Kas tai? Eksperto įžvalgos

Ką verslui rinktis kibernetinių grėsmių kontekste: nuosavą saugumo įvykių valdymo sprendimą ar paslaugą?

Reklama publikuota: 2022-07-19
„Blue Bridge“ SOC vadovas Povilas Kaminskas.
svg svg
„Blue Bridge“ SOC vadovas Povilas Kaminskas.

Daugeliui nereikia pristatinėti saugumo įvykių valdymo sprendimo (SIEM), kuris centralizuotai kaupia saugumo įvykius iš įvairių galinių taškų, leidžia užkardyti atakas bei pasikėsinimus į jautrius duomenis. Vis aktyvesnių grėsmių kontekste vis daugiau įmonių planuoja SIEM įsigijimą, tačiau susiduria su dilema – įsigyti savo SIEM platformą ar rinktis sparčiai populiarėjančias SIEM paslaugas? Kuris iš šių sprendimų efektyvus ne tik trumpalaikėje, bet ir ilgalaikėje perspektyvoje? Greičiau rasti atsakymus į šiuos klausimus padeda „Blue Bridge“ SIEM ekspertai – „Blue Bridge“ tinklo ir saugumo sprendimų vadybininkas Aivaras Teleiša ir SOC (saugumo operacijų centro) vadovas Povilas Kaminskas.

Nuo prabangos iki kasdienybės: kaip evoliucionavo SIEM?

Įsilaužėliai tampa vis išmanesni ir apsiginkluoja net dirbtiniu intelektu, tad SIEM suteikiama galimybė surinkti saugumo įrenginių duomenis į vieną vietą ir atsekti bendrą puolimo vaizdą kaip niekada reikalinga. Tai leidžia atsekti sudėtingas atakos grandinėles, kai bandoma įsilaužti skirtingais vektoriais.

Kaip rodo įvairių gamintojų statistika, be SIEM sudėtingų atakų demaskavimui prireikia pusmečio ar net ilgesnio laiko. Turint SIEM šios atakos susekamos per valandą ar dar trumpesnį laiką.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Svarbu ir tai, kad SIEM padeda valdyti atakos pasekmes – padeda atsekti visą įvykių eigą, nustatyti, kodėl ataka buvo sėkminga ir išvengti jos pasikartojimo.

Vis tik SIEM sprendimas nėra naujovė. Manoma, kad pati SIEM idėja atsirado dar devintojo dešimtmečio pabaigoje. Suprasta, kad galima sukurti sistemą, kurioje būtų centralizuotai kaupiami duomenys apie aplikacijų, infrastruktūros ir naudotojų elgseną, o šių duomenų analizė galėtų padėti pamatyti neįprastą elgseną, galinčią būti saugumo grėsmėmis.

Iki 2005 m. dauguma SIEM platformų vis dar buvo nuosavos IT infrastruktūros dalis. Vėliau, vystantis debesijos paslaugoms, gamintojai bei tiekėjai pradėjo siūlyti SIEM kaip paslaugą. Taip prisidėta prie didesnio SIEM paplitimo įvairaus dydžio versle, o ne tik didelėse įmonėse.

Pagrindiniai skirtingų SIEM tipų pliusai

„Blue Bridge“ tinklo ir saugumo sprendimų vadybininkas A. Teleiša atkreipia dėmesį, kad pirmiausia svarbu įsitikinti, kad jūsų organizacija tikrai subrendusi SIEM sprendimui: „Jeigu jau naudojate ugniasienę, galinių taškų grėsmių aptikimo ir atsako (NDR), naudotojų elgsenos analitikos (UEBA), el. pašto apsaugos sprendimus ir kitus saugumo sprendimus, tikėtina, kad artėja laikas, kai jums bus patogiau visus duomenis kaupti ir analizuoti vienoje vietoje. SIEM tokiu atveju padidins jau turimų sprendimų naudą.“

„Blue Bridge“ tinklo ir saugumo sprendimų vadybininkas Aivaras Teleiša.
„Blue Bridge“ tinklo ir saugumo sprendimų vadybininkas Aivaras Teleiša.

