Nền tảng SIEM (Quản lý sự kiện và thông tin bảo mật) là một lớp giải pháp thị trường bảo mật thông tin trưởng thành. Tại AM Live, các chuyên gia đã thảo luận các vấn đề của hệ thống tương quan và thu thập sự kiện hiện đại, chức năng SIEM nâng cao, các vấn đề về chứng nhận, tích hợp, hiệu suất, mở rộng quy mô và tiết lộ các kỹ thuật giúp giảm số lượng kết quả dương tính giả.
- Giới thiệu
- Tình hình thị trường SIEM
- Đặc tính kỹ thuật của SIEM hiện đại
- 3.1. SIEM thương mại và phát triển cá nhân có liên quan như thế nào?
- 3.2. Ai viết nội dung khám phá trong SIEM trả phí?
- 3.3. SIEM được cấp phép như thế nào?
- 3.4. Vấn đề mở rộng quy mô SIEM được giải quyết như thế nào?
- 3.5. Chống lại các kết quả dương tính giả và làm phong phú thêm nội dung SIEM
- 3.6. Trung tâm Năng lực Nhà cung cấp
- 3.7. Làm cách nào khách hàng có thể kiểm tra SIEM trước khi mua?
- Trả lời câu hỏi của người nghe
- kết luận
Giới thiệu
Kế tiếp sống từ studio Anti-Malware.ru diễn ra vào ngày 15 tháng 9 năm 2021. Cuộc họp kéo dài hơn ba giờ và dành riêng cho các hệ thống SIEM (Quản lý sự kiện và thông tin bảo mật, thông tin và bảo mật thông tin và quản lý sự kiện).
Trên trang của chúng tôi, bạn có thể tìm thấy một số ấn phẩm và nghiên cứu dành cho hệ thống SIEM. Các tác giả của chúng tôi đã xem xét thị trường SIEM toàn cầu và Nga và cho thấy khía cạnh thực tế của việc sử dụng các nền tảng này.
Chúng tôi đã cố gắng nhìn SIEM từ một góc độ phi tiêu chuẩn; các chuyên gia được mời đã được hỏi một số câu hỏi cấp bách về tình trạng phát triển hiện tại của thị trường SIEM ở Nga và thế giới.
Theo nhiều ước tính khác nhau, hệ thống quản lý thông tin và sự kiện trong lĩnh vực bảo mật thông tin có tuổi đời từ 10 đến 15 năm. Trong bối cảnh các quy trình bảo mật thông tin đang phát triển nhanh chóng, đây là giai đoạn quan trọng mà SIEM đã trưởng thành và trở thành cơ sở để xây dựng các SOC (Trung tâm điều hành bảo mật, trung tâm giám sát và ứng phó nhanh với các sự cố trong bảo mật thông tin). SIEM đang trở nên dễ tiếp cận hơn đối với các công ty trẻ và đang có được các chức năng cụ thể. Các nhà cung cấp lớn đang cảm thấy áp lực từ những người chơi mới trên thị trường.
SIEM được khuyên dùng cho khách hàng nào? SIEM có đang chuyển sang đám mây không? Các giải pháp SIEM miễn phí và viết tại nhà hiệu quả như thế nào? Làm cách nào để chọn SIEM phù hợp với khách hàng và khắc phục rủi ro, làm cách nào để đánh giá năng lực của nhà cung cấp? Các loại giấy phép và phương pháp cấp phép là gì? SIEM có thể thực hiện các chức năng SOAR (Điều phối bảo mật, Tự động hóa và Phản hồi, điều phối và tự động hóa các quy trình ứng phó sự cố) không?
Các chuyên gia sau đây từ thị trường SIEM Nga đã được mời để trả lời những câu hỏi này và nhiều câu hỏi khác:
- Người cá Antongiám đốc kỹ thuật của RuSIEM.
- Evgenia Lagutinachuyên gia kỹ thuật tại Micro Focus ở Nga, CIS và Đông Âu.
- Alexey DrozdTrưởng phòng An toàn thông tin tại SearchInform.
- Evgeniy BudarinTrưởng bộ phận Hỗ trợ trước bán hàng tại Kaspersky Lab.
- Oleg Bakshinskycố vấn bảo mật thông tin hàng đầu cho IBM tại Nga và CIS.
- Pavel KuznetsovPhó Giám đốc Điều hành Công nghệ An ninh mạng tại Công nghệ Tích cực.
- Maxim Zhevnerevnhà phân tích hàng đầu của bộ phận phát triển công nghệ và dịch vụ tiên tiến của Solar JSOC, Rostelecom-Solar.
