SIEM vs новые угрозы: что необходимо SIEM для их оперативного выявления?

Владимир Бенгин

– За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда наличие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический.

Во-первых, в силу завышенных ожиданий: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы знакомы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными способами. В частности, ведем разработки в области выявления аномалий в действиях пользователей. Построение модели поведения и отклонений от нее – непростая задача, требующая значительных трудозатрат (за исключением, пожалуй, нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор действий). UEBA позиционировали как готовое решение всех проблем, но пока она не показывает достойных результатов.

Во-вторых, внедрение UEBA от продвинутых производителей – дорогостоящее удовольствие и в большинстве своем компании не готовы к таким расходам.

Дмитрий Кандыбович

– На тему UEBA разговоров много, но практики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В системе StaffCop Enterprise частично реализован функционал UEBA в виде анализа статистических отклонений и автоматического оповещения о них. Он хорошо работает в файловом мониторинге, например, если алерт настроен на экстремальное количество операций. Это удобно, когда нет понимания, какой документ важен, а важно десятикратное увеличение количества действий. Это происходит, например, когда сотрудник перед увольнением отправляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент.

Елена Нагорная

– Несомненно, технология UEBA позволяет решить широкий спектр задач, связанных с аналитикой ИБ. Получая данные с различных средств защиты информации и сетевых журналов, при правильной аналитике и корреляции событий, можно очень четко определить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенциальными угрозами. Технологию UEBA мы применяем в качестве поведенческой аналитики программного обеспечения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специалистам получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.

Лев Палей

– Как и любой тренд, если разобрать происхождение и эффект более детально, технология идеологически осталась привлекательной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ как самостоятельного продукта наблюдается использование описанных техник в классах решений Endpoint Detection and Response и SIEM. Таким образом можно косвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформулировал, а именно: когда пора задумываться об UEBA? И тут есть простой и логичный ответ: когда выстроены процессы получения данных с источников событий, есть устоявшиеся и проверяемые контроли, зрелость SOC и количество накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ.

Сергей Рысин

– В данный момент ситуация двоякая. С одной стороны, используемые в условиях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зарубежными системами UEBA.

С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата.

Владимир Бенгин

– Безусловно, это реальность, и злоумышленники, преследующие коммерческие цели, все чаще сегодня работают адресно. Чтобы успешно похищать денежные средства из банков, желательно знать нюансы работы банковской системы страны, а чтобы отключать электричество (как, например, недавно случилось в Венесуэле) – тоже желательно разбираться в устройстве конкретной системы управления энергообъектами, применяемых системах и их слабых местах.

Атрибуция хакерских группировок по национальному признаку – не всегда корректный и неточный процесс, так как существует множество способов придать атаке "национальный орнамент" и запутать расследование. Тем не менее часть угроз (как и часть злоумышленников) нередко нацелены на конкретные регионы, и для успешной борьбы с ними нужны региональные экспертные центры, занимающиеся мониторингом, расследованиями и накапливающие соответствующую экспертизу. Мы передаем в свои продукты данные о самых актуальных локальных угрозах, накопленные собственным исследовательским центром (более 250 экспертов) и экспертизу PT Expert Security Center, накопленную во время расследований реальных атак.

Дмитрий Кандыбович

– В компаниях с распределенной региональной сетью большое количество мошенничества происходит именно в регионах. Если в филиалах есть деньги, то находятся люди, которые хотят от этого куска откусить. Много примеров в страховых компаниях, которые сталкиваются с самодеятельностью филиалов. Чаще всего в этом замешаны профессионалы, которые хорошо знают законы, систему, находят в ней дыры и хотят ими пользоваться.

Елена Нагорная

– В нашем случае региональные угрозы информационной безопасности – это не миф, а самая настоящая реальность. Организация ведет интенсивную внешнеэкономическую деятельность, а за пределами Российской Федерации находится много активных офисов со своей инфраструктурой и не только, поэтому мы уделяем большое внимание аналитике угроз ИБ с привязкой к конкретному региону. Большую роль в данном случае играет экономическая и политическая обстановка.

Сергей Рысин

– В современных реалиях региональные, вернее сказать геополитические задачи стоят очень остро: в большей степени это касается защиты госсектора в связи с проявляемым западными странами интересом к внутренним делам нашей страны. В этой связи вполне можно ожидать учащения фишинговых рассылок и использования механизмов социальной инженерии, это касается и частного сектора, конечно. Но с отслеживанием данных угроз достаточно успешно справляются отечественные системы мониторинга инфраструктуры и событий в сети Интернет. И здесь акцент, скорее, стоит сделать на другой проблеме: к сожалению, не все руководители компаний в России в полной мере осознают тот факт, что подразделения ИБ являются не обузой, а простой необходимостью, позволяющей обеспечивать непрерывность бизнеса и избегать ненужных потерь, в том числе с учетом растущих угроз извне. И вот с этой особенностью нашего менталитета, безусловно, нужно работать, проводить широкую разъяснительную работу.

