SIEM для бизнеса: что это такое и зачем он нужен

SIEM (Security Information and Event Management) — это программы, которые помогают обнаружить взлом системы до того, как произойдет утечка данных. Они защищают от изощренных атак, с которыми не справляются антивирусы. Как работают такие программы — рассказываем в статье.

Что такое SIEM

Современные компании используют разные информационные системы: серверы, сетевое оборудование, базы данных, средства защиты. Каждая генерирует логи, где сохраняет действия пользователей и системные ошибки. Иногда этой информации настолько много, что отслеживать инциденты вручную становится трудно.

SIEM-системы собирают события со всех источников, анализируют их в реальном времени и помогают вовремя обнаружить атаки. Исторически термин SIEM объединяет две категории продуктов:

• SIM: долговременное хранение и анализ логов, формирование отчетности, поддержка расследований.
• SEM: мониторинг событий в реальном времени, корреляция и оповещение об инцидентах.

Но чаще SIEM — это единая платформа, которая выполняет обе функции одновременно и обеспечивает комплексный подход к информационной безопасности.

Как работает SIEM

Большинство SIEM-систем имеют cхожую архитектуру. Они отвечают за:

• Сбор данных. Платформа получает события из разных источников. Для этого на источник устанавливают специальный агент, который собирает логи и передает их на центральный сервер. Либо SIEM может самостоятельно подключаться к источникам по протоколам Syslog, SNMP, JDBC или через API.
• Нормализацию и агрегацию событий. SIEM приводит записи о событиях к единому формату с одинаковыми полями (время, источник, тип события, пользователь). Агрегация позволяет группировать повторяющиеся события и снижать нагрузку на систему хранения.
• Корреляцию событий. Это центральный компонент SIEM. Система анализирует поток событий и сопоставляет их с заданными правилами. Если последовательность событий соответствует определенному опасному паттерну, система генерирует оповещение об инциденте и автоматически отправляет уведомление. SIEM может выявлять даже сложные атаки, растянутые во времени, которые по отдельности выглядят безобидно. 
• Хранение данных. Все собранные события сохраняются для дальнейшего использования. Можно вернуться к ним спустя время, чтобы восстановить картину инцидента.
• Визуализацию и отчетность. В SIEM можно посмотреть актуальные графики, составить список инцидентов, сделать отчет для руководства или регуляторов.

От чего защищает SIEM

SIEM защищает от разных угроз:

• Брутфорс (подбор паролей) — если злоумышленник пытается подобрать пароль к учетной записи, перебирая разные комбинации, SIEM фиксирует неудачные попытки с последующим успешным входом. 
• Несанкционированный доступ — например, вход из необычной геолокации, в нерабочее время или с нового устройства.
• SQL-инъекции — атаки на приложение с целью получить доступ к базе данных. 
• Вредоносная активность — вирусное ПО, которое распространяется по внутренней сети. SIEM помогает увидеть, что заражение носит массовый характер.
• Инсайдерские угрозы — например, попытки скопировать большие объемы данных, отправить информацию на внешние носители или получить доступ к запрещенным папкам.

Сам по себе SIEM не защищает от атак, но делает их видимыми для службы безопасности. Он может вовремя отправить уведомление или передать данные в SOAR для автоматической блокировки IP на межсетевом экране. 

Кому нужен SIEM

SIEM используют разные организации:  

• Крупный бизнес и корпорации. Для них SIEM — это обязательный элемент инфраструктуры безопасности, часто продиктованный требованиями регуляторов. 

Например, у банков есть PCI DSS — международный стандарт безопасности для защиты данных платежных карт. У операторов персональных данных — 152-ФЗ. Без SIEM подтвердить соответствие требованиям безопасности практически невозможно.

• Средний бизнес. Ему SIEM нужен для централизованного контроля за безопасностью и быстрого обнаружения атак. 
• Государственные учреждения. Тем, кто работает с чувствительными данными, которые важно защитить их от утечки. 

SIEM-системы будут избыточны для маленьких компаний с простой ИТ-инфраструктурой и небольшим бюджетом на персонал. А также для организаций, не ограниченных требованиями регуляторов. В этом случае для мониторинга можно использовать базовые программы — антивирус и файрвол.

Популярные SIEM-системы 

Самые популярные SIEM сегодня:

• IBM QRadar — корпоративное решение с развитыми механизмами корреляции и большим набором готовых правил. Хорошо интегрируется с другими продуктами IBM.
• Wazuh — платформа с открытым исходным кодом. Подходит для малого и среднего бизнеса, относительно проста во внедрении.
• MaxPatrol SIEM — лидер российского рынка, входит в реестр отечественного ПО. Отличается мощными механизмами анализа и ориентирован на требования локальных регуляторов.
• RuSIEM — российская SIEM-система для мониторинга, анализа и управления событиями информационной безопасности. Собирает данные из разных систем, выявляет угрозы и аномалии.
• Kaspersky Unified Monitoring and Analysis Platform (KUMA) — обеспечивает хорошую интеграцию с экосистемой Kaspersky, имеет невысокий порог входа: стоит дешевле конкурентов и не так требовательна к вычислительным ресурсам.

Выбор SIEM-системы зависит от масштаба бизнеса, бюджета и наличия компетенций. Свободное ПО требует квалифицированной команды разработчиков. Большинство зарубежных систем ушли с росиийского рынка после 2022 года. Поэтому компании все чаще предпочитают отечественные решения. 

Главные сложности при работе с SIEM

При внедрении SIEM компании часто сталкиваются с проблемами:

• Высокая цена. SIEM могут позволить себе лишь крупные фирмы. Помимо стоимости лицензии, нужно закладывать в цену затраты на оборудование, облачные ресурсы, зарплату специалистов.
• Сложность внедрения и настройки. Без квалифицированной команды дорогостоящая система будет бесполезна. Ошибки на этапе проектирования приведут к тому, что SIEM не справится с нагрузкой или будет пропускать инциденты. 
• Ложные срабатывания. Плохо настроенная SIEM-система генерирует тысячи ложных оповещений. Аналитики быстро устают от «шума», перестают обращать внимание на уведомления и могут пропустить реальную атаку. 
• Объемы данных. SIEM генерирует и хранит терабайты данных. Нужно заранее спроектировать систему хранения с учетом роста объемов и требований к срокам хранения.

SIEM — не коробочный продукт, а сложная система, которая требует настройки и мониторинга. Она реально повышает уровень безопасности, но только если компания готова инвестировать в лицензии, оборудование и команду.

Главное о работе SIEM

• SIEM отвечает за информационную безопасность бизнеса. Она собирает, анализирует события со всех источников и выявляет риски. 
• SIEM помогает предотвратить разные атаки: взлом паролей, несанкционированный доступ, SQL-инъекции, распространение вредоносного ПО, слив информации. 
• Главная ценность SIEM — обнаружение сложных угроз. Система позволяет увидеть атаку, растянутую во времени, которую невозможно заметить при анализе событий по отдельности.
• Большинство компаний предпочитают российские SIEM-системы (MaxPatrol SIEM, RuSIEM, KUMA), которые заточены под требования регуляторов.

Без квалифицированных специалистов SIEM бесполезен. Система генерирует оповещения, но интерпретирует их и принимает решение человек.