среда, 12 октября 2016 г.

Выбираем SIEM. ТОП-10 ключевых критериев

Хочу продолжить тему выбора средств защиты, начатую в прошлом посте, и поговорить адресно про популярные нынче SIEM-ы. Нужен вам на самом деле SIEM или нет я обсуждать не буду, допустим, вы решили что нужен. Как выбрать ? Как сравнить имеющиеся решения ? Нужна видимо какая-то система критериев.  

В этом посте я хочу представить свою прикидку 10 ключевых критериев, на которые стоит обратить внимание при выборе SIEM. Сразу оговорюсь, что конечно это не исчерпывающий список и в рамках подбора решения для вашей организации его необходимо расширить. Выбрать только 10 непросто, есть еще немало других, которые не попали в итоговый список, просто потому что я искусственно ограничил список таким количеством. Я конечно же не претендую на истину в последней инстанции. Хотите как-то изменить мою 10-ку, прошу писать в комментариях.

1. Наличие успешных внедрений (в идеале в вашей отрасли). Думаю тут все очевидно, если продукт не работает / не используется ни у кого из вашей отрасли или может быть даже в целом в стране, то это повод задуматься хотите ли вы быть пионером. Причем в рамках этого критерия стоит проверить не просто наличие логотипа на сайте, а реально пообщаться с соответствующим клиентом. К сожалению приходится сталкиваться с ситуациями когда вендор громко заявляет о наличии его решения у того или иного заказчика, а на поверку оказывается что либо там пилот на очень ограниченной области, либо решение куплено и лежит на полке. Ни тот ни другой вариант за успешное внедрение принять нельзя.

2. Наличие техподдержки / технической документации / обучения на русском языке. Тут вроде тоже все очевидно, продукт сложный, потребует однозначно докрутки, тонкой настройки, а значит нужно сразу смотреть есть ли исчерпывающая документация на решение, какой уровень техподдержки обещает производитель, есть ли учебные курсы для обучения специалистов работе с этой системой. Все это конечно же должно быть на русском языке, к сожалению уровень владения иностранными языками в нашей отрасли по-прежнему не высок. 

3. Необходимость установки агентов для сбора данных. Установка дополнительных агентов очень часто становится проблемой, поэтому стоит сразу оценить что умеет собирать система агентами, что без агентов, какие требования у агентов к железу, насколько ваша инфраструктура готова к развертыванию еще одного агентского решения. 

4. Наличие готовых коннекторов для используемых у вас программных систем, данные из которых планируется собирать в SIEM. Тут речь идет и о средствах защиты, и о прикладных системах, и об операционных системах. В идеале все уже должно быть, если чего-то нет, то см. п.5. И самое важное это не количество коннекторов в принципе, а какой объем того что есть в вашей инфраструктуре они покрывают. Наличие коннекторов к 500 решений классно выглядит в брошюре, но если при этом в этом списке только 2 из скажем 10 источников, с которых вы хотите брать данные, то это беда.

5. Легкость интеграции / разработки новых коннекторов. Коннекторы однозначно потребуются, не сразу так потом. Поэтому лучше сразу понять уровень сложности этой задачи. Можно ли это сделать самому или обязательно потребуется привлекать вендора / интегратора. Насколько легко и интуитивно это можно сделать или необходимо будет освоить серьезные программерские навыки. 

6. Производительность.  С одной стороны чем выше возможности системы по объему собираемой информации тем лучше, но тут в первую очередь нужно смотреть на имеющиеся потребности. Зачем платить за высокую мощность и жертвовать (возможно) другими аспектами, если вы, например, хотите мониторить всего лишь 10-ку самых критичных серверов ?  Но, с другой стороны, надо понимать, что "аппетит растет во время еды" и нагрузка на систему однозначно будет расти.  

7. Удобство / легкость настройки и работы с системой. Субъективный критерий, но легко проверяется на пилоте. Если интерфейс кривой-косой, не интуитивный, непонятный, то работать с системой будет сложно. В этом смысле самый правильный путь это в рамках пилота дать поработать с системой тем, кто в боевом режиме будет с ней работать, и потом попросить их оценить удобство работы с системой по одному или нескольким субъективным критериям: эргономика, понятность, удобство (провести мини-анкетирование или просто коллективное обсуждение).

8. Наличие API для интеграции с другими внешними системами. Данные из SIEM-а с высокой вероятностью могут понадобиться где-то еще. Если у системы нет нормального API, в идеале построенного на REST или подобной архитектуре, то такая интеграция в последствии может стать либо очень финансово затратной, либо попросту невозможной. 