Владимир Бенгин

– Практика показывает, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственности за их качество. В итоге у одного вендора фид некоторой тематики может состоять из 100 тыс. записей, а у другого такой же фид такой же тематики – из 800 записей. В первом случае вы столкнетесь с излишне большим числом ложных срабатываний, а во втором – получите слишком мало информации.

Фиды могут получить второе дыхание, если сформируется практика оповещения (обмена данными, публичности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс формировать качественные и достоверные отраслевые фиды на уровне страны.

Дмитрий Кандыбович

– Что касается фидов, то они безусловно полезны, когда есть подозрения или предпосылки к тому, что вас могут атаковать, если вы хотите получше защититься и быть всегда в тренде. Если можешь получить экспертизу и опыт как в платном, так и в бесплатном варианте, этим надо пользоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабатывать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать.

Елена Нагорная

– За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффективность выявления инцидентов, необходимо учитывать и взаимодействие с различными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для предотвращения возможных прецедентов и постоянный мониторинг событий ИБ.

Лев Палей

– Есть ряд правил корреляции основанных на данных от свободно распространяемых сервисов с фидами. Один из источников, Hail a TAXII, но не единственный: тут хорошая практика агрегации информации из нескольких ресурсов. Место же в процессе выявления событий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее дополняющее, позволяющее более достоверно определить тип, способ и возможную цель атаки. Метрики эффективности для конкретно этого сервиса не прорабатывались.

Владимир Бенгин

– Ландшафт угроз меняется столь быстро, что уследить за изменениями и новыми игроками на стороне злоумышленников и отреагировать на них зачастую не под силу даже укомплектованным SOC в больших корпорациях. Для компаний поменьше это неподъемная задача. Поэтому задача обнаружения новых угроз в большей степени должна ложиться на плечи вендора.

Все вендоры SIEM решают эту задачу по-разному, но в итоге все, как правило, сводится к поставке в продукт фидов с индикаторами компрометации (например, IP командного центра или контрольной суммы вредоносных файлов). Этот подход недостаточно эффективен, так как не позволяет, например, выявлять горизонтальные перемещения злоумышленников в уже скомпрометированной системе. Это требует более сложных правил, разрабатывать и доставлять которые сложнее, к тому же для их эффективной работы может потребоваться перенастройка источников событий (а это еще более усложняет процесс, с точки зрения вендора).

Дмитрий Кандыбович

– Заказчики сейчас не хотят покупать коробочные решения, им нужна услуга. В компаниях чаще всего один-два человека, которые могут заниматься моделями информационной безопасности, поэтому для них полезен аудит от вендора, который имеет богатый опыт в области расследования инцидентов у других заказчиков и знает свой продукт.

Сейчас аналитическая поддержка вендора выходит на первый план. У сотрудников безопасности в компаниях много задач и мало времени, и они ограничены своими компетенциями. Чаще всего им сложно выйти за эти пределы. Таким образом, совместная работа с заказчиками в области аналитики очень полезна для обеих сторон.

Елена Нагорная

– Каждый случай индивидуален. Есть ряд факторов, от которых зависит уровень взаимодействия с вендором в рамках технической поддержки:

• наличие у вендора опыта и компетенции в выявлении и предотвращении новых угроз;
• уровень детальности существующего контракта между заказчиком и исполнителем в рамках технической поддержки, определяющий гарантии и обязательства сторон;
• однородность применяемых решений в компании, при этом учитывая факт, что организации могут иметь разветвленную сеть филиалов и дочерних обществ;
• кем и каким образом происходит выбор решений в филиалах и дочерних обществах компании (централизованно из головного офиса, или же у филиалов и ДО есть полномочия по принятию решений в выборе поставщиков).

Сергей Рысин

– Вендорская поддержка, безусловно, оказывает значительную помощь. Если пользователь четко говорит о своих потребностях, то любой вендор идет навстречу и ставит его задачи в дорожную карту по продуктам. Если вернуться к проблеме импортозамещения, то правильно выстроенная работа вендоров со своими клиентами позволит добиться больших результатов, чем имеющихся на сегодняшний момент, и это даст качественный толчок для отечественного рынка средств безопасности, таких как UEBA, SIEM, IdM и др. Но надо учитывать, что вендорская поддержка полезна только при наличии обратной связи от клиента, в случае ее отсутствия она не может помочь сферической информационной системе в вакууме.

