Финансовая сфера

Банковское обозрение


  • Как внедрить SIEM-систему и не навредить организации
22.11.2016 Аналитика

Как внедрить SIEM-систему и не навредить организации

В этом году компания SearchInform вывела на рынок новый продукт — SearchInform Event Manager (систему класса SIEM). Стало очевидно, что классические SIEM не удовлетворяют реальным потребностям бизнеса и пользователей. Значит, нужно нечто принципиально новое, что не будет создавать столько сложностей и в то же время эффективно решит практические задачи бизнеса


Наш продукт — результат общения с клиентами. Импортозамещение, разрастающаяся IT-инфраструктура заказчиков, растущие требования в обеспечении уровня ИБ заставляют организации искать оптимальное решение. Мы учли эти потребности при разработке SearchInform Event Manager. Это не очередной клон множества других SIEM, а принципиально новый продукт. Система не создает проблем заказчикам, а решает их задачи без лишних и зачастую надуманных сложностей.

Чтобы не рассказывать о каждом внедрении SearchInform Event Manager, мы выделили ключевые проблемы заказчиков при работе с классической SIEM и рассказываем о том, как можно их избежать, используя наше решение.

Проблема 1

Среди классических SIEM нет решений «из коробки», которые так хотят получить заказчики. Система требует постоянной донастройки, регулярной интеграции с расширяющейся IT-инфраструктурой организации, длительной и дорогостоящей работы с вендором или интегратором.

Для решения всех этих вопросов необходим высококлассный специалист в штате клиента — он настроит источники событий, проконтролирует непрерывность их сбора, напишет скрипты, настроит политики и обеспечит беспрерывную и корректную работу системы. Это редкий и «дорогой» специалист. Не каждая организация готова нанять такого сотрудника. Именно поэтому один из наших клиентов, крупный российский банк, выбрал из множества продуктов SearchInform Event Manager, где с системой может работать штатный сотрудник отдела информационной безопасности, не имеющий специфических знаний и навыков.

Решение

В идеале система должна быть максимально преднастроена, интуитивно понятна для специалистов службы безопасности и работать «из коробки».

Принципиальное отличие SeаrchInform Event Manager от других продуктов — для работы с ней не требуется «IT-гуру». Система изначально интегрирована с DLP «Контур информационной безопасности SearchInform», что существенно расширяет возможности анализа и предотвращения серьезных последствий специалистами службы безопасности.

Несмотря на то что SeаrchInform Event Manager уже имеет встроенные универсальные политики безопасности, быстро интегрируется и требует минимальной настройки, оказание постоянной технической поддержки со своей стороны мы считаем само собой разумеющейся услугой.

Проблема 2

Заказчику не нужен сложный раздутый функционал SIEM-системы, ему нужно решать ежедневные практические задачи безопасности. Некоторые западные системы способны интегрироваться с сотнями источников и представляют собой своеобразный конструктор, который заказчик соберет и настроит вместе с интегратором. На деле это очень ресурсозатратный процесс — и финансово, и по времени.

Обидно, приобретая какой-либо продукт, использовать лишь малую часть его возможностей. В случае с классическими SIEM это обычно 15–20% их функциональности. Зачастую клиенту вместо 200 источников, нужно анализировать всего 20, но, чтобы это было предельно доступно и приносило результат сразу, а не после шести месяцев внедрения и настройки.

К примеру, в качестве источника SeаrchInform Event Manager служат почтовые серверы Exchange. Система отслеживает факты подключения к электронному ящику, изменения уровня доступа, действия с чужими ящиками, предупреждает об их блокировке и других нарушениях. Таким образом, система защищает от неправомерных действий системных администраторов, если они могут получать доступ к почте руководителей или других лиц.

На сегодняшний день источниками данных для SearchInform Event Manager являются:

  • контроллеры домена Active Directory;
  • обращения к файловым ресурсам;
  • антивирусы;
  • СУБД (MS SQL, Oracle и т.д.);
  • почтовые серверы Exchange.

В разработке и тестировании: журналы EventLog, агенты контроля рабочих станций, сетевое оборудование и другие источники. Добавлять новые элементы мы планируем, ориентируясь на конкретные запросы заказчиков, а не на свои амбиции, чем нередко занимаются некоторые производители в попытке кого-то перегнать.

Решение

В SeаrchInform Event Manager мы постарались закрыть самые важные и востребованные источники, остальные дорабатываем по запросу клиента.

Мы не наращиваем количество коннекторов, чтобы было «как у всех», нагоняя тем самым цену. Мы предлагаем готовое решение.