Jeigu toks scenarijus panašus į jūsų, tuomet reikėtų pereiti prie skirtingų SIEM tipų lyginimo. Svarbu žinoti, kad SIEM kaip paslauga paveldėjo visus SaaS (sistema kaip paslauga) privalumus – nedideles pradines investicijas, patrauklią kainodarą, kai mokama tik už tiek, kiek naudojama ir galimybę iškart pradėti naudotis SIEM. Vis dėlto, kaip pastebi A. Teleiša, SIEM kaip paslaugos atsiradimas nereiškia nuosavo SIEM eros pabaigą.

„Svarbiausi nuosavo SIEM privalumai – visiška duomenų kontrolė, galimybė kurti bei išlaikyti savo know-how, taisykles, playbook‘us (gaires). Galiausiai, nuosavas SIEM garantuoja nepriklausomybę nuo tiekėjų. Lengviau pakeisti aptarnaujančią sprendimą tiekėją, nei pakeisti patį sprendimą“, – išvardija pašnekovas.

Minusų turi ir nuosavas SIEM, ir paslauga

Kaip vieną didžiausių nuosavo SIEM minusų, „Blue Bridge“ SOC vadovas P. Kaminskas įvardija nuosavos komandos poreikį. „Viena vertus, turint SIEM prižiūrinčią komandą, ją galima ugdyti pagal savo verslo specifiką ir kultūrą. Kita vertus, komandą iš pradžių reikia suburti, o tai iššūkis net stambiems verslams“, – pasakoja pašnekovas.

Jis pastebi, kad įprastai tokioje komandoje turėtų būti net kelių lygių specialistai: „Pavyzdžiui, mūsų SOC komanda susideda iš inžinierių, turinčių 3-7 metų patirtį konfigūruojant įvairius IT saugumo sprendimus. Antrasis lygis – TIER-1 arba baziniai analitikai, turintys „CompTIA Security+“sertifikatą ir analizuojantys SIEM renkamus sisteminius įrašus bei teikiantys siūlymus SIEM taisyklių tobulinimui. Trečiasis lygis – tai TIER-2 analitikai/incidentų sprendėjai, valdantys incidentus, analizuojantys atakos grandinėles ir teikiantys rekomendacijas. Galiausiai, turime ir TIER-3 specialistus arba etiškus įsilaužėlius, kurie yra bent 10 metų patirtį turintys specialistai, sudarantys atakos grandinėlę ir atliekantys įsilaužimo testavimus. Jeigu apsisprendėte turėti savo SIEM, mažesnė ar didesnė tokios struktūros kopija turėtų atsirasti ir jūsų organizacijoje. Be to, svarbu nepamiršti ir bazinių SIEM priežiūros kompetencijų.“

Didžiausias SIEM kaip paslaugos minusas, P. Kaminsko nuomone, yra duomenų nutekinimo ar praradimo rizika, kuri visada egzistuoja atiduodant savo duomenis trečiosioms šalims.

 „SIEM kaip paslaugos privalumai irgi turi savo kainą. Jeigu įsigyjate SIEM kaip paslaugą, turite priimti ir tai, kad jūsų duomenys bus kaupiami ir analizuojami trečiosios šalies. Be to, greičiausiai jie bus saugomi „debesyje“. Nepaisant IT tiekėjo profesionalumo ir įvairių sutarčių, bet koks duomenų perkėlimas iš organizacijos infrastruktūros jau atneša tam tikrą riziką. Antras su duomenimis susijęs aspektas yra tai, kad galite ne visuomet turėti prieigą prie „žalių“, išeitinių log‘ų duomenų (angl. raw log data). Jų gali prireikti, jeigu vieną dieną nuspręsite patys imtis saugumo analizės arba vystyti savo SOC“, – komentuoja pašnekovas.