Kiểm duyệt bởi Alexey LukatskyChuyên gia tư vấn kinh doanh về bảo mật của Cisco.
Người nghe tham gia chương trình phát sóng trực tiếp: đặt câu hỏi trong cuộc trò chuyện, tham gia khảo sát, kết quả là hình thành sự hiểu biết hiện tại về chủ đề đang thảo luận.
Chúng tôi mời bạn làm quen với những điểm chính của cuộc họp vừa qua trong phần đánh giá văn bản.
Tình hình thị trường SIEM
Thị trường SIEM có đang trì trệ?
Cuộc họp bắt đầu với câu hỏi về sự trì trệ của thị trường giải pháp SIEM theo phân tích của IDC. Các chuyên gia đều thống nhất rằng có sự chậm lại nhất định nhưng đây không phải là trì trệ mà là phát triển bền vững. Các giải pháp hoàn thiện như SIEM, cung cấp các chức năng chính (giám sát và tự động tương quan các sự kiện bảo mật thông tin đến trong thời gian thực), tiếp tục phát triển và tăng cường các khả năng bổ sung tập trung vào nhu cầu của khách hàng.
Tất cả những điều này thúc đẩy sự quan tâm đến các hệ thống SIEM thực sự, bởi vì có chỗ cho sự tăng trưởng và phát triển, có rất nhiều yêu cầu từ khách hàng.
Oleg Bakshinsky:
— Không chỉ SIEM, bất kỳ giải pháp thị trường bảo mật thông tin nào được phát triển trong nhiều thập kỷ đều hấp thụ mọi thứ mới phù hợp với quy trình bảo mật thông tin hiện đại. Đây là điều cần thiết để các nhà cung cấp luôn dẫn đầu. Và chúng ta thấy điều này trong ví dụ của nhiều công ty khác nhau.
“Chúng tôi không thể nói rằng đây là sự trì trệ,” nói thêm Người cá Anton. — SIEM là một tiêu chuẩn nhất định, chưa thể nói về cùng một XDR. Chúng tôi đã trải qua sự tăng trưởng bùng nổ khi các khách hàng lớn áp dụng SIEM. Giai đoạn hiện tại là sự phát triển bền vững của sản phẩm bởi các nhà cung cấp.”
Điều gì thúc đẩy sự quan tâm đến các giải pháp SIEM tự viết?
SIEM không phải là một giải pháp phổ quát, các diễn giả lưu ý; nó không thể đáp ứng được nhiệm vụ của bất kỳ khách hàng nào. Sự cá nhân hóa duy nhất luôn được yêu cầu vì mỗi khách hàng đều có những nhiệm vụ chuyên môn cao của riêng mình.
Các giải pháp từ các nhà cung cấp lớn có thể không phù hợp với khách hàng và có thể dư thừa, và ở đây người chiến thắng là các giải pháp tương tự SIEM tự viết hoặc miễn phí giúp giải quyết vấn đề của khách hàng hiệu quả hơn. Về bản chất, đây là một số loại miniSIEM, cũng cần được hỗ trợ, sửa đổi và bổ sung chuyên môn bên ngoài. Và thị trường đang bị phân mảnh, những người chơi mới đang xuất hiện.
Evgeny Budarin:
— Ở Nga, đã xuất hiện các nhà cung cấp có khả năng cung cấp các sửa đổi và hỗ trợ cần thiết cho SIEM miễn phí cho mục đích của khách hàng và cung cấp kiến thức chuyên môn phù hợp.
Số lượng nhiệm vụ có thể được giải quyết bằng SIEM lớn hơn nhiều so với khi cung cấp khả năng bảo vệ dựa trên xử lý nhật ký cổ điển và nhiều khách hàng quan tâm đến các chức năng được nhắm mục tiêu cao này, ông nói thêm. Pavel Kuznetsov.
Trả lời câu hỏi liệu có áp lực đối với các nhà cung cấp lớn từ những người chơi trên thị trường mới hay không, các chuyên gia lưu ý rằng có áp lực, nó đã được cảm nhận trong vài năm và điều này rất hữu ích vì nó kích thích sự phát triển của các giải pháp hiện có.
Hình 1: Bạn hiện có đang sử dụng hệ thống thu thập sự kiện bảo mật không?
Gần 2/3 số người được khảo sát hiện đang sử dụng SIEM.