В SeаrchInform Event Manager не нужно создавать правил и политик на каком-то сложном языке, применяя множественные операторы. Сложный подход хорош для тех, кто не первый год работает с SIEM. Мы предоставляем заказчику систему, которая готова к работе сразу и сразу же приносит результат. Правила в SeаrchInform Event Manager — это решение прикладных задач клиента.

К примеру, тот же наш клиент — российский банк — установил систему, потому что изначально она была необходима для нужд внутренней безопасности, ее используют специалисты ИБ, а не IT-сотрудники. Им сразу нужна была готовая рабочая функциональность.

Проблема 3

Сложность настройки, интеграция с сотнями источников, долгое внедрение, непростая система лицензирования и дорогая техподдержка обычной SIEM приводят к повышению совокупной стоимости продукта. Потому установку могут себе позволить только крупные организации.

Проблема цены не ограничивается ее размером. Большинство SIEM работают с огромным количеством коннекторов и лицензируются по объему обрабатываемого трафика, по нагрузке и по возможности использования определенного количества процессоров. Но клиент не владеет такой информацией заранее. Даже если он назовет, сколько терабайт трафика проходит в день сегодня, он не сможет сказать, сколько будет через полгода.

Заказчики хотят иметь простую и понятную схему оплаты. Кроме того, нужно учитывать российские реалии, в частности свойственное для отечественных компаний заблаговременное утверждение бюджета. Зачастую этот пункт становится решающим. Разработчику нужно четко назвать, за какую сумму он сможет решить проблему клиента.

Решение

Мы сделали систему, действительно доступную по цене.

Ценообразование SeаrchInform Event Manager учитывает реальные возможности бизнеса, в том числе средних масштабов. Заказчику нужна предельно понятная схема лицензирования, и мы ее предоставляем. Ему достаточно сказать, сколько человек работает в компании, так как стоимость установки системы рассчитывается из цены лицензии на одного человека.

Проблема 4

Внедрение и интеграция классической SIEM в IT-инфраструктуру компании занимает в среднем полгода. Конечно, это вопрос не только времени, но цены и трудозатрат. Даже если система имеет готовые коннекторы, сложностей это не уменьшает — с помощью коннекторов система будет видеть поток данных в интегрированных системах, но что дальше делать с этой информацией? Дальнейшая ее обработка, создание и написание правил ложатся на плечи администратора системы. В этом ему за определенную плату помогает интегратор или разработчик, так как задача сложная.

Есть ошибочное мнение, что обычная SIEM-система будет работать без участия пользователя: достаточно ее включить, и она «скажет», где есть проблема, а где ее нет. На самом деле без настройки система работать не будет, она будет просто принимать данные, но не определит, что в них плохо, а что хорошо. Для этого потребуется настройка политик.

Решение

SeаrchInform Event Manager устанавливается за четыре минуты и настраивается за 20–30 минут. Уже через час система способна выдать результат. Особых технических требований для ее внедрения не требуется. Это понятный инструмент с готовыми политиками, в отличие от классической SIEM.

SeаrchInform Event Manager предназначен для того, чтобы оперативно в одном месте получать информацию о потенциальных и текущих угрозах безопасности, не ожидая при этом полугодовой интеграции. Мы постарались приблизить наше решение к идеальному для конечного пользователя — быстро и просто, не сложнее антивируса: установил систему и сразу получаешь результат в рамках политик, которые уже есть в SeаrchInform Event Manager.

Что заказчик получает в итоге

Сегодня SIEM-системы актуальны не потому, что это модное веяние; это следствие увеличения IT-окружения в компании, ПО и его возможностей. За данными широкой и разнообразной IT-инфраструктуры необходимо следить, чтобы своевременно анализировать и выявлять потенциальные угрозы безопасности.

Мы учли потребности заказчиков и практику российских компаний в обеспечении защиты информации от утечек. В итоге заказчик SeаrchInform Event Manager получает:

  1. легкое внедрение. Система работает «из коробки» и готова выдать первые результаты сразу после установки и настройки;
  2. простое использование. Система не требует привлечения высококвалифицированных и дорогостоящих специалистов. Работать с ней сможет штатный сотрудник службы ИБ;
  3. приемлемую стоимость. Цена на SeаrchInform Event Manager доступна в том числе для среднего бизнеса и выгодно выделяется на фоне других предложений;
  4. соответствие законодательству. SeаrchInform Event Manager удовлетворяет требованиям Закона об импортозамещении.

 

 






Новости Новости Релизы