Аргументи за Open Source SIEM

Автор: Андрій Михалюк, CEO CoreWin

На початку був SIEM. І SIEM був поганий.

Коли SIEM вперше з’явився на сцені в середині 2000-х років, він допоміг організаціям справлятися з великою кількістю сповіщень про вторгнення, оптимізувавши завдання, які раніше виконувалися двома окремими технологіями:

• Системою керування інформацією про безпеку (SIM), яка збирала, зберігала й аналізувала дані журналу.
• Системою керування подіями безпеки (SEM), яка забезпечувала моніторинг у реальному часі, кореляцію подій та сповіщення.

Однак старі SIEM були дорогими, складними в налаштуванні та керуванні, і, безсумнівно, викликали втому для аналітиків і груп реагування. Але з роками ці системи еволюціонували. Тепер SIEM базуються на інфраструктурі великих даних, що дозволяє їм прочісувати величезні набори даних і надавати користувачам широкий огляд усього, що відбувається у їхній мережі. Вони об’єднують усі джерела журналів, орієнтованих на безпеку, – від журналів брандмауера та проксі-сервера до журналів контролера домену та виявлення загроз – в єдиному, централізованому місці. Нарешті, вони використовують правила кореляції та виявлення поведінки, щоб показати шаблони та отримати значущу інформацію, необхідну для звітування про відповідність і попередження про загрози.

Вартість, при цьому, все ще залишається проблемою для багатьох.

Наразі, спільнота розділилась на 2 табори:

1. Проти Open Source: масштабні постачальники SIEM наступного покоління, які пропонують усі ці кричущі нові функції, як-от SOAR (оркестровка безпеки, автоматизація та реагування, що дозволяє SIEM автоматично реагувати на загрози) та UEBA (аналітика поведінки користувачів і суб’єктів, інструмент, який використовує машинне навчання для виявлення підозрілих моделей поведінки), часто критикують технологію з відкритим кодом. Вони стверджують, що SIEM на основі відкритого коду не пропонують належного зберігання даних і не мають стандартних можливостей. Ці масштабні SIEM все ще мають високу ціну, що, звісно, ускладнює їх доступність для малого та середнього бізнесу.
2. З іншого боку, талановиті інженери з кібербезпеки придивилися до технологічного ландшафту з відкритим вихідним кодом і в дусі економії витрат і надання гнучкості та можливостей налаштування – реалізували чудові та набагато доступніші технологічні рішення у своїх SIEM для значного покращення видимості та можливостей реагування на інциденти.

Плюси

Коли справа доходить до технології та програмного забезпечення з відкритим кодом для SIEM, плюси значно переважують мінуси:

• Стає нормою. Amazon, IBM, Google. Ці компанії та багато інших використовують програмне забезпечення з відкритим кодом технології для свого онлайн-бізнесу. По суті, open source код наразі забезпечує приблизно 90% Інтернету.

• Спільнота. Разом талановиті експерти та любителі ретельно вивчають, редагують і вдосконалюють програмне забезпечення та інші ресурси, розроблені їхніми колегами.

• Можливість налаштування. Програмне забезпечення з відкритим кодом, як правило, має високу якість і добре розроблено. Коли ви використовуєте програмне забезпечення з відкритим кодом, вихідний код доступний для перегляду та редагування, що дає вам більше свободи та дозволяє ефективно усунути «передбачувані недоліки» Open Source.

• Надійність. Підтримка рішень з відкритим кодом зазвичай є значно більш доступною за ціною. Часто розв’язання проблеми можна легко отримати в онлайн-спільнотах. Вони наповнені людьми, які мали такий схожий з вашим досвід і готові допомогти вам у розв’язанні будь-якої проблеми, з якою ви можете зіткнутися.

Мінуси

Кілька недоліків включають:

• Використання програмного забезпечення SIEM з відкритим кодом може вимагати багато трудових ресурсів. Це правда, але: якщо ви витратите час на впровадження технології з відкритим кодом, ваша SIEM буде такою, якою ви хочете її бачити. І якщо проєктувати та впроваджувати відповідно до ваших унікальних потреб, ви не тільки максимізуєте свої інвестиції в персонал, але й заощадите на капітальних витратах.

• Рішення SIEM з відкритим кодом не мають деяких можливостей платних. Це правда, але: ви можете інтегрувати свої Open Source рішення без будь-яких ліцензійних пересторог, доповнюючи функціонал SIEM. Приміром ви можете інтегрувати систему SIEM та XDR Wazuh з системою розслідування інцидентів MISP.

• SIEM з відкритим кодом вимагають високого рівня знань і часу для розгортання. Це правда, але: готові рішення також вимагають часу та досвіду для розгортання, оскільки навіть ці типи рішення не є, і не можуть бути, plug’n’play.

• SIEM з відкритим кодом не надають сховище та не керують ним. Це правда, але це стосується не всіх рішень. Ви можете встановити рішення корпоративного рівня у своїй компанії – ви все одно несете відповідальність за керування власним сховищем. Навіть якщо зберігання даних «входить» до SIEM, ви все одно платите за нього. Вартість може бути просто включена в загальну ціну. І якщо ви поєднуєте SIEM з відкритим вихідним кодом із хмарним рішенням для зберігання (наприклад, Amazon S3), ви не керуєте сховищем, ним платно керує постачальник хмарних послуг.

Висновки

Зрештою, якщо ви вирішите спробувати рішення SIEM з відкритим кодом, подумайте про те, щоб скористатися послугами надійного партнера, наприклад обрати авторизованого чи сертифікованого інтегратора, який має компетенцію у вашій конкретній Open Source SIEM. Таким чином, не потрібно турбуватися про будь-які з цих «недоліків», оскільки ваша система буде впроваджена та налаштована так, щоб забезпечити повний обсяг її можливостей, необхідних для вашого бізнесу.

Ось до чого все насправді зводиться: SIEM система настільки хороша, наскільки хороші люди, які її впроваджують та підтримують. Оскільки, незалежно від того, використовуєте ви SIEM з відкритим вихідним кодом чи платне рішення від відомого розробника програмного забезпечення, вашій SIEM все одно потрібні люди, щоб її реалізувати та контролювати, а також реагувати на сповіщення.