надо будет заплатить вендору к и так немалой цене решения SIEM. Вообще с этими 80% была интересная история. Первый отвечавщий на мой вопрос участник назвал соотношение 60/40 в пользу пользовательских правил супротив коробочных. Второй участник назвал соотношение 70/30, а третий - 80/20. Хорошо, что я не спросил дальше, а то бы к пятому докладчику дошли до соотношения 100 к 0 :-)
  • Вспоминая презентацию Кирилла Ермакова из Qiwi о том, что написать правила для SIEM без опыта взлома и пентестов невозможно, я задал этот вопрос всем участникам дискуссии. Кроме PT, которые прямо заявили о том, что их система наполняется знаниями специалистов подразделений аудита и пентестов PT, остальные вендора "слились", замяв ответ на этот вопрос и по сути вновь заявив, что вся ответственность за правила корреляции лежит на потребителе.
  • Учитывая, что на трех "иностранцев" у меня было два "патриота", вопрос об импортозамещении был закономерен. Олеся Шелестова рассказала, что она видела вокруг говеные продукты и хотелось сделать лучше. Макс Степченков (со-инвестор Олеси) ответил честно - хотелось бабла на нише импортозамещения :-) И только представители компаний из стран с развитой демократией отвечали дипломатично - рынка хватит всем.
  • За день до PHDays стало известно об обнаружении критической уязвимости в антивирусе Symantec. Получается, что средство защиты стало точкой входа для злоумышленников. Как защищаются SIEM? Ведь они не только собирают критичную для ИБ информацию, но и могут управлять инфраструктурой. Только у одного из вендоров было отдельное руководство по защите своего SIEM - остальные отделались общими словами о защите преимущественно встроенными в ОС механизмами.
  • Кстати, с встроенными в ОС механизмами, был связан мой вопрос и о том, как в решениях выстроена система точного времени, временных меток и синхронизации. Никто не использует ни GPS, ни ГЛОНАСС. Все базируются на системном времени; только один вендор упомянул про возможность использования NTP-серверов. Хотя после сегодняшних новостей с NTP тоже не все просто.
  • У PT прозвучал достаточно спорный тезис о том, что SIEM может быть из коробки. Больше никто из участников панельной секции эту идею не поддержал. Насколько я смог понять идея PT заключается немного в ином - они предлагают не просто отдельный SIEM, а целую платформу, которая включает в себя сканер уязвимостей, анализ конфигураций, WAF, систему защиты от вредоносного кода, анализ векторов атак и т.п. В такой комбинации идея с коробкой вполне жизнеспособна, так как всю работу по анализу сети, приложений, инфраструктуры берут на себя решения PT, которые и готовят входные данные для SIEM.
Отдельные несознательные граждане хотели драки... Не получилось. Все были дипломатичны, хотя отдельные отечественные производители порывались сорвать покровы с остальные участников. Ну ничего... Олеся оторвалась вчера в Facebook :-) Правда уже в ночь Олеся сменила гнев на милость, призвав всех в бобру.


Я же в заключение хочу повторить то, что сказал на секции. SIEM - это очень непростое решение в области информационной безопасности. Оно отличается от антивируса, МСЭ, системы обнаружения вторжений и других продуктов по ИБ. Для внедрения SIEM надо четко понимать, зачем оно вам нужно и что конкретно вы хотите с его помощью находить. Без этого покупка SIEM будет бесполезной тратой денег. И просите пилоты и референс-визиты - они помогут вам не сделать дорогостоящую ошибку и максимум, что вы потеряете, - это время. Но зато получите опыт.

