SIEM: универсальное оружие или маркетинговая фишка?

Вендеры, интеграторы, эксперты по финансовой безопасности и прочие спецы собрались 25 августа в гостинице Marriott Tverskaya в поисках ответа на вопрос: есть ли универсальное средство, которое поможет банкам одним махом обуздать разгул киберпреступности, отследить «косяки» операционных систем, вычислить мошенников среди заемщиков и решить еще кучу насущных задач по выявлению различных угроз.

Тему конференции, на которой обсуждались соответствующие вопросы, ее организатор – журнал «Банковское обозрение» – обозначил так: «SIEM в банковской сфере: автоматизация хаоса».

Некоторый хаос, действительно, присутствует. «Массовые сокращения высококвалифицированного банковского IT-персонала привели к тому, что ряды киберкриминала были существенно усилены. Только одна из таких группировок (по данным МВД России и «Лаборатории Касперского») принесла в 2015 году ущерб более 3 млрд рублей. И это не смотря на весь вышеописанный hi-tech и службы безопасности», – информирует сайт организатора конференции.

«Безвозвратные потери кредитных организаций из-за мошенников с 2014 года колеблются в пределах 5-10 млрд рублей за квартал… По данным Банка России, ущерб физических и юридических лиц от мошеннических транзакций растет с каждым годом и оценивается на уровне более 5 млрд рублей в год...», – приводили пугающие цифры участники конференции.

SIM и SEM

Резкий всплеск разных видов кибератак в условиях необходимости обработки огромного потока событий заставил участников финансового рынка заговорить о поисках адекватных способов защиты. Наши были бы не нашими, если бы при этом не привязали все это дело к модному в последнее десятилетие заграничному тренду в сфере информационной безопасности (ИБ), именуемому SIEM (Security information and event management).

Как стало понятно из доклада начальника отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ24 Игоря Писаренко, это некая система, которая изначально состоит из двух подсистем: SIM (управление информационной безопасностью) и SEM (управление событиями безопасности). Первая часть включает сбор, анализ и хранение данных, а также составление отчетов в соответствии с нормативными требованиями, вторая – мониторинг событий в реальном времени, выявление угроз и реагирование на инциденты информационной безопасности (в ходе конференции все специалисты говорили просто – «инциденты»).

Под инцидентами подразумеваются сетевые атаки во внутреннем и внешнем периметрах, вирусные эпидемии, попытки несанкционированного доступа к конфиденциальной информации, фрод, мошенничество, ошибки и сбои в работе информационных систем, в конфигурации средств защиты и прочие неприятные вещи.

Боевая философия

Впрочем, оказалось, что познания о сущности SIEM на самом деле не так уж глубоки даже у некоторых специалистов. «Я не знаю, какой смысл вкладывается в аббревиатуру SIEM и подозреваю, что не знают даже те, кто думает, что знает», – заявил президент консорциума «Инфорус» Андрей Масалович. «Я впервые услышал про SIEM два месяца назад, когда мы начали готовить это мероприятие», – еще раньше признался генеральный директор издательства «Банковское обозрение» Дмитрий Равкин.

На вопрос модератора первой секции конференции начальника управления безопасности АО «НСПК» Василия Окулесского – кто сталкивался с SIEM два-три года назад, в зале поднялось очень мало рук. Сам эксперт высказал мнение, что SIEM – это некая философия, которую разработчики информационных систем, продавцы и потребители понимают каждый по-своему. «Для кого-то это инструмент, для кого-то – метод к построению систем безопасности, для кого-то совокупность регламентов. Но главное, это то, какие задачи ставятся перед SIEM», – сказал Василий Окулесский. По его словам, сам лично он познакомился с некими подобными системами, выполняющими конкретные боевые задачи по выявлению центров финансирования терроризма, еще в 1995 году.

Забег на «лабутенах»

Руководитель направления поддержки продаж SIEM Positive Technologies Владимир Бенгин рассказал участникам форума, что несмотря на то, что SIEM сегодня – все еще модный тренд, и, как и от любой другой модной новинки, от него в первую очередь ждут визуально красивых графиков и отчетов. «И только начиная внедрять системы заказчики понимают все сложности и тяготы, связанные с тем, чтобы система давала не только красивые картинки, но и результат. Это и работы по инвентаризации всей инфраструктуры, и подключение новых источников данных, и постоянная адаптация правил выявления атак, а также множество интеграционных задач», – поделился практикой взаимодействия с клиентами Владимир Бенгин. При этом он заметил, что большинство заказчиков не могут четко сформулировать, что они хотят от SIEM, а свою работу специалистам Positive Technologies нередко приходится начинать с разбора информационного хаоса, творящегося в компаниях.