SIEMaaS ở Nga
Các diễn giả chưa gặp yêu cầu mua SIEMaaS (SIEM-as-a-Service, SIEM as a service), chưa hiểu điều này thú vị như thế nào đối với khách hàng. Các nhà cung cấp đang phát triển lĩnh vực này, suy nghĩ kỹ lưỡng về hoạt động của một nền tảng như vậy và nhìn thấy tương lai trong lĩnh vực này. Ở giai đoạn này, các diễn giả chỉ lưu ý sự xuất hiện của nhu cầu về dịch vụ như vậy ở Nga, trong khi ở thị trường phương Tây, điều này đã được thực hiện đầy đủ.
Nếu SIEM với tư cách là một dịch vụ dễ triển khai, nếu khách hàng có thể cảm nhận được kết quả của việc mua hàng và thường giao phó cơ sở hạ tầng cho bên thứ ba, thì điều này sẽ thuận tiện cho tất cả những người tham gia thị trường. Vấn đề về lòng tin là một vấn đề rất gay gắt; không phải ai cũng sẵn sàng chuyển thứ gì đó quan trọng lên đám mây vào lúc này. Các dịch vụ đám mây càng tích cực (bao gồm cả dịch vụ địa phương) được các công ty lớn sử dụng thì càng có nhiều khách hàng đến với SIEMaaS.
Bà nhấn mạnh, cho đến khi tư duy xây dựng cơ sở hạ tầng dựa trên nền tảng đám mây, vẫn còn quá sớm để nói về SIEMaaS chất lượng cao hoàn chỉnh. Evgenia Lagutina.
Hình 2: Bạn đã sẵn sàng sử dụng SIEM-as-a-Service chưa?
Các ý kiến gần như được chia đều, nhưng phần lớn (54%) vẫn chưa sẵn sàng cho SIEMaaS.
Khi thảo luận về các vấn đề liên quan đến sự xuất hiện của SIEMaaS ở Nga, vấn đề về quy định đã được đặt ra và vấn đề này vẫn cần được giải quyết. Các yêu cầu của FSTEC Nga về giám sát cấp phép đã được phát triển nhưng chưa có yêu cầu nào về việc gửi và xử lý nhật ký (có thể chứa dữ liệu quan trọng) bởi bên thứ ba.
Một sự phát triển tương tự có thể được nhìn thấy trong ví dụ về DLP; trong 2-3 năm qua, mức độ phổ biến của DLPaaS ngày càng tăng và niềm tin vào các nhà cung cấp ngày càng được củng cố. Trong tương lai có thể chúng ta sẽ đến với SIEMaaS, tóm tắt lại Alexey Drozd.
Hãng phim hỏi liệu có dịch vụ làm việc chuyên nghiệp với SIEM ở Nga hay không. Các chuyên gia ghi nhận sự liên quan của dịch vụ SIEM được quản lý. Có những khách hàng ở Nga sử dụng quản lý SIEM chuyên nghiệp bên ngoài. Điều này rất hữu ích cho những khách hàng thiếu chuyên gia hoặc những người có nhiệm vụ cụ thể.
Evgenia Lagutina:
— Đây chính xác là lựa chọn khi khách hàng mua SIEM nhưng không đủ trình độ để làm việc với nền tảng. Nền tảng có thể không hoạt động và không hoạt động hết công suất. Sau đó, một chuyên gia bên ngoài sẽ được mời đến để giúp tùy chỉnh và thiết lập hoạt động hiệu quả của SIEM. Nhưng tất nhiên, bất kỳ công ty nào cũng cố gắng phát triển đội ngũ chuyên gia của mình.
Các trường hợp sử dụng SIEM không bảo mật
Một kịch bản như vậy là quản lý tài sản kỹ thuật số. Thông thường, bản thân nhân viên công ty cũng bối rối trước số lượng sản phẩm và giải pháp kỹ thuật số trong công ty. Hệ thống báo cáo về hiện trạng cơ sở hạ tầng CNTT cực kỳ hữu ích – đặc biệt là hiện nay, do quá trình số hóa rộng rãi của nền kinh tế, doanh nghiệp và cuộc sống của chúng ta nói chung.
Các chuyên gia đề xuất các kịch bản khác khi sử dụng SIEM:
- giám sát các thiết bị lưu trữ dữ liệu được kết nối và phần cứng khác;
- xác định sự bất thường trong xử lý dữ liệu;
- làm phong phú dữ liệu được thu thập với các hệ thống khác;
- lưu trữ các sự kiện và truy cập vào kho lưu trữ của chúng;
- phân tích hiệu năng của hệ thống.