9. Гибкость настройки правил корреляции. Одна из ключевых задач SIEM-а это корреляция.  Ради этого многие и берут это решение. Но без правил корреляция не работает, а значит эти правила надо будет писать. Готовые правила конечно есть у большинства разработчиков, но они как правило добавлены только для того чтобы можно было показать в качестве демо-примера, в реальной жизни они вам скорее всего не понадобятся, нужно будет писать свои. И вот тут как раз и возникнет вопрос того насколько это все легко и просто, в общем, все очень похоже на п.5.

10. Механизмы уведомления. SIEM это ведь в первую очередь система мониторинга, а значит она должна уметь оперативно оповещать команду реагирования на инциденты. Тут аналогично вопрос не в количестве доступных методов уведомления, а в покрытии тех методов, которые вы используете или хотите использовать при реагировании на инциденты (например, кому-то нужно SMS-оповещение, кому-то - нет), а также возможность гибкой настройки условий использования тех или иных методов уведомления.

среда, 5 октября 2016 г.

Итак, вы решили прикупить себе еще средств защиты

К сожалению из-за технических неполадок не удалось выступить на BIS Summit в формате "открытый микрофон", поэтому решил написать сюда те мысли, которые хотел изложить. 

Итак, имеем следующую ситуацию: вы по любой причине (есть потребность/задача, есть бюджет, понравилась демонстрация на конференции и проч.) решили приобрести себе определенное средство защиты. Абсолютно не важно какое. Возникает вопрос: каким образом вы можете быть уверены что выбрали самое лучшее и оптимальное в плане цена/качество ? Давайте рассмотрим какие у вас есть инструменты для этого. 

Наверное многие из вас сразу подумали про демо/ пилот. А вот и нет. Первым делом надо бы вообще понять кто есть в этой области, какие решения, какие производители, какие есть потенциальные аналоги или заменители.  А с этим все значительно хуже. В свое время мы в рамках своей работы создали ISM:Market, но сил на развитие проекта не хватило, он все еще доступен онлайн, но не обновлялся уже года 3, так что не судите строго. Тем не менее.

Квадранты Гартнера / Волны Форрестера. Как бы кто к ним не относился, но на них обращают внимание крупные компании и все же совсем левых игроков в отчетах Gartner и Forrester нет, если решение/производитель в отчете значит оно как минимум стоит вашего внимания. Гартнер покрывает конечно не все области, вот тут можно найти мою заметку про то что у них есть.  Отчеты как правило нельзя скачать просто так с сайта Гартнера или Форрестера, но всегда есть производители, которые, заняв хорошее место, хотят этим похвалиться, и раздают на своих сайтах отчеты в обмен на email. А у Gartner еще недавно появился Gartner PeerInsights - сайт, на котором можно почитать отзывы о тех или иных решениях.

Сайты крупных интеграторов / поставщиков. Зайдите на сайты крупных интеграторов или поставщиков, таких, например как Softline или Крок. Такие компании обладают широким портфолио и можно быстро получить представление об основных решениях по соответствующей области. Не факт что вы будете закупать это решение именно у этих компаний, но вам же пока не это нужно, нужно понять что вообще есть на рынке. 

Сравнение с конкурентами. Запросите у любого интересующего вас производителя сравнение с конкурентами. Такой документ есть практически у любого вендора. И в общем не так важно что там будет написано, понятно что каждый пытается показать свои самые сильные стороны и умолчать про слабые, важно что вы увидите опять же кто еще есть в соответствующей области. Запросите такие сравнение у 3-5 производителей и вы гарантировано будете понимать досконально всех игроков в соответствующей нише. 

Референс. Попросите референс с текущим клиентом у того производителя, который вас заинтересовал. При общении с таким же заказчиком как и вы, вы можете спросить кого еще рассматривали и почему остановили свой выбор на решении данного вендора. Конечно только на основании референса принимать решение неправильно, но и лишним это совсем не будет.

Пилот с критериями. Ну и наконец, конечно же, пилот. Но только пилот лучше всего проводить, составив предварительно набор критериев, по которым будет оцениваться решение. Кейс на моей памяти: одна крупная компания решила сменить свой корпоративный антивирус, дело это серьезное, поэтому коллеги совместно с подразделением ИТ сформировали довольно длинную табличку критериев, которым в идеале должно соответствовать выбранное решение. После этого последовательно пропилотировали 3х антивирусных производителей и остановили выбор на том, которое максимально близко приблизилось к полному соответствию заданным критериям (на 100% не соответствовало ни одно). 

Успехов вам !