Tajomstvo SIEM: Prečo vaše náklady rastú a ako ich okamžite znížiť?

Implementácia SIEM riešenia nemusí byť finančne a časovo bolestivá. Je však dobré vyhnúť sa chybám. Spoločne s Vladimírom Frčom, SOC bezpečnostným špecialistom z IT spoločnosti Alanata, sa pozrieme na to, s čím sa stretávajú manažéri kybernetickej bezpečnosti a ako im môžeme pomôcť.

REGULÁCIE A VÁHANIE: ČO BRZDÍ NASADENIE SIEM?

Ani prichádzajúca regulácia a nový zákon o kybernetickej bezpečnosti, ktorý reflektuje európsku smernicu NIS2, nepriniesli vietor do plachiet produktom bezpečnostného monitoringu. Spoločnosti nielenže váhajú, ale ani neuvažujú o implementácii SIEM (Security Information and Event Management) platforiem. Logicky teda necítia potrebu využívať služby SOC-u (dohľadové centrum kybernetickej bezpečnosti). Túto skutočnosť reflektuje situácia v našom regióne, kde s menším počtom ľudí a ešte menším rozpočtom musia spoločnosti napĺňať tie isté požiadavky. 

Aké sú hlavné dôvody, pre ktoré sa implementácia bezpečnostného monitoringu odkladá?

• Zložitosť implementácie a správa SIEM riešenia – Implementácia v spoločnosti so stovkami IT a tisíckami OT systémov nemusí byť jednoduchá. Na spracovanie a ukladanie terabajtov dát je nutné navrhnúť adekvátnu architektúru. Na trhu sú však vyspelé riešenia, ako napríklad IBM QRadar s flexibilnou licenčnou politikou, ktorá vás nijako nebude obmedzovať.

• Nedostatok kvalifikovaných odborníkov – Nedostatkom odborníkov momentálne trpí celý svet. Ich počet sa v najbližších rokoch rapídne nezvýši, preto sa netreba spoliehať na to, že sa objavia zo dňa na deň. Je nutné využiť služby outsourcingu a spoľahnúť sa na partnerskú spoločnosť.

• Vysoké náklady na implementáciu a údržbu – Ak sa rozhodnete ušetriť na licenciách a zvolíte open-source riešenie, jeho údržba môže byť časovo a finančne ďaleko náročnejšia. Náklady na infraštruktúru sú pre menšie subjekty často neúnosné. Prevádzkové náklady môžu byť vysoké, pretože SIEM si vyžaduje neustálu údržbu a monitoring. Platforma sa tak môže stať skôr bremenom než pomocníkom.

• Podceňovanie kybernetických hrozieb – Argumenty typu: „Nám sa to nemôže stať, naša spoločnosť nie je pre nikoho zaujímavá,“ vás môžu po úniku informácii vyjsť veľmi draho. Podceňovanie vedie k nižšej priorite investícií do kybernetickej bezpečnosti a tým aj do bezpečnostného monitoringu.

• Konkurencia zo strany iných produktov – Na trhu sa objavujú nové produkty z rodiny EDR (Endpoint Detection and Response) a XDR (Extended Detection and Response), ktoré ponúkajú alternatívu k tradičným SIEM riešeniam. Tieto produkty môžu byť atraktívne z pohľadu rýchlosti nasadenia pomocou agentov a vstavaných detekčných pravidiel.

Niektoré z týchto dôvodov majú síce opodstatnenie, ale rozhodne by nemali byť príčinou, prečo by bezpečnostný monitoring realizovaný SIEM systémom nemal byť nasadený. Opomeňme politické rozhodnutia, ktoré bránia nasadeniu a pozrime sa na fakty hovoriace v prospech moderných SIEM systémov.

MODERNÉ SIEM RIEŠENIA: MENEJ KOMPLIKÁCIÍ, VIAC FLEXIBILITY

Ich nasadenie už zďaleka nie je také náročné ako v minulosti. Aj keď odporúčame, aby ste ich implementáciu a prevádzku zverili do rúk špecialistom, náklady na implementáciu už nie sú také vysoké. Pri moderných SIEM riešeniach, ako je IBM QRadar, je doba integrácie minimálna vďaka širokej podpore zdrojov logov dát. Neprekvapia vás ani neočakávané náklady alebo obmedzenia, ako je to v prípade licenčných modelov EPS alebo GB per day. Jeho MVS (Managed Virtual Server) licenčný model založený na počte serverov je dostatočne flexibilný a ľahko predvídateľný. Vďaka nemu viete oveľa presnejšie plánovať rozpočet na SIEM licencie.