Người cá Anton:
— CNTT và bảo mật thông tin ngày càng có sự giao thoa trong các nhiệm vụ và sự tương tác này cần phải được tổ chức. Tài sản, quản lý lỗ hổng, giám sát – có rất nhiều vấn đề SIEM giải quyết và có thể giúp giải quyết.
Nhiều khách hàng băn khoăn không biết nên chọn SIEM nào: tự viết, mã nguồn mở hay thương mại. Tại đây, các chuyên gia ghi nhận việc đào tạo chuyên nghiệp các chuyên gia sẵn sàng viết và phát triển sản phẩm của họ từ đầu hoặc sửa đổi mã nguồn mở cho phù hợp với bản thân. Câu hỏi đặt ra là mức độ trưởng thành của khách hàng và khả năng đầu tư thời gian của họ vào việc phát triển các giải pháp SIEM.
SIEM thương mại đã phát triển từ những SIEM tự viết và nguồn mở. Đây là trải nghiệm thực tế, đây là nỗ lực của nhiều chuyên gia và một sản phẩm như vậy sẽ tốn kém. Tuy nhiên, cả SIEM trả phí và miễn phí đều có thể hoạt động tốt như nhau và thực hiện các chức năng cơ bản của chúng.
Hình 3. Bạn đang sử dụng loại hệ thống thu thập sự kiện nào?
Loại SIEM thương mại được 64% người tham gia khảo sát lắp đặt. Nguồn mở được 16% quan tâm và 15% đã chọn một số giải pháp khác nhau. SIEM tự viết chỉ có tác dụng với 5% số người được hỏi.
Đặc tính kỹ thuật của SIEM hiện đại
SIEM thương mại và phát triển cá nhân có liên quan như thế nào?
Tất cả các nhà cung cấp SIEM trưởng thành đều có thể hoạt động với tất cả các giao thức, đầu nối và tiêu chuẩn hiện đại. Kiến trúc của một sản phẩm SIEM chất lượng cao cho phép cả khách hàng và nhà tích hợp cung cấp các kết nối cần thiết. Trong những trường hợp hiếm hoi, bạn cần viết một cái gì đó từ đầu.
Cuộc thảo luận đã không đưa ra phán quyết rõ ràng về việc ai sẽ là người thực hiện mối liên hệ này. Các nhà cung cấp sẵn sàng giúp đỡ khách hàng, nhưng không phải lúc nào cũng miễn phí. Tuy nhiên, các chuyên gia nhất trí nhấn mạnh rằng khách hàng có thể định cấu hình độc lập tất cả các đầu nối.
Oleg Bakshinsky:
— Ở đây điều quan trọng hơn là phải hướng dẫn khách hàng lý do tại sao điều này lại cần thiết. Đây là một cấp độ khác nhau của khách hàng. Nhưng nếu khách hàng nhất quyết khăng khăng thì theo quy định, “chúng tôi sẽ làm mọi thứ vì tiền của bạn”.
Ai viết nội dung khám phá trong SIEM trả phí?
Các quy tắc “có sẵn” là cơ sở quan trọng, sau đó nhà cung cấp SIEM sẽ trợ giúp khách hàng cho đến khi khách hàng hiểu rõ những quy tắc nào và cách bổ sung để phát hiện sự bất thường một cách hiệu quả. Nhiều nhà cung cấp đưa ra các phương pháp hay nhất để viết quy tắc, cùng nhiều thứ khác.
Đây là công việc chung của các nhà phân tích nhà cung cấp và phân tích khách hàng, các quy tắc được cập nhật liên tục và những quy định mới được bổ sung, nhấn mạnh Người cá Anton.
Pavel Kuznetsov:
— Đây là vấn đề điều chỉnh ở giai đoạn thực hiện; chúng tôi giúp khách hàng kết thúc những sự kiện không thể chấp nhận mà họ lo sợ. Các chuyên gia của chúng tôi tham gia vào việc viết ra các quy tắc nhằm giải quyết những rủi ro này. Chúng tôi luôn đào tạo cách sử dụng sản phẩm.
Hình 4. Bạn đang sử dụng nội dung (quy tắc) của ai để khám phá?
Một phần ba số người được hỏi tự viết các quy tắc; một phần tư cảm thấy khó trả lời. 20% hài lòng với các quy tắc mặc định, 15% chuyển sang nhà cung cấp và chỉ 8% nhận nội dung khám phá từ Internet.
Một trong những câu hỏi liên quan thú vị là: trường hợp sử dụng nào có thể được sử dụng để khởi động SIEM nhanh chóng? Thực sự không có nhiều trường hợp như vậy; theo quy định, đây luôn là bảo mật cơ sở hạ tầng cơ bản – xác thực, thay đổi quyền và nhóm người dùng, theo dõi các chuyển động xung quanh chu vi, xác định các cuộc tấn công vào Active Directory, sử dụng ma trận MITER, phát hiện các kết nối, v.v.
