Андрей Янкин: SIEM превратился для бизнеса в очевидную потребность

Андрей Янкин: SIEM превратился для бизнеса в очевидную потребность

Андрей Янкин

Окончил факультет «Информационная Безопасность» Московского Государственного Технического Университета им. Н. Э. Баумана (МГТУ). Более 10 лет работает в системных интеграторах по направлениям «внедрение, проектирование и консалтинг в области ИБ».

В компанию «Инфосистемы Джет» пришел в 2015 г., за это время прошел путь от начальника отдела консалтинга до директора Центра информационной безопасности. Обладает международными сертификатами CISSP, CISA, CISM, CRISC.

...

Директор центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин и руководитель отдела систем мониторинга ИБ и защиты приложений центра информационной безопасности компании «Инфосистемы Джет» Андрей Черных рассказали Anti-Malware.ru о том, как внедряют SIEM-системы и почему работа с ними — самая творческая.

SIEM-системы часто называют ключевыми для центров реагирования на киберинциденты. Расскажите, какую роль играет SIEM в бизнесе «Инфосистем Джет». Какие продукты использует ваш центр мониторинга и реагирования на инциденты в сфере информационной безопасности?

А. Я.: «Инфосистемы Джет» занимаются информационной безопасностью с 1996 года. В 2018 году у нас появился центр мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT (Computer Security Incident Response Team), который предлагает экспертный аутсорсинг полного цикла: мониторинг, реагирование, эксплуатация средств защиты информации. Jet CSIRT может подключиться к SIEM-системе и средствам защиты информации заказчика или использовать SIEM и СЗИ в облаке «Инфосистем Джет». В отличие от типового коммерческого SOC, в Jet CSIRT делают акцент на реагировании.

А. Ч.: Два года назад MaxPatrol SIEM вышел на первое место среди решений, с которыми работает наша компания — включая западные: на проекты с MaxPatrol SIEM сейчас приходится до 50 % всех проектов с системами этого класса.

Каким компаниям нужен SIEM?

А. Я.: Около шести лет назад мы анализировали, как компании используют SIEM-системы после внедрения. Многие внедряли такие решения, но, по сути, не эксплуатировали их, применяя только совсем базовые функции.

Сейчас SIEM превратился для бизнеса в очевидную потребность, как антивирус или, например, межсетевой экран. Компании фокусируются на практической пользе, поэтому очень популярной, в частности, становится связка SIEM- и IRP-систем. Всё больше компаний стали строить SOC, и у них появилась необходимость в процессах, которые разворачиваются вокруг SIEM. Это — построение различных плейбуков (playbooks, сценарии реагирования на типовые инциденты информационной безопасности) и разработка правил корреляции, завязанных на логику работы внутренних систем организаций. Это стало настолько актуально, что количество наших проектов по теме SOC, в рамках которых мы, среди прочего, предоставляли услуги экспертного консалтинга, всего за год выросло более чем в два раза.

Андрей Черных, руководитель отдела систем мониторинга ИБ и защиты приложений Центра информационной безопасности компании «Инфосистемы Джет»

Андрей Черных

Окончил факультет «Информатика и вычислительная техника» Донского государственного технического университета.

Более 10 лет работает в компании «Инфосистемы Джет», за это время прошел путь от инженера внедрения до руководителя отдела систем мониторинга информационной безопасности и защиты приложений.

А. Ч.: Ещё один тренд последних лет — развитие сегмента SIEM в промышленности, и здесь MaxPatrol SIEM — зачастую безальтернативное решение из-за требований регуляторов и благодаря его проверенной работоспособности. В сфере АСУ ТП и в некоторых других сферах системы SIEM помогают контролировать не только безопасность, но и доступность сети — кроме SOC ведь есть ещё и NOC (Network Operations Centers, центры управления сетью), решающие задачи функционирования сети. Всё большую роль играет SIEM в отслеживании мошенничества.

Вообще любой SIEM — это очень мощный движок, на котором можно обрабатывать самые разные данные и контролировать различные процессы бизнеса, обнаруживая в них аномалии. И если раньше SIEM-системами интересовались лишь крупнейшие компании, то сейчас в числе клиентов много представителей среднего бизнеса.

Отмечу, что Positive Technologies фактически предугадала этот интерес и к тому моменту, когда технологиями SIEM заинтересовались практически все крупные и средние компании, уже имела конкурентоспособный продукт.

Какую роль играет SIEM в бизнесе «Инфосистем Джет»?

А. Я.: У нас три основных направления бизнеса, связанных с SIEM-системами. Первое — это собственно внедрение систем, написание правил корреляции, подключение источников — в общем, классическая интеграторская история. Второй блок — консалтинг в части выстраивания процессов управления уязвимостями, контроль утечек данных и т. п. Мы пишем плейбуки, отлаживаем процессы, и в большинстве этих процессов есть SIEM. Построение плейбуков сегодня крайне востребованно среди компаний, дозревших до собственного SOC, мы наблюдаем резкий рост этого сегмента в последние два года. И третий блок — сервисы Jet CSIRT по мониторингу и реагированию на инциденты, в которых, естественно, без SIEM не обойтись. В таких проектах могут использоваться SIEM-системы в инфраструктуре компаний или SIEM на стороне нашего Jet CSIRT.

А. Ч.: Иногда мы задействуем экспертов сразу по двум направлениям: консалтинг и пентесты. Например, нас нередко просят проверить работоспособность правила или цепочки правил. Для этого мы можем привлекать коллег из лаборатории практического анализа защищённости, чтобы они воссоздали цепочку сценариев и мы могли бы её проверить.

