— Алексей, вы в компании как будто стараетесь как‑то отмежеваться от других игроков рынка SIEM-систем. Почему?
— Отмежеваться — неверное слово. Скорее мы хотим, чтобы изменился взгляд на этот класс продукта. Сейчас к SIEM обращено много внимания, и это справедливо — чем больше в каждой компании железа, программ, защитных решений, тем актуальнее вопрос как‑то упорядочить все это ИТ‑хозяйство, чтобы понимать, что в нем происходит. Кроме того, регуляторы требуют устанавливать SIEM. Но за этими системами закрепилась репутация чего‑то страшно сложного и неподъемного, тем более для среднего бизнеса. Я уверен, что так быть не должно. При всем объеме задач, которые заказчики ставят перед SIEM, она должна быть простой и удобной для работы, иначе останется «золотым кирпичом», купленным, «чтобы была» или потому что так требует регулятор.
— А если конкретно — в чем проблема с SIEM-системами?
— Мы видим, что SIEM объективно нужны сейчас большому числу компаний, но многих отпугивает сама идея разворачивать громоздкое дорогое решение. Мы проводили опрос — в 15% компаний боятся даже подступать к внедрению, а 59% говорят, что SIEM — это дорого. Понятно, откуда такая реакция: известные большие SIEM можно использовать только после сложных настроек, они требовательны к железу, но главное — к квалификации сотрудников. Специалистам нужно зачастую проходить многодневные обучающие курсы, только чтобы приступить к работе. Чаще всего «радость» работать с такими системами выпадает ИБ‑специалистам и администраторам как допнагрузка, потому что далеко не любая компания готова нанимать и обучать новых сотрудников под SIEM. Мы разрабатывали свою систему так, чтобы они не мучились, работая с ней. Еще одна проблема: тем компаниям, которые рассматривают SIEM, не нужны сверхнагруженные системы, им нужен четко определенный набор функций. Пока же, по нашим наблюдениям, эта нагруженность играет против решений — после развертывания часть функций все равно остается невостребованной. Ну или, что греха таить, систему покупают, потому что «надо» для регулятора. Но для реальных потребностей не используют — сложно. 30 ноября и 1 декабря мы проведем Road Show в очном и онлайн‑формате, где как раз и обсудим с заказчиками все эти вопросы, приглашаем всех прийти.
— Какие «мастхэв»-функции, по‑вашему, должны быть у современных систем?
— По большому счету SIEM-система функционирует просто: собирает события из разных источников, нормализует логи, создает корреляции и выявляет инциденты, оповещает о них специалистов. Из других актуальных требований, которые предъявляются SIEM сегодня, — соответствие требованиям ФЗ-187. Именно эта система является основным техническим средством выполнения закона, поэтому нужно, чтобы она умела бесшовно передавать данные об инцидентах в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
И такого набора возможностей достаточно. Он, с одной стороны, закрывает реальные потребности бизнеса, с другой — позволяет выполнять требования регуляторов. Приведу аналогию с охранной системой в умном доме. Технических возможностей подобных решений достаточно, чтобы и тревожную кнопку нажать, и даже сразу личность грабителей по лицу опознать. Но пока большинству владельцев умных домов достаточно, чтобы при сочетании опасных событий система развернула камеру в нужную сторону и прислала SMS с уведомлением. Аналогично большинству пользователей SIEM важно понимать, что все под контролем и, если случится что‑то серьезное, они получат «алерт» и успеют среагировать. С развитием ИТ‑инфраструктуры в компании понадобятся и все остальные возможности SIEM. Например, функция предиктивной аналитики — если система обнаружит какой‑то набор событий, она предупредит пользователя, что возможны последствия в будущем. Или превентивная функция (блокировка), если срабатывает правило о сочетании опасных событий.
— Что сейчас умеет «СёрчИнформ SIEM»?
— Сейчас система работает с 30+ источниками информации, в том числе с продуктами из нашей линейки: «СёрчИнформ КИБ», DCAP-системой FileAuditor. Естественно, мы постоянно увеличиваем число коннекторов, а для тех источников, для которых пока коннекторов нет, создали простой и удобный Custom Connector. Он решает проблему подключения SIEM к тому ПО, которое не отправляет логи через Syslog, например к любой самописной программе. Коннектор можно написать самостоятельно на Windows PowerShell.
В этом году при поддержке гранта РФРИТ мы реализовали много обновлений, например сделали поддержку протокола SNMP, что позволит собирать логи с большего числа видов оборудования. То есть будет полезно даже не столько для ИБ, сколько для ИТ. В SIEM есть сканер сети, который визуализирует все содержание инфраструктуры: расположение компьютеров, роутеров, свитчей, принтеров и прочего оборудования. Можно обнаружить открытые порты и отследить попытки несанкционированного подключения новых устройств. Инциденты отображены на настраиваемых дашбордах — панели, где собраны 11 шаблонов отчетов, на основе которых можно настроить себе новые варианты. Считается, что в SIEM сложно писать свои правила. У нас это реализовано через простой редактор, он облегчает специалистам жизнь. В этом году мы добавили несколько логических операторов, которые позволяют выявлять сложные корреляции. Например, человек не проходил через СКУД, но работает за компьютером, что всегда повод разобраться, это санкционированный удаленный доступ или вторжение. Решение поставляется с более чем 300 готовыми правилами корреляций, которые позволяют выявить нерегламентированное использование ИТ‑инфраструктуры, махинации с учетными записями, попытки проникновения в корпоративные системы и множество других критичных событий ИБ.