Lưu ý: Một bộ quy tắc từ thị trường hoặc từ một số kho lưu trữ bên ngoài sẽ không nhất thiết phải hoạt động phù hợp với khách hàng. Maxim Zhevnerev.
Oleg Bakshinsky kể một trường hợp thực tế: khách hàng đã thêm các quy tắc của riêng mình nhưng không vô hiệu hóa bộ quy tắc mặc định từ nhà cung cấp. Sau khi phân tích báo cáo, người ta phát hiện ra rằng chính các quy tắc “có sẵn” đã giúp xác định các máy chủ bị nhiễm bệnh.
Nền tảng SIEM trưởng thành cung cấp một bộ quy tắc khá hiệu quả và có thể hiển thị kết quả trong vòng vài giờ kể từ khi khởi chạy.
Một câu hỏi khác là liệu SIEM có hoạt động với các luồng khác ngoài các sự kiện riêng biệt hay không. Các diễn giả trả lời khẳng định: phân tích thời gian thực các luồng mạng để tìm dấu hiệu cho thấy sự hiện diện của các chương trình đáng ngờ là quan trọng và cần thiết và phải được hỗ trợ.
Evgeny Budarin:
— Hệ thống càng phổ biến về mặt thu thập các sự kiện từ các nguồn khác thì kết quả càng chính xác và tốt hơn. Trong cùng một “thí điểm”, điều này cho phép bạn chứng minh hoạt động của sản phẩm và xem một bức tranh thú vị về những gì đang xảy ra trên chu vi.
SIEM được cấp phép như thế nào?
Nếu chúng ta sử dụng sơ đồ cổ điển, thì EPS (số sự kiện mỗi giây) và FPS (số luồng mỗi giây) sẽ được sử dụng, đã trả lời Evgenia Lagutina.
Oleg Bakshinsky đánh dấu một phong trào hướng tới cơ sở hạ tầng – cấp phép dựa trên máy chủ: đối với khách hàng, phương pháp này thuận tiện hơn cho việc dự đoán mức tăng trưởng tiếp theo. Hầu hết khách hàng chọn cái này khi mua giấy phép và từ chối cái cổ điển.
Các chuyên gia đồng ý rằng cách tiếp cận cấp phép thực tế, linh hoạt hơn đang trở nên phổ biến hơn – xét cho cùng, các chỉ số EPS / FPS được tính toán luôn khác với hiệu suất thực tế, điều này phụ thuộc vào cơ sở hạ tầng cụ thể và mục tiêu của khách hàng.
Mỗi nhà cung cấp phát triển theo cách riêng của mình: ví dụ: giấy phép SIEM có thể được mua vĩnh viễn, không giới hạn thời gian và có thể cung cấp các mô-đun miễn phí hữu ích cho khách hàng.
Trong trường hợp tải cao điểm trên SIEM, khi có sự vượt quá EPS/FPS trong thời gian ngắn, giấy phép không áp đặt các hạn chế, không có sự kiện nào bị mất. Nếu lượng dư thừa kéo dài, chẳng hạn như khi cơ sở hạ tầng của khách hàng thay đổi, thì vấn đề sẽ được điều tra và có thể cần phải gia hạn giấy phép.
Maxim Zhevnerev:
— Ngược lại, chúng tôi chuyển từ nguồn sang EPS / FPS và đây là số liệu bình thường, trung thực cho phép chúng tôi cân nhắc hoàn hảo các nguồn lực của mình và phát hiện những điểm bất thường trong trường hợp khách hàng vượt quá giới hạn.
Bình luận về câu hỏi nên dùng ổ cứng nào cho SIEM, Evgeniy Budarin lưu ý rằng cấu hình thiết bị cần thiết được hình thành cho từng khách hàng sau khi thiết lập nhiệm vụ. Số lượng quy tắc tương quan, độ sâu hồi cứu, số lượng bảng giám sát, v.v. được tính đến, dựa trên việc phân tích các dữ liệu này sẽ đưa ra các yêu cầu đối với ổ cứng.
Vấn đề mở rộng quy mô SIEM được giải quyết như thế nào?