Владимир Бенгин

– Нам как вендору совершенно точно не мешает ничего. Но если говорить о типичных проблемах, на которых акцентируют внимание пользователи, то это в первую очередь проблемы со штатом. Найти на рынке квалифицированных специалистов сегодня – задача повышенной сложности, так же как и удержать собственноручно воспитанные таланты. С учетом постоянного "утяжеления" продуктов новыми технологиями постоянно растут требования и к количеству обслуживающего их персонала.

Второй серьезной проблемой является цена решений. Большинство SIEM лицензируется по количеству обрабатываемых событий в секунду, и подключить все источники, а также обработать все желаемые сценарии в рамках ограниченного бюджета затруднительно. При этом использование комплементарных к SIEM технологий раздувает затраты на продукт еще больше. Поэтому мы приняли решение ввести плоское лицензирование. Наши пользователи также получают все пакеты экспертизы и собственные фиды Positive Technologies в рамках обычной технической поддержки.

Дмитрий Кандыбович

– Есть компании, которые осознают необходимость SIEM, но для них это в первую очередь вопрос цены. С другой стороны, это вопрос компьютерной грамотности. Не все компании готовы использовать SIEM. Кроме того, получить журнал логов – это одно, а знать, что с ним делать, – это другое. Нужен оператор, который будет спускать вниз перечень мероприятий, которые компаниям нужно проводить в случае возникновения тех или иных инцидентов. Импортозамещение сейчас вытесняет зарубежных конкурентов. В России есть SIEM-решения, их несколько, но функционально развиваются стремительными темпами те, у которых есть господдержка, и эти решения недешевые. Их приобретают те компании, которые уже созрели для SIEM и у которых имеются соответствующие бюджеты. Наверное, появятся мелкие игроки, которые будут покрывать сегмент МСБ. Рынок будет развиваться в любом случае. Наши законы заставляют его развиваться.

Елена Нагорная

– Для того чтобы выявлять актуальные угрозы, необходимо их в первую очередь рассматривать из БДУ ФСТЭК России, в котором приводится весь перечень актуальных угроз.

Зачастую на факт определения статуса угрозы (является угроза актуальной или неактуальной) напрямую влияет уровень компетенции персонала, уровень его занятости другими операционными задачами и уровень принятых организационных и технических мер. Вследствие этого возникает потребность в автоматизации работ по определению актуальных угроз, какие текущие организационные и технические меры являются достаточными либо недостаточными для противодействия угрозам.

Лев Палей

– Наличие свободных рук и все вышеперечисленное. Всегда будет что-то мешающее, остается только концентрироваться на важном.

Сергей Рысин

– Отсутствие единой концепции контроля за уязвимостями – такой, которая существует в Европе, США и Канаде. В итоге мы получаем децентрализованный сбор данных об актуальных угрозах, который в конечном счете ведет к разрозненности и неполноте информации.

Владимир Бенгин

– Согласно исследованиям, доля Splunk на рынке именно SIEM-систем в России была достаточно небольшой, ее оценивали ниже 10%. Основные клиенты Splunk – ИT-департаменты, и для них потеря решения может стать проблемой. Вопрос о рисках весьма современен, ведь важно не то, что один из вендоров внезапно прекратил работу в России, важно, каковы намерения и реалии других вендоров на российском рынке ИБ и не окажется ли завтра, что и они будут вынуждены его покинуть. Точного ответа на этот вопрос, боюсь, не знает никто, но понятно, что некоторый риск потери доступа к импортным системам присутствует.

Поэтому, выбирая SIEM-систему, стоит не только отталкиваться от функционала, решаемых задач и цены, но и учитывать возможные изменения ландшафта, доступа к новым версиям продукта, технической поддержке и той же экспертизе. Тем более что внедрение и обслуживание SIEM – это длительный и важный процесс, и менять систему каждые два года весьма накладно.

Дмитрий Кандыбович

– Таким путем могут пойти многие компании. Но в России сейчас есть разработки, которые могут заменить зарубежные решения. В рамках текущей политической ситуации есть риски того, что в какой-то момент зарубежные решения перестанут продаваться в России. Это может произойти по разным причинам. С одной стороны, возможно их вытеснение из-за слабого потенциала продаж, компаниям может быть неинтересно содержать офисы и вкладывать деньги в направления, у которых нет потенциала, это стандартная практика. Кроме того, в России сейчас выпущены законы, которые напрямую вытесняют зарубежных поставщиков.