Kaip nepasiklysti tarp SIEM gamintojų pasiūlymų?

Trečiasis žingsnis renkantis SIEM tipą – tai SIEM gamintojų arba tiekėjų analizė. Kaip pasakoja A. Teleiša, renkantis nuosavą SIEM, reikėtų įsigilinti į „The Forrester Wave“ ir „Gartner“ kvadrantą. Dar vienas objektyvios informacijos šaltinis – „Gartner Peer Insights“ apžvalgos, sudaromos remiantis ne gamintojų, o naudotojų nuomone.

Pašnekovas palygina SIEM pasirinkimą su prabangaus automobilio įsigijimu – čia taip pat svarbi markė, komplektacija, naujovės. Nuo visų šių elementų visumos ir priklauso galutinė sprendimo kaina.

„SIEM nėra pigus sprendimas. Tai rimta investicija, todėl tarp svarbiausių kandidatų turėtų atsirasti vardai, minimi „Gartner“ kvadrante. Taip pat patarčiau pasižiūrėti, kurie gamintojai turi partnerius Lietuvoje. Tokiu būdu ne tik gausite kokybiškesnį palaikymą, bet ir ,galimai, palankesnes kainas“, – akcentuoja A. Teleiška.

Renkantis sau tinkamiausią sprendimą tarp lyderių

Pašnekovas pabrėžia, kad pažintis su pirmaujančiais gamintojais turėtų būti išsami. Reikėtų išsiaiškinti, kodėl vieni ar kiti vardai pirmauja, ir ar jūsų organizacijai tie privalumai aktualūs.

„Pavyzdžiui, „LogRhythm“ SIEM sprendimas pirmauja jau 9 metus ir yra tendencijas diktuojantis gamintojas. Po gilesnės analizės galime pamatyti, kad įsigydami „NextGen SIEM“ platformą, gauname 3 kertines funkcijas – duomenų analitikos, įvykių koreliacijos ir atsako (angl. Security Orchestration, Automation and Response (SOAR)). Tai reiškia, kad mokame daugiau, tačiau su bazine platformos komplektacija gauname daugiau“, – pasakoja A. Teleiša.

Tokiu būdu reikėtų įvertinti kiekvieną gamintoją, apžvelgti jo bazines galimybes ir inovacijų brandą. „Svarbu pastebėti, kad jeigu gamintojas skelbia, kad naudoja dirbtinį intelektą arba mašininį mokymąsi, reikėtų pasižiūrėti, kada ši inovacija buvo pristatyta. Gamintojai skuba pritaikyti naujausias technologijos, todėl dalis tokių integracijų vis dar „žalios“, sunkiai naudojamos kasdieniam darbe“, – pastebi pašnekovas.

Jei nusprendėte išbandyti SIEM paslaugas – ieškokite kuo didesnės nepriklausomybės

Svarbiausias kriterijus, į kurį siūlo atsižvelgti P. Kaminskas renkantis SIEM kaip paslaugas, tai šios paslaugos lankstumas. „Mažas pradines investicijas, mažas SIEM įrankio išlaidas bei galimybę nesirūpinti saugumo analitikų išlaikymu, ko gero, gali pasiūlyti visi SIEM kaip paslaugos tiekėjai. Taip pat dauguma SIEM tiekėjų dirba su žinomais SIEM gamintojais. Todėl svarbu įvertinti, kaip konkrečiai atrodo SIEM paslaugos – kas į jas įeina, o kas ne. Būtent paslaugų lankstumas gali leisti jums „nukenksminti“ vieną svarbiausių SIEM kaip paslaugos minusų – didelę priklausomybę nuo IT tiekėjo“, – sako pašnekovas.