Các diễn giả trả lời rằng mọi thứ, như mọi khi, đều phụ thuộc vào sở thích và mục tiêu của khách hàng. Nhiệm vụ xây dựng một trung tâm năng lực có thể được giải quyết theo nhiều cách khác nhau. Có thể tạo các điểm thu thập dữ liệu riêng biệt, có thể được đặt ở các cấp độ khác nhau và có mã định danh duy nhất của riêng chúng, cho phép bạn hiểu sự kiện đến từ đâu.
Người cá Anton:
– Đây [релевантны] và phân phối quyền truy cập chi tiết cũng như sự phụ thuộc vào vị trí lưu trữ dữ liệu (tại chỗ hoặc từ xa) và sự phụ thuộc vào nơi khách hàng dự định tương quan dữ liệu. Và ngày càng có nhiều yêu cầu triển khai cơ sở hạ tầng phân tán theo địa lý như vậy.
Các chuyên gia cũng thảo luận về khả năng ứng phó sự cố của SIEM. Bằng cách cung cấp giải pháp toàn diện, nhà cung cấp cung cấp khả năng tích hợp đầy đủ với tất cả các SOAR có trên thị trường. Không phải tất cả khách hàng đều yêu cầu chức năng như vậy – theo quy luật, chỉ những chức năng lớn mới yêu cầu. Trong gói cơ bản, phản hồi được hỗ trợ; các kịch bản tương ứng (sách hướng dẫn) được viết.
“Chúng tôi đang hướng tới một ưu đãi phổ quát dành cho khách hàng ở các mức độ trưởng thành khác nhau. Trả lời tự động hiện là yêu cầu của nhiều người. Và chức năng SIEM này “có sẵn” sẽ tăng thêm trọng lượng cho sản phẩm,” lưu ý Evgeniy Budarin.
Hình 5: Bạn có muốn tích hợp khả năng phản hồi trong SIEM của mình không?
Hai phần ba số người được khảo sát coi phản hồi được nhúng là một khoản tiết kiệm SOAR. 19% thích SOAR chuyên dụng. Gần như con số tương tự (17%) tin rằng SIEM chỉ giám sát.
Chống lại các kết quả dương tính giả và làm phong phú thêm nội dung SIEM
Trong cuộc chiến này, việc sử dụng máy học kết hợp với việc sàng lọc các quy tắc theo cách thủ công sẽ có hiệu quả. Học máy giúp lọc hoạt động hợp pháp cũng như lập hồ sơ người dùng và thực thể trong mạng của khách hàng, đồng thời cung cấp khả năng điều chỉnh ở giai đoạn triển khai.
Pavel Kuznetsov:
— Trong quá trình triển khai SIEM, nhà cung cấp sẽ giúp thiết lập các quy tắc này, lập hồ sơ, điền vào danh sách trắng các hành vi hợp pháp và bạn có thể tiếp tục làm việc với việc này.
Các chuyên gia cũng lưu ý rằng việc kiểm tra các kết quả dương tính giả theo cách thủ công, mở và xem các quy tắc có thể rất hữu ích, đặc biệt là khi không có đủ dữ liệu. Liên kết SIEM với SOAR và các nguồn khác giúp bù đắp cho việc thiếu dữ liệu.
Làm phong phú nội dung bằng nội dung, lỗ hổng, thẻ sự kiện, v.v. cho phép bạn áp đặt các quy tắc tương quan còn thiếu.
Alexey Drozd:
— Phương pháp chiến đấu chính là khả năng làm rõ các quy tắc. Cần phải trình bày một bộ công cụ phong phú cho phép làm rõ các tiêu chí về mối tương quan, lựa chọn và phản hồi. Ở đây điều quan trọng là các chuyên gia phải được nhà cung cấp đào tạo về kỹ thuật này.
Hình 6: Quốc gia xuất xứ của SIEM có quan trọng với bạn không?
Đối với phần lớn số người được hỏi (56%), nước xuất xứ của SIEM không quan trọng. Phần còn lại (44%) rơi vào tình trạng thay thế nhập khẩu.
Trung tâm Năng lực Nhà cung cấp
Ngoài năng lực của nhà cung cấp SIEM thì trình độ của bộ phận nghiên cứu là vô cùng quan trọng. Nó giúp lấp đầy sản phẩm bằng nội dung của nhà cung cấp – ví dụ: viết các quy tắc tương quan tương tự. Một đơn vị như vậy sẽ điều tra các hướng tấn công, mối đe dọa mới, v.v. Bộ phận này có thể là của riêng mình hoặc của đối tác.
Pavel Kuznetsov mô tả tích cực sự hiện diện của các đội phòng thủ và tấn công của nhà cung cấp (Đội Xanh và Đội Đỏ), cùng nhau khởi động quy trình Đội Tím và sau đó, bằng cách trao đổi kiến thức, nâng cao chất lượng nội dung, phát triển và liên tục cập nhật sản phẩm.