Что изменилось в работе с MaxPatrol SIEM? Какие изменения были наиболее важными и полезными для вас как для интегратора?

А. Ч.: Самое важное, на наш взгляд, изменение MaxPatrol SIEM за прошедшие пять лет — возможность внедрить систему собственными силами. В первом нашем проекте даже настроить MaxPatrol SIEM было невозможно без помощи инженеров Positive Technologies. Сейчас этот продукт удобно инсталлируется и конфигурируется силами интегратора. На пилотном тестировании это не столь заметно, но при крупном внедрении становится видно колоссальное различие между тем, что было, когда продукт появился, и тем, что есть сейчас.

А. Я.: Отсюда — и полностью изменившееся отношение заказчиков. Когда у нас просят не «закрывашку» для требований регуляторов, а работающую систему SIEM, мы с чистой совестью можем предложить продукт Positive Technologies. Сейчас компании могут полноценно использовать MaxPatrol SIEM.

Существенно выросла стабильность: самые большие инсталляции в наших проектах без проблем обрабатывают до 10–15 тысяч событий в секунду, тогда как первые версии системы работали с 3 тысячами.

В последних релизах Positive Technologies заявляет о скорости обработки до 40 тысяч событий в секунду. В новую версию MaxPatrol SIEM также добавилась полезная возможность использовать новые правила корреляции на архивных событиях (исторические корреляции).

А. Ч.: Среди наших инженеров даже образовалась группа поклонников MaxPatrol SIEM: многие видят его технологическое преимущество по сравнению с другими системами SIEM. Но почитатели у продукта были не всегда. На заре его появления было сложно понять, какая линия саппорта в Positive Technologies оказывает поддержку MaxPatrol SIEM, складывалось ощущение, что этим занимались непосредственно разработчики. Сегодня стало на порядок больше квалифицированных инженеров, которые способны оказать качественную техническую поддержку и решить проблему. Появились полноценно разграниченные линии поддержки, оперативно реагирующие на запросы заказчиков. Например, при обычной поддержке вендор предоставляет консультации в течение пары дней. На решение проблем средней сложности, где не требуется обращение к разработчикам, уходит около недели. Для сложных кейсов всё индивидуально.

Изменилось ли что-то в мониторинге угроз в связи с переходом компаний на «удалёнку»?

А. Я.: В начале пандемии мы зафиксировали существенный спад потока инцидентов — примерно на четверть. Это произошло не потому, что компании переместились в защищённый мир удалённой работы, а в связи с отсутствием подключения к SIEM большой части инфраструктуры удалённого доступа и перенесённой на домашние системы активности пользователей. В первый момент службы ИТ занимались обеспечением доступности ресурсов. Впоследствии мы стали наблюдать массовые попытки злоумышленников подобрать пароли к RDP. Увеличилось и число веб- и DoS-атак.

В опросе, проведённом Positive Technologies среди специалистов по ИТ и ИБ, более половины респондентов отметили, что в связи с пандемией удалённый доступ пришлось экстренно организовывать с нуля (11 %) либо срочно масштабировать, так как он был реализован только для некоторых сотрудников (41 %).

Какие источники вы чаще всего подключаете к MaxPatrol SIEM и что заказчики хотят отслеживать в первую очередь?

А. Ч.: Традиционный список источников, которые заказчики хотят поставить на мониторинг, включает сетевое оборудование, контроллеры домена, рабочие станции на Windows. Реже встречаются специфичные источники, для которых приходится писать парсеры (например, чтобы обрабатывать события от приложений).

А. Я.: Иногда мы сталкиваемся с прикладным ПО, разработанным заказчиком: legacy-приложениями, самописным софтом для телефонии. Из всего этого нужно собирать логи. И в этом — искусство талантливых инженеров: чтобы внедрить SIEM, надо разбираться не только в SIEM, но и во всём на свете, это — самая творческая система ИБ.

Какие перспективы вы видите у SIEM как технологии? Это — пик или SIEM есть куда расти и развиваться?

А. Ч.: Информационная безопасность движется в сторону глобальной автоматизации и уменьшения числа специалистов. SIEM-системы — не исключение. Отсюда — рост интереса к поведенческому анализу пользователей и сущностей (UEBA, User and Entity Behavioral Analytics) и автоматизации реагирования на инциденты (SOAR, Security Orchestration, Automation and Response). Если Elasticsearch ушёл в сторону информационной безопасности, то SIEM-системы должны идти в направлении расширения возможностей лог-менеджмента, чтобы события и логи находились в едином окне и помогали эффективнее расследовать инциденты.

А. Я.: Если пофантазировать, то технологии, развивающиеся вокруг SIEM, могли бы частично заменить техническую поддержку первой и второй линии, где часто выполняются довольно рутинные задачи, а вот набрать и обучить штат таких специалистов непросто. У большинства компаний, с которыми мы работаем, тотально недоукомплектован штат поддержки.

Но всё же клиенты нас чаще спрашивают не о новых технологиях в SIEM, а о том, работает эта система в принципе или нет.

К российскому ПО, особенно столь сложному, до сих пор — крайне скептическое отношение. Присматриваясь к отечественному решению, заказчики хотят увидеть своими глазами реальные «референсы» функционирующей российской SIEM-системы, желательно — в сегменте крупного бизнеса. Таких референсов, которыми разработчики Positive Technologies могут гордиться, уже много. Работоспособность и надёжность — важнейшие черты MaxPatrol SIEM, за которые мы его любим. А затем уже идут технологические, функциональные, нормативные преимущества, которых у этой системы тоже немало.

Спасибо за беседу! Успехов!