Такой подход вызвал острую критику со стороны Василия Окулесского: «Начинать с разбора «хаоса» – это не правильно. Если заказчик не может сформулировать, чего он боится, и от чего он хочет защититься, если у него нет «модели угроз», то от него нужно сразу уходить, так как это пустая трата денег клиента. Любая система автоматизации приносит пользу только тогда, когда организация созрела для нее, когда ее руководство понимает, какого результата хочет добиться. Иначе это все равно, что для бега вместо кроссовок покупать «лабутены». При этом, по словам топ-менеджера НСПК, если есть четкая задача, например, защиты против вирусных атак, то SIEM может являться даже обычная антивирусная консоль, интегрированная в систему управления безопасностью компании.

С ним согласился член комитета по финансовым рынкам и кредитным организациям ТПП России Тимур Аитов. «Если создать системы более масштабные, чем требуется для решения конкретных бизнес-задач клиента, то это будут лишние траты для организации, а потом все это ляжет на плечи конечного потребителя». По его словам, SIEM – это довольно дорогое удовольствие. «В среднем – 50 млн рублей за лицензию, 50 млн – за внедрение, плюс персонал, «железо» и т. д.. Подучится, что тот, кто хочет получить красивые графики получит их – по миллиону каждый», – поделился мнением эксперт. Кроме того, для SIEM нужно постоянно проводить апгрейд, поскольку меняется инфраструктура организаций, появляются новые задачи и новые угрозы.

Задача, как отметил Тимур Аитов, должна решаться в соответствии с бизнес-контекстом и заранее оцененными рисками, которые клиент хочет минимизировать за счет установки SIEM. «На мой взгляд основное, что делает SIEM – осуществляет корреляцию событий. Правила корреляции являются индивидуальными для каждой организации. Они должны полностью соответствовать той модели угроз, которые существуют в конкретной организации. Ошибочно считать, что система выдаст на блюдечке готовый инцидент. Но сама SIEM система не является средством зашиты информации, которая в автоматическом режиме позволяет решать задачи по ликвидации угроз, как например DLP. Речь идет лишь о выявлении подозрительного события, которое с большой долей вероятности будет являться инцидентом, но не во всех случаях», – добавил Игорь Писаренко. При этом, по его словам, важная функция все равно ложится на оператора по информационной безопасности. «Проанализировать подозрительное событие и принять решение – является ли оно прецедентом или нет в конечном итоге должен специалист», – продолжил Писаренко. То есть без человеческого фактора никуда.

При этом участники форума приводили статистику, что эффективность уже работающих на сегодня в России SIEM не превышает 10-20%.

Были ваши, стали наши

Тем не менее собравшиеся пришли к выводу, что SIEM – вещь – все-таки нужная. Об этом, в частности, в свое докладе о недобросовестных заемщиках рассказал заместитель директора по маркетингу Национального бюро кредитных историй (НБКИ) Владимир Шикин. По его словам, доля выданных мошенникам потребительских кредитов составляет 3-4% от общего объема, кредитное мошенничество сегодня превратилось в настоящую индустрию, которая «присосалась к розничному кредитованию». «И решение задач по снижению соответствующих угроз – это тоже системный вопрос», – заметил статистику специалист. При этом он отметил позитивную роль межбанковского взаимодействия по выявлению инцидентов. «Даже если банк в рамках своей SIEM найдет решение против одних действий кредитных мошенников, то он может оказаться совершено не защищен от других угроз. Индустриальный подход снижает эти риски. Накапливая информацию, опыт реагирования на те или иные события в масштабе всей кредитонй системы, мы повышаем ее устойчивость», – высказал мнение Владимир Шикин.

Менеджер отдела информационной безопасности Райффайзенбанка Павел Нагин рассказал коллегам о практике применения SIEM при дистанционном банковском обслуживании. «Сейчас довольно часто злоумышленники взламывают компьютеры клиентов банков и крадут деньги с из счетов. Казалось бы, это не наша проблема. Однако клиентоориентированный банк не может оставаться в стороне, а должен попытаться разобраться, а еще лучше – предотвратить подобную ситуацию до потери денег или обналичивания», – отметил он. Кроме того, по его словам, нет никакой гарантии, что завтра регулятор изменит правила и возложит риски потери денег клиентом на банк. «Тогда опыт и налаженный ресурс управления информационной безопасностью ДБО может очень пригодиться», – продолжил Павел Нагин. Также, по его словам, очень важно при работе SIEM на «удаленке» минимизировать количество ложных срабатываний системы, за потоком которых можно пропустить реальные прецеденты. И тогда получится как с мальчиком, который любил шутить про волков.