Список вопросов для секции

Основы

  • Что такое SIEM и чем оно отличается от обычного коллектора логов?
  • Надо ли подключать к SIEM все, что генерит логи, или нужно где-то провести грань?
  • Не кажется ли вам, что SIEM – это искусственная субстанция, родившаяся от того, что вендоры ИБ не хотят поддерживать стандарты по обмену событиями ИБ между решениями ИБ (RDEP, STIX, TAXII и т.п.) и поэтому требуется «посредник»?
  • По статистике разных вендоров среднее время необнаружения вторжения/компрометации составляет 200 дней? Может ли SIEM помочь в этом? И как?
  • Обычно вторжения/атаки обнаруживаются пост-фактум, когда они уже реализованы. Какой тогда смысл в SIEM, который стоит много денег, но при этом обеспечивает только реактивную функцию на уже произошедшее?
  • Согласно Netwrix 2014 SIEM Efficiency Survey Report 74% компаний (из 800 в 30 отраслях), внедривших SIEM, заявили, что SIEM почти не повлияли на число инцидентов безопасности в лучшую сторону. Как вы можете это прокомментировать? Почему заявления вендоров расходятся с практикой?
Россия
  • Каких российских вендоров вы поддерживаете в своих решениях?
  • На Западе, например, в США, основным драйвером внедрения SIEM является compliance (HIPAA, SOX, PII, NERC,COBIT 5 ,FISMA, PCI) или будущая сертификация по ISO 27001. А что движет российскими заказчиками?
Обвязка
  • Есть мнение, что если заказчик не в состоянии сам внедрить SIEM и пользуется услугами интегратора, то это делает SIEM бессмысленным решением, эффект от которого достигнут не будет. Как вы считаете?
  • Должны ли какие-нибудь сервисы от вендора сопровождать SIEM? Разработка коннекторов? Внедрение? Разработка и настройка правил корреляции? Тренинг аналитиков? Настройка производительности после инсталляции? Построение SOC?
  • В соответствии с ФЗ «О связи», Статья 49 – «Учетно-отчетное время в области связи», в технологических процессах передачи и приема сообщений электросвязи, их обработки в пределах территории РФ операторами электросвязи должно применяться единое учетно-отчетное время – московское». Для этого на цифровой сети оператора электросвязи необходимо организовать систему точного времени, для реализации которой чаще всего используется система глобальной навигации GPS. Но что если против России будут реализованы «санкции» и GPS начнет давать сбои. Готовы ли вы поддерживать ГЛОНАСС?
  • У Антона Чувакина есть хорошая аналогия про SIEM. Корреляционный движок – это всего лишь мотор. Автомобиль – это уже SIEM с данными в нем. Но автомобиль сам не поедет – к нему должен прилагаться водитель. Какими компетенциями и навыками должен обладать пользователь SIEM?
Разнообразие и число событий
  • Есть мнение, что для написания правил для SIEM нужно самому уметь ломать и провести не один пентест. Тогда и правила будут отвечать реальным кейсам, а не теоретическим воззрениям вендоров ИБ. Как вы считаете?
  • Часто производители SIEM забывают упомянуть, что они могут собирать данные только с инфраструктуры (сеть, приложения, ОС, средства защиты), но действия самих пользователей остаются вне поля их зрения, что приводит к слепоте во многих инцидентах. При этом логи с инфраструктуры предназначены для отладки и траблшутинга, а не безопасности, что также ухудшает анализ. Что вы можете ответить на это?
  • Сегодня многие компании начинают уходить в облака и пользоваться чужой инфраструктурой. Как SIEM может помочь в такой ситуации? Особенно в модели SaaS?
  • Как SIEM работают с мобильными устройствами, особенно принадлежащими самим сотрудникам (BYOD)? Объем хранилища
  • Как долго надо хранить данные в SIEM? Как найти баланс между долговременным хранением и проблемами с индексацией больших объемов данных и поиском в них?
Индексация и поиск данных в логах
  • Вы используете нормализацию данных или можете индексировать и искать в неструктурированных данных? Вы храните и нормализованные и сырые данные? Обогащение данных
  • Многие SIEM-вендоры говорят об обогащении сырых данных, собранных от разных устройств в сети. Что это такое и зачем оно нужно? Где поставить точку в объеме и типе данных, с помощью которых идет обогащение?
Корреляция событий
  • Часто производители SIEM делают упор на количестве обрабатываемых в единицу времени событий безопасности. Однако если отбросить маркетинговую шелуху окажется, что рост числа анализируемых и коррелируемых событий, особенно иот разных устройств, приводит к экспоненциальному падению производительности SIEM. Что вы можете ответить на такой довод? Как вы с этим боретесь? А если уменьшать число правил корреляции и анализируемых событий, то зачем тогда нужен SIEM?
  • При огромном числе собираемых событий и точек контроля становится очень сложно заниматься корреляций событий в реальном времени, да еще и непрерывно. Многие внедрения SIEM осуществляют корреляцию по расписанию, что приводит к тому, что инцидент уже может произойти и нанести ущерб организации. В чем тогда смысл SIEM?
  • Правила корреляции… Кто должен писать их? В каких случаях они должны обновляться? Можно ли использовать правила «из коробки»?
  • Правила корреляции в SIEM «из коробки» строятся на известных моделях атак. А что делать с атаками еще неизвестными? Как нам понять, что искать в собранных данных?
  • Многие атаки состоят из множества событий, происходящих в течение определенных промежутков времени? Как определить эти временные интервалы, в которых определенная последовательность событий будет считаться атакой?
  • Более общие правила корреляции позволяют найти большее число угроз, но и генерят большое число ложных срабатываний. Более точные и специфичные правила корреляции позволяет найти конкретные угрозы, но при этом пропускают не попадающие под них проблемы. Как найти баланс?
Заключение
  • Какие ключевые факторы успеха для внедрения SIEM?
  • Есть такая поговорка: «Если пытаться автоматизировать хаос, то получится автоматизированный хаос». Что надо предварительно сделать в инфраструктуре, чтобы внедрение SIEM стало успешным?
  • Вы пытались решить задачу без SIEM?

2 коммент.:

Евгения Федосеева комментирует...

Алексей, откуда картинка на 8 слайде?

Алексей Лукацкий комментирует...

Слайды 6-9 - это опыт Cisco. Вот тут - http://lukatsky.blogspot.ru/2015/11/siem-soc-soc.html - есть чуть больше деталей