P. Kaminskas pasakoja, kad, pavyzdžiui,  „Blue Bridge“ SIEM kaip paslauga leidžia naudotis SIEM įrankiu klientui patogiausiomis sąlygomis: „Galime pasirūpinti turimo SIEM priežiūra, analizuoti kliento kaupiamus SIEM duomenis arba išnuomoti klientui savo SIEM įrankį bei pasirūpinti jo priežiūra ir duomenų analize. Kiekvienas iš šių variantų susiję ir su skirtingais priklausomybės nuo vieno tiekėjo lygiais.“

Pasidomėkite tiekėjo kultūra ir papildomomis naudomis

Pašnekovas paragina pasidomėti ir papildomomis naudomis, kurias gali pasiūlyti SIEM kaip paslaugos tiekėjas: „Pavyzdžiui, mes visais atvejais teikiame detalias saugumo rekomendacijas, atsakome į klientui kylančius klausimus. Taip pat, jei dirbame su kliento turimu SIEM, ieškome būdų sprendimą optimizuoti – t. y. sumažinti netikrų saugumo įvykių (angl. false alarm) skaičių. Ilgalaikėje perspektyvoje tai leidžia sutaupyti.“

Galiausiai, „Blue Bridge“ SOC vadovas rekomenduoja nebijoti vadovautis savo įspūdžiu apie IT tiekėją. „Dirbant su SIEM, kliento įmonės veiklos specifika ir kultūra yra  svarbi. Tiekėjo komanda šiuo požiūriu niekada neprilys nuosavai komandai, tačiau gali sėkmingai arba nesėkmingai integruotis į jūsų kultūrą. Būtent todėl renkantis SIEM tiekėją, galite pasidomėti tiekėjo organizacine kultūra. Jeigu ji pasirodys visiškai kitokia nei jūsų, tikriausiai, šis tiekėjas nėra tinkamas. Dideli skirtumai gali kelti ir bendradarbiavimo, ir pasitikėjimo iššūkių. Kadangi SIEM yra apie jautrių duomenų kaupimą, analizę, kai kada – ir bendrą darbą užkardant ataką, „žmogiškieji“ aspektai – svarbūs“, – pabrėžia P. Kaminskas. 

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
„Mark ID“ vadovas M. Stonkus: apie rinką, kurioje negali „feilinti“ Premium

UAB „Mark ID“ 2019 m., galima sakyti, gimė iš poreikio. Į ją dar pirminėje (angl. „seed“) stadijoje...

Inovacijos
05:45
Didėjantys kibernetinio saugumo iššūkiai verčia IT specialistus keisti profesiją Verslo tribūna

Net 67 proc. kibernetinio saugumo specialistų artimiausiais metais norėtų pakeisti darbą ir net 70 proc.

Išmani Lietuva
2022.07.26
Trečias dublis: KAM paskelbė naują NKSC vadovo konkursą

Krašto apsaugos ministerija (KAM) penktadienį pranešė pakartotinai paskelbusi nuo 2018 m. veikiančio...

Inovacijos
2022.07.22
Strateginės įmonės kibernetinės saugos biudžetų neatskleidžia, bet patikina: investuoja ir yra pasiruošusios Premium

Praėjusį mėnesį įvestos sankcijos tranzitui į Kaliningradą sukėlė tikrą sąmyšį Rusijoje ir Europos Sąjungoje.

Inovacijos
2022.07.22
Biotechnologijų startuolis „Biomatter“ taikosi į 4,5 mlrd. USD baltymų inžinerijos industriją Premium

Biotechnologijų UAB „Biomatter Designs“ („Biomatter“) užbaigė paruošiamuosius platformos darbus ir dabar...

Inovacijos
2022.07.21
„Surfshark“: Lietuvoje duomenų vagysčių daugėjo kartais, bet nerimauti pagrindo nėra

Nutekintų paskyrų skaičius Lietuvoje antrąjį ketvirtį buvo 7 kartus didesnis nei metų pradžioje, tačiau...

