Цифровизация не обходит стороной и ИБ-департаменты. В последнее время компании активно наращивали базы СЗИ и других программных средств — инфраструктуры расширяются, вместе с чем растёт и объём данных в информационной безопасности. Как не терять эффективность в работе с этими данными? И возможно ли обеспечить это с помощью отечественных решений?
- Введение
- Проблематика, или как появился DataGrain ESO
- DataGrain ESO и его возможности
- Конкурентное окружение DataGrain ESO
- Ключевые особенности решения DataGrain ESO
- Портрет типового заказчика DataGrain ESO
- Выводы
Введение
Сегодня только ленивый не говорит о значимости цифровизации и информатизации процессов в современных компаниях. Не обходит этот вопрос и департаменты информационной безопасности, которые призваны противодействовать вновь возникающим угрозам и обеспечивать штатный режим работы всех остальных подразделений внутри компании. В последние годы весьма активно наращивалась база СЗИ и иных программных средств внутри департаментов ИБ — инфраструктуры существенно расширяются и модернизируются, что в свою очередь неуклонно ведёт к большим объёмам данных, которые необходимо качественно обрабатывать, извлекая из них прикладную пользу.
Расскажем о том, как в условиях повсеместного импортозамещения DataGrain ESO позволяет успешно работать с постоянно растущими объёмами данных в ИБ и максимизировать эффективность в части финансовых затрат на эти процессы.
Проблематика, или как появился DataGrain ESO
За каждым нашим продуктом стоит решение конкретной проблемы. Так, драйвером для разработки решения DataGrain ESO стала необходимость сокращения финансовых затрат на покупку лицензий для SIEM-решений, а также повышения эффективности работы самого SIEM. Поскольку количество эксплуатируемых информационных систем и средств защиты корпоративной информации неуклонно растёт, пропорционально увеличивается и поток данных, поступающих в SIEM. Соответственно, увеличиваются издержки по обеспечению работоспособности центральной точки в ИБ-инфраструктуре, отвечающей за мониторинг. Мы знаем, что офицеры ИБ вынуждены постоянно решать задачи по оптимизации и совершенствованию своих инструментов, причём это приходится делать как в контексте финансовой составляющей, так и в контексте прикладных задач, — то есть требуется принимать меры, которые превращают функциональные возможности решений в прикладной инструмент решения поставленных задач.
DataGrain ESO и его возможности
DataGrain ESO (Events Stream Optimization) — система класса CLM (Central Log Management), позволяющая централизованно собирать, фильтровать и профилировать разнородные ИБ-события в большом объёме.
Базисно, решение предназначено для сокращения входного потока в SIEM. Оно позволяет консолидировать большие объёмы данных в сжатом формате в централизованном хранилище данных и перенаправлять в SIEM только тот срез данных, который необходим для прикладной функциональности, — в частности, для выявления инцидентов в ИБ на базе правил корреляции. При таком подходе наше решение оптимизирует финансовые затраты на лицензирование и повышает эффективность работы SIEM, предоставляя необходимые данные уже в обработанном и нормализованном формате.
В более широком смысле, DataGrain ESO может являться комплексной дата-платформой для ИБ-департаментов и решать широкий спектр задач, начиная от долгосрочного хранения данных и соответствия требованиям регуляторов, заканчивая ретроспективным анализом и выявлением инцидентов, которые практически невозможно обнаружить сигнатурным способом на SIEM.
Конкурентное окружение DataGrain ESO
Исторически сложилось так, что в сфере ИБ решения класса CLM идут неким дополнением к SIEM-системам, которые внедряются в первоочередном порядке. Таким образом, практически все зарубежные решения представляют CLM-системы в моновендорном исполнении, в частности СLM одного вендора может работать только с соответствующим SIEM. С DataGrain ESO мы пошли иным путём: ESO является не дополнением к SIEM, а самостоятельным решением, которое может интегрироваться с SIEM любого вендора. Уже сегодня мы располагаем готовыми интеграциями для популярных зарубежных и отечественных SIEM и готовы к новым интеграциям с отечественными решениями, которые только выходят на рынок в рамках импортозамещения. Таким образом, сегодня мы можем эффективно работать с ещё функционирующими ArcSight и QRadar, а завтра способны безболезненно переключиться на отечественный SIEM, не ломая существующие ETL-процессы и не теряя критически важные данные.
