Správa logů: Je lepší vlastní, nebo outsourcované řešení?

Složitost, vysoká cena a soustavná správa. To jsou hlavní důvody, proč se SIEM neprosazuje u menších firem tak rychle.

Správa logů: Je lepší vlastní, nebo outsourcované řešení?


Na přelomu loňského a letošního roku používala více než polovina všech firem nějakou formu systémů SIEM (Security Information and Event Management), uvádí výzkumná společnost 451 Research.

Rok předtím byly podle Gartneru tyto systémy nejrychleji rostoucím segmentem na trhu zabezpečení. „Rychlost růstu SIEM je 15 až 20 procent ročně,“ popisuje Oliver Rochford, analytik Gartneru.

Tradiční systémy SIEM jsou však poměrně drahé, obtížně nastavitelné a velmi náročné na správu. Mnoho společností také bojuje s nedostatkem personálu školeného k provozu systémů SIEM.

To historicky způsobilo, že systémy SIEM byly pro mnoho malých a středně velkých organizací z velké míry nedostupné.

Je to pro tyto firmy problém, tvrdí  Vijay Basani, výkonný ředitel společnosti EiQ Networks, která je dodavatelem řešení zabezpečení jako služba. Proto začaly některé společnosti nabízet platformu SIEM fungující v cloudu.

„Malé a středně velké firmy velmi potřebují řešení typu SIEM nebo nějaký druh řešení pro monitorování zabezpečení a správu logů,“ vysvětluje Basani. Většina útoků se podle něj v současnosti odehrává v segmentu středně velkých firem.

„Lidé rádi mluví o mediálně známých velkých společnostech, ale většina záškodnických akcí se odehrává na trhu středně velkých firem,“ tvrdí Basani.

Není žádným překvapením, že růst trhu SIEM je zapříčiněn hlavně menšími dodavateli. Podle Gartneru v roce 2015 klesl pěti největším dodavatelům řešení SIEM podíl na trhu se softwarem o tři procentní body na 38 procent – podobně tomu bylo i rok předtím.

Rochford navíc dodává, že na tomto poli se stává důležitou i kategorie poskytovatelů spravovaných služeb zabezpečení (MSSP, Managed Security Service Providers). „Když mluvíme s firmami o SIEM, mluvíme přibližně 40 procent času o nabídkách MSSP,“ vysvětluje Rochford.

Někteří z největších dodavatelů SIEM nabízejí takové služby sami, jako například IBM. Další dodavatelé SIEM pak vytvářejí partnerství s MSSP.

Strojové učení a pokročilá analytika pomáhají těmto poskytovatelům k vyšší efektivitě a umožňují jim podporovat více zákazníků za celkově nižší ceny, tvrdí Rochford a dodává: „Existuje tu také automatizace reakcí na incidenty, kontroly šíření a nápravy. Většina zákazníků už má něco v cloudu, což je pro MSSP snadnější.“

 

Vhodná implementace

Některé společnosti ale samozřejmě i nadále dávají přednost provozu vlastních systémů SIEM ve své infrastruktuře. „Nikdo nezná vaši firmu lépe než vy,“ vysvětluje Joseph Blankenship, analytik Forrester Research.

Zabezpečení podle něj vyžaduje určité množství podnikového kontextu, a to zejména pro monitoring, abyste dokázali odlišit normální podnikové aktivity od aktivit nenormálních.

Pro externí dodavatele však úspory v důsledku rozsahu vznikají tehdy, když stejný systém a stejné služby využívá (tedy sdílí) více klientů. Rozsáhlá personalizovaná podpora tento obchodní model poněkud narušuje. Navíc externí dodavatel nemusí dostatečně chápat fungování jednotlivých firem.

„Poskytovatelé služeb SIEM nemusejí vědět, k čemu se některé systémy využívají a jaké role hrají určití uživatelé v organizaci,“ vysvětluje Blankenship.

Při konfiguraci SIEM ve vlastní infrastruktuře však je výchozí cena za technologii jen částí celkových nákladů. Náklady za personál jsou v tomto případě významnou zátěží, zejména pro menší firmy.

Podle nejnovějšího průzkumu společnosti 451 Research uvedlo 44 procent respondentů, že nedostatek odborných znalostí omezoval jejich schopnost plně využít jejich systémy SIEM, a 28 procent uvedlo nedostatečné množství personálu.

Při nastavování a správě systému SIEM je potřeba mít velké množství odborných znalostí, uvádí Blackenship. Když takový pracovník firmu opustí, vytvoří to okamžitě mezeru, kterou může být těžké zaplnit.

Navíc je zde problém, jak zajistit, aby vždy někdo sledoval problémy – tedy 24 hodin denně.

Středně velké firmy, které provozují své vlastní systémy SIEM, mohou využít poskytovatele služeb, kteří jim tak pomáhají hlídat systémy mimo pracovní dobu a zastoupit personál na dovolené, na školení či při neobsazeném pracovním místě, popisuje Blackenship.

Na externí odborníky se podle něj v určitém směru spolehnout dá.  Oni se tím živí a investují do školení svého personálu, do údržby aktuálnosti svých platforem a do poskytování dalších služeb, jako jsou TI (Threat Intelligence) a reakce na incidenty.

Externí poskytovatelé služeb stále častěji nabízejí nejen systémy SIEM, ale i související správu, monitoring a forenzní služby. Samozřejmě stále zůstává otázka, co dělat, když MSSP nalezne nějaký problém.

Firma se tak snadno může dostat z režimu zahlcenosti problémy se správou systému SIEM do režimu zahlcenosti varováními od svého MSSP. A to je problém, který se někteří dodavatelé snaží v současnosti vyřešit.

 

Tento příspěvek vyšel v Computerworldu 4/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: Accenture



Vyšlo v Computerworldu 4/2017








Komentáře