Rất có thể sẽ không thể xác nhận rõ ràng năng lực của nhà cung cấp bằng bất kỳ tài liệu nào. Bạn có thể thấy họ ở giai đoạn “chạy thử” sản phẩm. Alexey Drozd đề xuất một cách khác để đánh giá năng lực: đánh giá sản phẩm từ các khách hàng đã có uy tín, giao tiếp giữa các khách hàng.
Đôi khi chỉ cung cấp trải nghiệm thực tế của nhà cung cấp SIEM mà không có trung tâm năng lực. Trải nghiệm này cũng tốn tiền nhưng sản phẩm vẫn sẽ phát huy tác dụng. Năng lực có thể mang tính quốc tế hoặc lãnh thổ, được bổ sung Oleg Bakshinsky.
Làm cách nào khách hàng có thể kiểm tra SIEM trước khi mua?
Để tiếp nối câu hỏi trước một cách hợp lý, các diễn giả nhất trí đề xuất “thử nghiệm” và một lần nữa nhấn mạnh tầm quan trọng của mục tiêu của khách hàng. Khách hàng cần chuẩn bị các kịch bản của riêng mình, suy nghĩ thông qua chương trình thử nghiệm để thực hiện các nhiệm vụ cụ thể và xem SIEM được chọn sẽ giải quyết các rủi ro cụ thể của mình như thế nào với mức giá hợp lý trong phạm vi ngân sách.
Một số nhà cung cấp cung cấp phiên bản miễn phí của sản phẩm mà bất kỳ ai cũng có thể cài đặt. Bạn có thể sử dụng danh sách kiểm tra mối đe dọa và danh sách kiểm tra so sánh SIEM, điều này sẽ giúp bạn xem xét khả năng và chức năng của các sản phẩm trên thị trường. Kiểm toán bên ngoài (ví dụ: dưới hình thức dịch vụ Đánh giá Đội Đỏ) đang có đà phát triển và đưa ra đánh giá toàn diện về hiện trạng các quy trình bảo mật thông tin trong một công ty, bao gồm cả đánh giá về tính hiệu quả của SIEM.
Alexey Drozd:
— Chúng tôi coi “phi công” như một cuộc bán “chiến đấu” để lấy tiền, đối với chúng tôi không có gì khác biệt. Khách hàng được giao không phải là người quản lý bán hàng mà là chuyên gia kỹ thuật và hỗ trợ chính thức. Khách hàng thích khi bạn nói chuyện với họ một cách trung thực, khi người ta chú ý đến cả điểm mạnh và điểm yếu của sản phẩm.
Để “thử nghiệm” thành công, nhà cung cấp và khách hàng phải xác định tiêu chí thành công. Quá trình thử nghiệm sẽ hình thành các trường hợp sử dụng và sau đó sẽ rõ mức độ hiệu quả và tiện lợi của sản phẩm đối với khách hàng, đối với các chuyên gia cụ thể, những người sẽ tiếp tục làm việc với nền tảng, tóm tắt Maxim Zhevnerev.
Hình 7. Ý kiến của bạn về SIEM sau buổi phát sóng là gì?
Gần một nửa (49%) tự tin rằng lựa chọn SIEM của họ là chính xác. 20% quan tâm và sẵn sàng làm bài kiểm tra. Với 11%, SIEM hiện đang dư thừa. 10% không hiểu cuộc họp căng thẳng kéo dài ba tiếng đồng hồ nói về điều gì. 9% cho rằng người nói chưa đủ thuyết phục.
Trả lời câu hỏi của người nghe
Có lựa chọn thay thế nào cho những người không sử dụng SIEM không?
Một số khách hàng, vì một số lý do, không cần SIEM hoặc không sử dụng các giải pháp hiện tại. Thiếu nguồn lực tài chính và nhân sự trong công ty cũng là một vấn đề phổ biến. Trong trường hợp này, đó có thể là thuê ngoài, khi ai đó từ bên ngoài cung cấp bảo mật bằng cách sử dụng cùng SIEM và giải quyết một số rủi ro.
Ông nhấn mạnh, công ty không thể sử dụng dịch vụ của chỉ một nhà cung cấp, vì việc tính toán và đóng tất cả các vectơ tấn công hiện đại theo cách này là cực kỳ khó khăn. Người cá Anton.
Maxim Zhevnerev:
— Hiện nay có khá nhiều giải pháp khắc phục những rủi ro chính trong vấn đề bảo mật thông tin. Ví dụ: nếu EDR đã được cài đặt thì trong hầu hết các trường hợp, SIEM không mang lại nhiều lợi ích, điều này cũng đúng với NTA, v.v. Nếu chúng ta lấy một khách hàng giả định cần bắt đầu xây dựng quy trình bảo mật thông tin ở đâu đó, tôi khuyên bạn nên bắt đầu với EDR chứ không phải SIEM.
Làm cách nào để đồng bộ SIEM giữa các múi giờ?
Điều này được giải quyết bằng cách sử dụng dấu thời gian trên bộ sưu tập hoặc nguồn. Nếu công ty được phân bổ theo địa lý thì sự kiện sẽ tính đến việc điều chỉnh múi giờ tương ứng.
Còn việc đóng gói SIEM và tối ưu hóa lõi thì sao?
Tất cả các nhà cung cấp đang hướng tới điều này, nhiều nhà cung cấp đã cung cấp “SIEM trong một thùng chứa”. Hiệu suất, tính linh hoạt, khả năng mở rộng theo chiều dọc và chiều ngang là cơ sở và ưu tiên của tất cả các nhà phát triển.
Evgenia Lagutina:
“Sẽ luôn thuận tiện khi sản phẩm được mở ra dễ dàng và trong trường hợp hỏng hóc, nó sẽ tự phục hồi và công việc không bị gián đoạn, đó là những gì mà hộp đựng mang lại. Đây đã là hiện tại và đây là tương lai. Các SIEM hiện đại và nhiều mô-đun của chúng đã được tối ưu hóa, đóng gói trong các thùng chứa và hoạt động với loại cơ sở dữ liệu cột.
kết luận
Thị trường nền tảng SIEM ngày nay đang phát triển ổn định, sản phẩm liên tục có thêm các chức năng bổ sung theo yêu cầu của khách hàng. Có sự phân mảnh của thị trường: những người chơi mới đang nổi lên, điều này kích thích các nhà cung cấp lớn phát triển sản phẩm.
Các giải pháp nguồn mở và tự viết rất hữu ích cho những khách hàng nhận thấy sự dư thừa của nền tảng SIEM trả phí và sẵn sàng hỗ trợ và cải tiến sản phẩm của họ một cách độc lập hoặc mời các chuyên gia bên ngoài. Dịch vụ SIEM được quản lý đang có nhu cầu và được cung cấp cho một số khách hàng ở Nga.
Nhu cầu về SIEMaaS mới nổi lên ở Nga; Các yêu cầu của cơ quan quản lý về cách dữ liệu được chuyển giao và xử lý bởi các bên thứ ba vẫn chưa được phát triển.
SIEM “ngay lập tức” có thể hoạt động với tất cả các giao thức, trình kết nối và tiêu chuẩn, phân tích các luồng mạng và có một bộ quy tắc làm sẵn có hiệu quả và hiển thị kết quả ở giai đoạn cá nhân hóa nền tảng. Nội dung khám phá được khách hàng tùy chỉnh, nhà cung cấp cung cấp đào tạo. Ngoài EPS/FPS tiêu chuẩn, các nhà cung cấp còn cung cấp các chương trình cấp phép linh hoạt hơn.
SIEM hiện đại có thể được sử dụng bên ngoài các tình huống bảo mật tiêu chuẩn, điều này mang lại lợi ích cho toàn bộ bộ phận CNTT của công ty.
Ứng phó sự cố tự động được SIEM hỗ trợ và là yêu cầu của nhiều khách hàng. Vấn đề mở rộng quy mô SIEM luôn được giải quyết khác nhau tùy theo mục tiêu của khách hàng.
Học máy giúp ích trong cuộc chiến chống lại các kết quả dương tính giả, nhưng việc tự mình tiến hành phân tích thủ công và tinh chỉnh các quy tắc luôn hữu ích.
Đánh giá của khách hàng, sự hiện diện của trung tâm năng lực, báo cáo công khai, quy trình Purple Teaming, danh sách kiểm tra, phiên bản demo và tất nhiên, việc “thí điểm” cá nhân của sản phẩm sẽ giúp khách hàng chọn nền tảng SIEM phù hợp và giải quyết mọi rủi ro.
Đăng ký kênh của chúng tôi, tham gia khảo sát và thảo luận chuyên đề. Giành giải thưởng bằng cách đặt câu hỏi cho người nói trong cuộc trò chuyện. Nhận thông tin cập nhật về các xu hướng mới nhất về bảo mật thông tin trên AM Live!