— Но многие эксперты и даже сами разработчики SIEM говорят, что использовать правила корреляции «из коробки» все же нереально. Вы настаиваете на своем. Почему?
— Мы вложили много сил в то, чтобы заказчики получили универсальные предустановленные правила. Они дают точку опоры на первом этапе работы с системой. Ведь что видит пользователь, когда разворачивает SIEM? «Звездолет с множеством кнопок». С чего начать? Настроенные правила позволят организовать работу с первого дня, администратор SIEM сможет сразу показать результат руководству и дальше продолжить настройку под нужды своей компании. Конечно, для дальнейшей полноценной работы предустановленных правил будет недостаточно и придется кастомизировать их, дописывать новые. Для этого нужно понимать природу инцидентов, иметь опыт выстраивания кросс‑корреляций. Для заказчиков это может быть сложно и долго, вендоры и интеграторы должны помогать. Но поставщики решений ведут себя по‑разному, услуга настройки корреляций бывает платной, или ее может не быть вовсе. Мы сознательно принимали решение, что помощь в настройке с нашей стороны оказывается бесплатно. Давние клиенты знают о нашем отделе внедрения, это специалисты с высокой квалификацией и опытом работы с сотнями клиентов. Поэтому они, как и инженеры техподдержки, по сути, берут на себя весомую часть забот. Это позволяет успешно внедрять решения, даже если у вас в компании есть дефицит людей в ИТ- или ИБ‑отделе. Систему всегда можно получить на месяц бесплатного тестирования, и я рекомендую проверять программы именно так, «в бою».
— Чем, кроме возможностей, обеспечивается «коробочность», ненагруженность, о которых вы говорите?
— Принцип простоты мы закладывали везде — от архитектуры до способа лицензирования. Например, мы принимали решение, чтобы интерфейс нашей SIEM был понятен любому, кто хоть раз открывал «Ворд» или «Эксель». Вынесли создание коннекторов и создание правил в графический интерфейс — это просто и понятно для пользователя. Наша SIEM работает на MongoDB, которая устраивает своей скоростью и реакцией на нагрузку, дает задел на то, чтобы масштабировать систему без проблем. Сейчас есть тенденция строить все высоконагруженные системы на NoSQL базах данных. Лицензирование — максимально простое, по узлам, которые генерируют логи, мы не заставляем своих заказчиков рассчитывать EPS. Не нужно докупать отдельные модули — весь заявленный набор функций доступен в одном решении. В противном случае заказчикам легко просчитаться на старте — в итоге оказывается, что сумма закупки должна быть гораздо больше.
— Многие компании предпочитают вообще не связываться с вендорскими решениями и пишут условную SIEM самостоятельно.
— Можно писать под себя, хотя это и сложная задача. Можно собирать логи, парсить их вручную, потом прогонять через регулярные выражения, загонять их в движок индексации, писать формы запроса и так далее. Но так в один момент администратор поймет, что круглыми сутками работает разработчиком. Зачем ему это нужно? Можно пойти к руководству и аргументировать, что компания доросла до SIEM. Проблема также в том, что при разработке собственного решения «на коленке» всегда (ну или почти всегда) наступает момент, когда дешевле купить готовый продукт, чем оплачивать разработку и исправление ошибок сырого продукта. Всегда есть зависимость от разработчика — если он уйдет из компании, самописная SIEM останется лежать мертвым грузом.
— Можно ли считать SIEM инструментом только безопасности?
— Нет, в равной степени это и инструмент для ИТ. ИТ и ИБ сейчас, в принципе, работают в тесной связке, и, если отделы взаимодействуют друг с другом, а не враждуют, они могут использовать SIEM совместно. Например, для ИТ SIEM-система позволяет составить наглядную картину о состоянии оборудования, специалисты смогут прогнозировать, когда оно может выйти из строя. Или видят, у кого из сотрудников есть избыточные права доступа к системам и инфраструктуре, обнаруживают, если кто‑то использует чужие учетки, и так далее.
— Как вы видите развитие продукта в будущем, что в планах ближайших релизов?
— Мы активно дорабатываем SIEM для поддержки облачной инфраструктуры, в частности всех сервисов Azure. Учитывая, как активно компании мигрируют в облака, эта поддержка становится критически важной. Еще одна большая доработка, которую мы выпустим до конца года, — это сканер уязвимостей. Сканер поможет в соблюдении стандартов безопасности — как общепринятых, так и разработанных внутри компании. Сканер страхует ИТ- и ИБ‑отделы от вероятности пропустить многочисленные уязвимости в ПО и оборудовании. С учетом того, какой вал информации нужно сейчас держать во внимании, такое ПО, как SIEM, становится незаменимым.