Елена Нагорная

– Уход Splunk стал неожиданностью для многих его российских клиентов. Возникло множество вопросов, которые можно сформулировать как один единый вопрос: как быть с технической поддержкой по существующим контрактам? Безусловно, факт ухода повлияет и на определенные действия конечных заказчиков: это выбор нового SIEM-вендора, миграция на новую SIEM с предварительным пилотированием, пересмотр бюджета компании (т.к. в большинстве случаев на SIEM-решения тратятся значительные денежные ресурсы), изыскание собственных человеческих ресурсов без отрыва от операционной деятельности по миграции и приемке в промышленную эксплуатацию новой SIEM-системы, пересмотр подхода при заключении договоров с поставщиками SIEM в рамках обязательств и гарантий в период технической поддержки.

Лев Палей

– Пример того самого прецедента, который принято считать показательным. С одной стороны, представители отечественных производителей будут настоятельно указывать на эту историю как на преимущество лоббируемых решений, с другой – это, возможно, простимулирует рынок BI-решений, появится больше практических кейсов автоматизации в нашем направлении с учетом интеграции с SIEM. Риски как таковые тут для меня неясны, изменения – это всегда возможности.

Сергей Рысин

– Это возвращает нас к началу разговора. Данная ситуация уже повлияла на российский рынок: в действительности возникла существенная потребность в системах UEBA, но полноценные аналоги на российском рынке отсутствуют. Нужно помочь отечественным разработчикам, сформировав и описав спрос на их технологии, и рынок подтянется.

Владимир Бенгин

– UEBA – один, но далеко не единственный пример новой технологии, которая анонсировалась как инструмент, наконец-то позволяющий ловить злоумышленников. Однако любые новые технологии нужно приобретать, внедрять и обкатывать: это усложняет продукты, растит бюджеты и штат, но не гарантирует значительного улучшения защищенности. Еще одна проблема в том, что крупные вендоры вместо самостоятельной разработки новых технологий нередко покупают нишевых игроков и не слишком вкладываются в интеграцию решений между собой. В итоге SIEM-системы становятся тяжелыми, неоднородными, с ними сложно работать. Это вызывает ожидаемую фрустрацию у ИБ-специалистов. На наш взгляд, назрел запрос на упрощение SIEM, повышение удобства, снижение входных требований к специалистам ИБ и трудозатрат на обслуживание системы и максимальная автоматизация выполняемых действий. Другими словами, мы говорим о том, что рынок сегодня ожидает некоторой консьюмеризации SIEM, если, конечно, можно так выразиться.

Дмитрий Кандыбович

– Все идет к усилению централизации. В России будет единый центр обработки инцидентов для госсектора и КИИ на базе ГОССОПКА, куда будут сливаться данные со всех SIEM-систем, и с этими инцидентами будет активно работать центральный аппарат ФСБ. А если мы говорим про коммерческий сегмент, то, скорее всего, будут созданы отраслевые дата-центры обработки информации и обмена инцидентами, а также коммерческие SOC на базе крупных интеграторов, которые будут обслуживать компании на условиях аутсорсинга. Иметь свою SIEM – это одно, а знать, как реагировать на инциденты, – это совсем другое. Очень интересен опыт Центробанка по объединению банковских инцидентов. Наверно, дальше развитие будет в этом направлении.

Елена Нагорная

– Считаю, что следующим шагом в развитии SIEM станет развитие DATA LAKE и развитие искусственного интеллекта, так как зачастую необходимо описывать собственные правила корреляции и осуществлять сбор событий ИБ из различных источников данных. Для того чтобы обеспечить большую вероятность выявления событий ИБ, необходим инструмент, позволяющий автоматизировать работы по внесению и описанию правил корреляции (различные социальные форумы на просторах Интернета, площадки обмена опытом и информацией и т.д.).

Лев Палей

– Мне изначально казалось, что технология UEBA будет гармонично вписываться в практику управления событиями не как отдельный продукт, а как сервис внутри SIEM. Продолжая эту цепочку, хотелось бы более плотной и "вендоронезависимой" интеграции решений класса SIEM и EDR для перехода на следующий уровень автоматизации.

Сергей Рысин

– Следующим шагом развития SIEM по хорошей давней традиции должно стать использование инструментов Machine-Learning, что позволит облегчить работу по эксплуатации данных систем. И назовут эти системы по тому же принципу, что и всегда, – NGSIEM.