Наличие SIEM-системы является одним из главных условий кибербезопасности компании, которое в Казахстане закреплено на законодательном уровне. При этом требования компаний и возможности отдельных решений очень разнятся, из чего следует, что вроде как идеального решения существовать не должно. На самом же деле это не совсем так. В качестве примера разберем кейс государственного предприятия Poczta Polska — официального оператора почтовой связи в Польше, которому поставили задачу сверхвысокого уровня сложности для SIEM. Выполнить ее удалось при помощи решения Energy Logserver, которое также доступно и в Казахстане.
Задачи и требования
В 2020 году Poczta Polska должна была найти нового поставщика SIEM, отвечающего за централизованный сбор, мониторинг и анализ инцидентов безопасности в финансовой группе. Внутренние изменения в организационной структуре требовали срочных инвестиций в новые IT-решения.
Чтобы найти SIEM, соответствующий их потребностям, команда проекта изучила практически все SIEM-решения, доступные на рынке.
Список ключевых требований, по которым происходил отбор:
- Система должна работать в распределенной
архитектуре с несколькими точками сбора логов;
- Централизованное управление всем кластером с
помощью единого графического интерфейса;
- Решение должно обрабатывать в среднем 60 000 событий в секунду (Events
per Second, EPS), при этом возможности системы должны быть рассчитаны максимум
на 90 000 EPS в пике;
- Хранение онлайн-данных на протяжении нескольких месяцев,
архивирование офлайн-данных на несколько лет, а также наличие встроенного
механизма восстановления;
- Возможность для одновременной работы минимум 30
пользователей;
- Гибкость при разборе различных типов уведомлений
и возможность быстрого анализа новых данных;
- Возможность настройки системы с помощью собственных сотрудников компании и без дополнительных затрат ресурсов на интеграторов;
- Отсутствие ограничений на подключение
дополнительных источников данных;
- Безопасность использования системы SIEM
обеспечивается точной системой авторизации доступа и шифрованием связи между
оператором и системой, а также между компонентами системы.
Выбор решения и полученные результаты
Проанализировав предложения на рынке от RSA, McAfee, Splunk и IBM Qradar, Государственная почта Польши остановилась на SIEM от Energy Logserver.
Стадия внедрения подтвердила, что система Energy Logserver идеально соответствует требованиям. Предложенная архитектура обеспечила отличную производительность системы даже при создании очень ресурсоемких запросов или увеличении объема индексируемых данных. За последние два года эта SIEM отлично зарекомендовало себя в качестве центральной точки сбора информации о безопасности для IT-отдела компании.
В результате компания успешно выполнила все требования по обеспечению стабильного функционирования услуг.
В заключение
Гибкость системы Energy Logserver обеспечивает соответствующий набор инструментов для постоянного развития путем добавления и идентификации новых источников данных при построении точных правил корреляции. Кроме того, вендор открыт для идей по развитию системы, что значит постоянное развитие и совершенствование и без того функциональной и производительной системы. Узнайте больше на сайте energylogserver.com.
SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.
