SIEM: ЛОЖНОЕ ЧУВСТВО БЕЗОПАСНОСТИ

Системы управления информационной безопасностью и событиями безопасности (SIEM) предназначены в помощь компаниям обнаруживать и эффективно (зачастую проактивно) защищаться от кибератак. Но из разговоров с большинством сотрудников ИТ- и ИБ-отделов становится понятно, что SIEM генерирует существенное количество срабатываний, большинство из которых наповерку оказываются ложными. Данный факт приводит к тому, что реальные атаки упускаются из вида. В январе 2015 года исследовательский центр Ponemon Institute провёл исследование, согласно которому компании, внедрившие у себя SIEM, в среднем получают 17000 срабатываний системы в неделю, из которых только 19% — это реальные инциденты безопасности. Отчёт вскрывает следующие проблемы использования SIEM: компромисы в мониторинге и отработке событий безопасности; связанное с первым фактом ложное чувство безопасности, когда на большинство срабатываний были написаны достаточно широкие исключения, вследствие чего SIEM не отражает целые пласты инцидентов; обратный подход, когда SIEM коррелирует все события безопасности, включая события с низкой и чрезвычайно низкой важностью, что приводит в итоге к тому, что в лавине генерируемых событий теряются и «замыливаются» действительно важные; в итоге всего этого администраторы не в состоянии отличить срабатывание на прохождение в трафике обычного вредоносного кода от целевой и направленной APT-атаки.
Сотрудники нашей Компании прекрасно знают эти проблемы. При этом мы глубоко убеждены, что правильно выбранная и корректно настроенная SIEM система является необходимым инструментом безопасности и прекрасно даёт картину происходящего в компании и позволяет проактивно предотвращать широкий спектр инцидентов безопасности. Именно поэтому мы рекомендуем и успешно внедряем такие проверенные решения, как IBM QRadar, HP ArcSight, Splunk, AlienVault и их OpenSource решение OSSIM.