Автор: Андрей Михалюк, CEO CoreWin
Сначала был SIEM. И SIEM был плохим.
Когда SIEM впервые появился на сцене в середине 2000-х годов, он помог организациям справляться с большим количеством оповещений о вторжениях, оптимизировав задачи, ранее выполнявшиеся двумя отдельными технологиями:
- Системой управления информацией о безопасности (SIM), которая собирала, хранила и анализировала данные журнала.
- Системой управления событиями безопасности (SEM), которая обеспечивала мониторинг в реальном времени, корреляцию событий и оповещения.
Однако старые SIEM были дорогими, сложными в настройке и управлении, и, несомненно, утомляли аналитиков и группы реагирования. Но с годами эти системы эволюционировали. Теперь SIEM базируются на инфраструктуре больших данных, что позволяет им прочесывать огромные наборы данных и предоставлять пользователям широкий обзор всего происходящего в их сети. Они объединяют все источники журналов, ориентированных на безопасность, – от журналов брандмауэра и прокси-сервера до журналов контроллера домена и обнаружения угроз – в единственном централизованном месте. Они также используют правила корреляции и выявления поведения, чтобы показать шаблоны и получить значимую информацию, необходимую для отчета о соответствии и предупреждений об угрозах.
Стоимость при этом все еще остается проблемой для многих.
На данный момент сообщество разделилось на 2 лагеря:
- Против Open Source: масштабные поставщики SIEM следующего поколения, предлагающие все эти кричащие новые функции, такие как SOAR (оркестровка безопасности, автоматизация и реагирование, что позволяет SIEM автоматически реагировать на угрозы) и UEBA (аналитика поведения пользователей и субъектов, инструмент, использующий машинное обучение для выявления подозрительных моделей поведения), часто критикуют технологию с открытым кодом. Они утверждают, что SIEM на основе открытого кода не предлагают надлежащего хранения данных и не имеют стандартных возможностей. Эти масштабные решения все еще имеют высокую цену, что, конечно, делает их не очень доступными для малого и среднего бизнеса.
- С другой стороны, талантливые инженеры кибербезопасности присмотрелись к технологическому ландшафту с открытым исходным кодом и в духе экономии и предоставления гибкости с возможностями настройки – реализовали прекрасные и гораздо более доступные технологические решения в своих SIEM для значительного улучшения видимости и возможностей реагирования на инциденты.
Плюсы
Когда дело доходит до технологии и программного обеспечения с открытым кодом для SIEM, плюсы значительно перевешивают минусы:
- Становится нормой. Amazon, IBM, Google. Эти компании и многие другие используют программное обеспечение с открытым кодом технологии для своего онлайн-бизнеса. По сути, open source код обеспечивает примерно 90% Интернета.
- Сообщество. Вместе талантливые эксперты и любители тщательно изучают, редактируют и совершенствуют программное обеспечение и другие ресурсы, разработанные их коллегами.
- Возможность настройки. Программное обеспечение с открытым кодом, как правило, имеет высокое качество и хорошо разработано. При использовании программного обеспечения с открытым кодом исходный код доступен для просмотра и редактирования, что дает вам больше свободы и позволяет эффективно устранить «предполагаемые недостатки» Open Source.
- Надежность. Поддержка решений с открытым кодом обычно гораздо более доступна по цене. Часто решение проблемы можно легко получить в онлайн-сообществах. Они наполнены людьми, которые имели такой схожий с вашим опыт и готовы помочь вам в решении любой проблемы, с которой вы можете столкнуться.
Минусы
Несколько недостатков включают:
- Использование программного обеспечения SIEM с открытым кодом может потребовать много трудовых ресурсов. Это правда, но: если вы потратите время на использование технологии с открытым кодом, ваша SIEM будет такой, какой вы хотите ее видеть. И если проектировать и внедрять в соответствии с вашими уникальными потребностями, вы не только максимизируете свои инвестиции в персонал, но и сэкономите на капитальных затратах.
- Решения SIEM с открытым кодом не имеют некоторых возможностей платных. Это правда, но: вы можете интегрировать свои Open Source решения без каких-либо лицензионных предосторожностей, дополняя функционал SIEM. Например, вы можете интегрировать систему SIEM и XDR Wazuh с системой расследования инцидентов MISP.
- SIEM с открытым кодом требует высокого уровня знаний и времени для развертывания. Это правда, но: готовые решения также требуют времени и опыта для развертывания, поскольку даже эти типы решений не являются, и не могут быть, plug’n’play.
- SIEM с открытым кодом не предоставляют хранилище и не управляют им. Это правда, но это касается не всех решений. Вы можете установить решение корпоративного уровня в своей компании – вы все равно несете ответственность за управление собственным хранилищем. Даже если хранение данных “входит” в SIEM, вы все равно платите за него. Стоимость может быть просто включена в общую цену. И если вы объединяете SIEM с открытым исходным кодом с облачным решением для хранения (например, Amazon S3), вы не управляете хранилищем, им платно управляет поставщик облачных услуг.
Выводы
В конце концов, если вы решите попробовать решение SIEM с открытым кодом, подумайте о том, чтобы воспользоваться услугами надежного партнера, например, выбрать авторизованного или сертифицированного интегратора, имеющего компетенцию в конкретной Open Source SIEM. Таким образом, не нужно беспокоиться о каких-либо из этих «недостатков», поскольку ваша система будет внедрена и настроена так, чтобы обеспечить полный объем ее возможностей, необходимых для вашего бизнеса.
Вот к чему все действительно сводится: SIEM система настолько хороша, насколько хороши люди, которые ее внедряют и поддерживают. Поскольку, независимо от того, используете ли вы решение с открытым исходным кодом или платное от известного разработчика программного обеспечения, вашей SIEM все равно нужны люди, чтобы ее реализовать и контролировать, а также реагировать на оповещения.