ALANATA MÁ ODBORNÍKOV, KTORÍ VÁM POMÔŽU

 Aj keď je dostupnosť SIEM odborníkov na pracovnom trhu nízka, spoločnosť Alanata ich má dostatok. A nielen to. Majú široké integračné skúsenosti prakticky z každej oblasti IT aj OT. To ich predurčuje k rýchlej a kvalitne odvedenej práci.

Vladimír Frčo, SOC bezpečnostný špecialista, Alanata

OPTIMALIZÁCIA NÁKLADOV NA SIEM RIEŠENIE

Cena práce a jej objem sú ďalšou veľkou nákladovou položkou. V prípade integračných prác so zdrojmi logov nie je veľký priestor na šetrenie. Platí tu však pravidlo – čím viac zdrojov SIEM pozná, tým je integrácia lacnejšia. Na druhej strane, neštandardné aplikačné logy môžu integráciu značne predražiť.

Ušetriť určite viete, ak údržbu zveríte do rúk dodávateľa a ešte viac ušetríte, ak sa pripojíte do SIEM platformy dodávateľa (SOC as a service). Dôvod je jednoduchý. Rapídne sa zníži objem prác spojených s konfiguráciou, nastavovaním pravidiel a údržbou systému.

CESTA K NEPRÍJEMNÝM INCIDENTOM

Podceňovanie kybernetických hrozieb je spojené s nevedomosťou, nízkou úrovňou znalostí kybernetických hrozieb a chýbajúcou analýzou rizík, ktorú by reflektoval plán rozvoja bezpečnostných opatrení. Ak nepoznáte riziká a s nimi spojené dopady na vašu spoločnosť, ťažko budete plánovať opatrenia posilňujúce bezpečnosť vo vašej spoločnosti. Chyby sa často prejavia až po nepríjemnom incidente.

EDR A XDR SÚ UŽITOČNÍ POMOCNÍCI, NIE NÁHRADA ZA SIEM

Silná je aj konkurencia zo strany produktov ako EDR a XDR. Tu naozaj niet čo spochybňovať a tieto produkty patria do repertoára bezpečnostných riešení, ktoré by mali byť nasadené. Vo väčšine prípadov by však nemali slúžiť ako náhrada SIEM systémov. Tieto produkty sú skvelou pomôckou, šetria veľa času pri vyšetrovaní bezpečnostných incidentov, ale stále sú len ďalším zdrojom pre SIEM. Okrem toho sa vlastnosti týchto produktov značne líšia od výrobcu k výrobcovi.

„SIEM nie je len ďalšia nákladová položka. SIEM poháňa kybernetickú bezpečnosť k lepšiemu.“

Spomeňme aspoň niektoré benefity, ktoré sa neobjavujú v marketingových materiáloch:

• Zlepšuje úroveň manažmentu aktív – SIEM vás núti mať databázu aktív aktuálnu. Integráciou zdrojov logov preveríte jej aktuálnosť.

• Objavuje skryté problémy – Často SIEM odhalí rôzne sieťové a aplikačné nedostatky alebo konfiguračné chyby, ktoré si vlastníci daných systémov nevšimli.

• Zmapuje nedostatky a chýbajúce prvky kybernetickej bezpečnosti – Vďaka SIEM objavíte nepokryté časti infraštruktúry.

• Zlepšuje viditeľnosť prostredia – SIEM spoločne s bezpečnostným dohľadom napĺňajú pravú podstatu bezpečnostného monitoringu. SIEM nie je odkázaný na konkrétneho výrobcu bezpečnostných produktov (vendor-agnostic).

• Pomáha priorizovať investície – Vďaka odhaleniu slabých miest vo vašej infraštruktúre sa dokážete lepšie zamerať na skutočné problémy. Z reportov zistíte, kde vzniká najviac bezpečnostných incidentov, na čo sa zamerať pri školeniach zamestnancov alebo kde máte nedostatky v procesoch. Vďaka tomu viete lepšie prioritizovať financie aj čas do oblastí, ktoré to vyžadujú.

Ak patríte medzi spoločnosti, od ktorých novelizovaný zákon o kybernetickej bezpečnosti vyžaduje monitoring kybernetickej bezpečnosti a ešte ho nemáte, neváhajte. Vyhnete sa tak zbytočným sankciám. Kontaktujte odborníkov z Alanata na info@alanata.sk.