Наиболее очевидными зарубежными конкурентами для нас являются ArcSight Logger и QRadar Log Manager, основным недостатком которых является как раз та самая жёсткая привязка к «своему» SIEM. Следовательно, как самостоятельные CLM-системы подобные решения рассматривать не представляется возможным. Кроме этого, сами по себе решения являются весьма устаревшими как с точки зрения технологий и подходов, так и с точки зрения функциональности и визуальной составляющей. Внедрение подобных систем обычно заканчивается простым развёртыванием между целевыми источниками и SIEM, перенастройкой ETL-процессов и примитивной настройкой параметров фильтрации данных, поступающих на SIEM. В DataGrain ESO мы развили эту базовую концепцию и сделали решение гораздо более функциональным, о чём расскажем ниже.
Ключевые особенности решения DataGrain ESO
Говоря о том, чем DataGrain ESO больше всего выгодно отличается от конкурентов, в первую очередь стоит остановиться на основной проблематике, которая определяет то, насколько успешно внедрено CLM-решение и насколько качественно оно решает возложенные на него прикладные задачи. Такой проблематикой является настройка тех самых параметров фильтрации, определяющих тот поток событий, который будет уходить на SIEM. Как правило, во избежание множества трудоёмких работ и рисков того, что будут отфильтрованы важные события, которые необходимы в SIEM, настройка фильтров ограничивается элементарным исключением заведомо избыточных источников, а также наложением фильтров, которые исключают определённые категории событий, являющиеся очевидно избыточными — например, события категории «debug».
В решении DataGrain ESO мы стремимся не ограничиваться таким приземлённым подходом и определяем перечень наиболее оптимальных фильтров аналитическим способом. Система интегрируется по REST API с SIEM-решениями и выгружает информацию об используемых правилах корреляции в SIEM, в частности информацию о той логике, которая лежит под тем или иным правилом. Обрабатывая эту информацию, мы получаем данные о том, какие источники, типы событий и условия используются для функционирования правил корреляции. Анализируя эту информацию, система подбирает оптимальные настройки фильтрации — необходимые и достаточные для корректной работы правил корреляции на SIEM. Отфильтрованный срез данных остаётся в хранилище DataGrain ESO, в котором в силу архитектурных особенностей данные можно хранить очень долго и при этом не утилизировать избыточно дисковую подсистему, за счёт передовых алгоритмов сжатия.
Ещё одним интересным преимуществом является возможность анализа поступающего в систему потока данных. В рамках каждого источника строится некий шаблон динамики ожидаемых событий, формируемый на базе статистического анализа. За счёт этого появляется возможность фиксации всплесков и провалов трафика событий на ранних этапах. Это в свою очередь позволяет выявлять неполадки на стороне целевых источников, когда мы недополучаем критически важные данные, а также, наоборот, выявлять, например, активированные политики аудита, избыточно нагружающие ИТ-оборудование и расходующие лицензию, которая, как правило, зависит от EPS.
Помимо этого, как уже говорилось ранее, система за счёт своей архитектуры может быть использована в качестве комплексной дата-платформы, на базе которой решаются смежные задачи. Здесь речь идёт в первую очередь о задачах ретроспективного анализа, когда мы не рассматриваем данные в настоящем времени, в рамках заложенных паттернов в правилах корреляции, а анализируем глубокие исторические срезы, в том числе учитывая новые индикаторы компрометации, информации о которых ранее не было.
Портрет типового заказчика DataGrain ESO
Наиболее распространённый тип заказчика для DataGrain ESO — это средние и крупные компании, в которых давно присутствует SIEM-система, выстроены процессы ИБ и оценки эффективности бизнеса. В таких компаниях часто присутствует понимание того, что бюджеты, выделяемые на ИБ или на другие направления, расходуются не так эффективно, как хотелось бы.
Также нашим заказчиком может быть и небольшая компания, обладающая скромным бюджетом и планирующая выстраивать все процессы по работе с ИБ-данными на базе нашей платформы. В таком случае мы проводим аудит текущей инфраструктуры, внедряем и настраиваем систему как консолидирующий центр по работе с данными, помогаем выстраивать соответствующие процессы ИБ.
Выводы
Подводя итоги, можно с уверенностью сказать, что DataGrain ESO позволяет не только эффективно заменить существующие зарубежные CLM-решения в рамках импортозамещения, но и повысить эффективность уже существующих процессов по работе с данными ИБ в части как экономической составляющей, так и прикладной.