Inovacijos
2022.07.20
„Telia Lietuvos“ augimą lėmė mobiliojo ryšio, IT paslaugų pardavimai

Telekomunikacijų bendrovė „Telia Lietuva“ pirmąjį pusmetį pajamas augino 6,8% iki 214,9 mln. Eur. Vien...

Inovacijos
2022.07.20
„Tele2“ augimas pirmąjį pusmetį – 10,6% 1

Mobiliojo ryšio operatorės „Tele2“ pajamos per pirmąjį 2022 m. pusmetį augo 10,6% iki 157,11 mln. Eur. Prie...

Inovacijos
2022.07.19
Ką verslui rinktis kibernetinių grėsmių kontekste: nuosavą saugumo įvykių valdymo sprendimą ar paslaugą? Verslo tribūna

Daugeliui nereikia pristatinėti saugumo įvykių valdymo sprendimo (SIEM), kuris centralizuotai kaupia saugumo...

Išmani Lietuva
2022.07.19
Virusų tyrimų ir mechanikos sintezė – Vilniuje

Koronaviruso pandemijos metu daugiausia dėmesio sulaukia vakcinos, vaistų kūrimo ar neigiamų pandemijos...

Inovacijos
2022.07.16
Mažas kabinetas Vilniaus Naujamiestyje, kuriame vyksta unikalūs koronaviruso tyrimai Premium

Kai kalbama apie SARS-CoV-2 – viruso, jau daugiau nei dvejus metus pasaulio vis nepaleidžiančio iš pandemijos...

Inovacijos
2022.07.14
25 mln. USD pritraukęs estiškas „Robinhood“ konkurentas ateina į Lietuvą 6

Buvusių estų vienaragio „Wise“ darbuotojų įkurta akcijų prekybos platforma „Lightyear“ pritraukė 25 mln. USD...

Inovacijos
2022.07.14
Prasideda statymai dėl dažnių pagrindinėje 5G juostoje

Ryšių reguliavimo tarnyba (RRT) antradienį skelbia kainų varžytuves dar viename 5G ryšio aukcione – dėl trijų...

Inovacijos
2022.07.12
Iš Lietuvos traukiasi žinoma sporto technologijų bendrovė Premium 5

Technologijas sporto lygoms, lažybų tarpininkams ir žiniasklaidai kurianti bendrovė „Genius Sports“ traukiasi...

Inovacijos
2022.07.12
Vyriausybė atvėrė kelią „skaitmeninei ambasadai“ 1

Vyriausybė pirmadienį pritarė „skaitmeninei ambasadai“ – dalies valstybės duomenų laikymui užsienyje.

Inovacijos
2022.07.11
„Nordcurrent“ rinkodaros vadovas: į žaidimų kūrimą neria ir „Louis Vuitton“, bet ar sėkmingai? Premium

Žaidimų rinka pasaulyje kasmet auga maždaug dešimtadaliu, o naujos galimybės išbandyti čia savo jėgas vilioja...

Rinkodara
2022.07.10
Norvegų įmonė „Kongsberg“ perka 77% „NanoAvionics“ akcijų 4

Norvegijos technologijų bendrovė „Kongsberg Defence & Aerospace“ („Kongsberg“) sutarė dėl Lietuvos mažųjų...

Inovacijos
2022.07.05
NKSC vadovas: kibernetinės atakos nuslopo, tačiau bet kada gali vėl prasidėti

Kibernetinės atakos prieš Lietuvos institucijas ir verslą nuslopo, bet ekspertai pasirengę jų atsinaujinimui,...

Inovacijos
2022.07.01
„BaltCap“ Latvijos technologijų bendrovę „Vendon“ parduoda „Azkoyen“ grupei

Didžiausia Baltijos šalyse privataus kapitalo fondų valdytoja „BaltCap“ už neskelbiamą sumą parduoda Latvijos...

Inovacijos
2022.07.01
VŽ klausomiausi podkastai birželį

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

Laisvalaikis
2022.07.01

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku