Недавно я читал статью Дон Кавамото о 7 основных проблемах при работе с SIEM (системами безопасности информации и управления событиями), и она делает несколько очень убедительных выводов.
Первая и самая большая проблема, которая, я уверен, волнует многих специалистов по безопасности, — это стоимость конечного продукта. Лицензии на программное обеспечение и аппаратное обеспечение лишь частично покрывают затраты на SIEM, так как установка, настройка и обслуживание добавляют дополнительные расходы, которых не ожидалось.

CyberSift предлагает альтернативную модель ценообразования. «Вместо того, чтобы взимать плату за потребление, мы устанавливаем цены в зависимости от фактического размера сети клиента», — говорит генеральный директор CyberSift Брайан Зарб Адами. "Наши модели ценообразования являются прозрачными и авансовыми, а техническое обслуживание и настройка включены в наши уровни обслуживания Silver и Platinum".
Второй по значимости проблемой для предприятий, установивших SIEM, является сложность его настройки и обслуживания. Установка большинства продуктов занимает до 3 месяцев, и для их настройки требуется квалифицированный специалист. Это вносит дополнительные расходы на первоначальную лицензию на программное обеспечение, которые изначально были неожиданными.

Чтобы помочь решить проблему сложности SIEM, CyberSift создала модульную платформу, которая интегрируется практически с любым программным решением, имеющимся у клиента, с помощью подключаемых модулей, что снижает объем требуемой конфигурации и обеспечивает гибкость развертывания. CyberSift может получать журналы из самых разных источников, таких как:
- Источники системного журнала
- ТАР/СПАН порты
- Средство просмотра событий Windows
- OSSEC, SNORT и OpenVAS

Благодаря своей гибкости CyberSift можно установить и настроить за несколько часов, что позволяет запустить его менее чем за день. Кроме того, он также прост в использовании, так как имеет небольшую кривую обучения для конечного пользователя, что снижает дополнительные расходы, которые в противном случае были бы необходимы для профессионалов, работающих по контракту. «CyberSift не требует написания сложных запросов, чтобы начать использовать продукт, а также не требует точной настройки математических параметров, как это требуется для других универсальных платформ ведения журналов», — говорит Дэвид Вассалло, технический директор CyberSift.

Третья проблема, на которую указал Дон Кавамото, заключается в том, что в SIEM часто отсутствует автоматизация задач. Большинство специалистов по безопасности предпочли бы, чтобы определенные задачи, генерируемые SIEM, были автоматизированы. В результате этой проблемы затраты на персонал превышают ожидаемые, поскольку бизнесу потребуется большее количество аналитиков для просмотра журналов угроз, а также потребуется человек со специальным набором навыков для управления SIEM. В качестве решения, использующего методы неконтролируемой кластеризации и нейронных сетей для расширения возможностей обнаружения аномалий, CyberSift обеспечивает высокую степень автоматизации безопасности. «Если у вас уже есть SIEM, вы можете применить CyberSift поверх него, дополняя решение», — говорит г-н Вассалло. «CyberSift отдает приоритет определенным оповещениям или событиям SIEM, которые являются аномальными и, следовательно, более важными для бизнеса, позволяя бизнесу сосредоточить свои ограниченные ресурсы безопасности на тех оповещениях, которые действительно важны», — добавляет он. Чтобы еще больше смягчить проблему и сократить чрезмерные расходы, CyberSift предлагает «Управляемую услугу безопасности», которая может предоставить клиенту аналитика безопасности CyberSift, который будет удаленно входить в систему клиента CyberSift и составлять ежемесячные или еженедельные отчеты о найденных аномалиях, рекомендации по их устранению, и рекомендации по безопасности. «Служба управляемой безопасности CyberSift помогает повысить производительность труда сотрудников. Это также помогает сократить количество людей, необходимых для анализа предупреждений, и, таким образом, увеличивает рентабельность инвестиций клиента в его среду безопасности», — сказал г-н Зарб Адами.

Большой процент пользователей SIEM указали, что SIEM создают слишком много шума из-за объема предупреждений и уведомлений о событиях, которые они производят. В некоторых SIEM есть правила, которые вызывают чрезмерное количество ложных срабатываний или оказываются малоценными, в результате чего пользователи отключают части SIEM. Специалисты по безопасности считают, что SIEM должны выдавать более точные, приоритетные и значимые оповещения. В этом весь смысл существованияCyberSift. Вся причина, по которой мы используем статистические алгоритмы и алгоритмы машинного обучения, заключается в том, чтобы автоматически построить базовый уровень, в соответствии с которым оповещения, домены и трафик являются нормальными для вашей среды. Затем CyberSift может оповещать или запрашивать действия при отклонении от этого базового уровня. «Это значительно сокращает количество предупреждений, которые ваша команда должна просмотреть и принять меры, а также убедиться, что вы получаете нужные предупреждения в нужное время», — говорит г-н Вассалло.

Кроме того, как отмечает г-жа Кавамото, ИТ-специалисты назвали отсутствие надлежащего контроля над сетевым трафиком организации еще одной серьезной проблемой в ситуации с SIEM. Улучшенная видимость, особенно в веб-трафике, почтовом трафике и облачных приложениях, улучшенное расширенное обнаружение угроз, а также возможность консолидировать события безопасности в виде единого представления об инциденте. Чтобы найти решение для этого, CyberSift имеет гибкую платформу на основе журналов, которая интегрируется с текущей инфраструктурой клиента. Это позволяет группам ИТ-безопасности иметь беспрецедентный обзор своей среды из единого окна. CyberSift использует перекрестные ссылки на данные, которые он собирает из отраслевых, правительственных и частных разведывательных каналов, чтобы получить централизованное представление о сети. Эта информация интегрирована как в журналы, обогащенные контекстом, так и в уникальную интерактивную карту сети под названием «CyberSift Nebula».

«Используя де-факто отраслевые серверные части, а также наши собственные настраиваемые методы визуализации, мы позволяем аналитикам быстро обрабатывать предупреждения и трафик, генерируемые их средой, предоставляя им столь необходимый и ценный контекст, в котором можно сделать решений», — добавляет г-н Вассалло.
Когда движок CyberSift получает данные, он добавляет несколько преимуществ, в том числе:
- Добавление информации из внешних каналов угроз, что позволяет быстро идентифицировать известных злоумышленников.
- Создавайте собственные информационные панели и визуализации на основе ваших данных для различных сценариев и сред, что позволит вашим командам всегда быть в курсе своей среды.

- Обнаружение на основе аномалий, которое не опирается на сигнатуры, что позволяет превратить журналы IP, DNS или HTTP в источник информации, который может обнаруживать сложные постоянные угрозы (APT) или атаки нулевого дня.
- Гипероповещение об оповещениях на основе сигнатур с использованием методов машинного обучения для уменьшения количества шума, создаваемого вашими IDS (такими как OSSEC и SNORT), с которым ваши группы безопасности должны иметь дело как по соображениям безопасности, так и по соображениям соответствия.
И последнее, но не менее важное: большинство пользователей SIEM говорят, что необходимо более долгосрочное хранилище. Большинство SIEM хранят информацию о пользователях и хранят данные о событиях и журналах примерно два месяца. Принимая во внимание, что большинство пользователей предпочитают хранить данные более двух лет, особенно при работе в строго регулируемых областях, требующих соблюдения HIPAA или PCI. Чтобы смягчить проблему хранения, CyberSift перешла на архитектуру больших данных, основанную на ElasticSearch, которая обеспечивает простое горизонтальное масштабирование, репликацию и хранение данных.

CyberSift делает еще один шаг в борьбе с киберпреступностью: киберобман — это практика использования приманок для направления злоумышленников по ложному пути с одновременным изучением их методов, поскольку они тратят свою энергию на атаку бесполезных целей — практика, которая помогла правительствам защитить избирательные кампании. CyberSift позволяет развертывать как сетевые, так и системные приманки, которые направляют злоумышленника по ложному пути и сообщают вашим службам безопасности о том, что они подвергаются активной атаке или что их защита взломана.
Узнайте больше о CyberSift на www.cybersift.io