SIEMのROIに関する理論と現実
目次:
SIEMについては多くのことが書かれていますが、私のこれら素晴らしいツールとの個人的経験は2007年に始まりました。今日では技術自体が18年以上経ち、SIEMは確実に成熟した市場です。クライアント、チーム、パートナーと共に、私は世界中で100を超えるSIEMプロジェクトに積極的に参加する特権を得ました。一緒にSOCをゼロから構築し、厳しい監査期限に対応するために重要なSOXログソースを実装し、半日以内に放置されていたSIEMインストールを復活させて法医学的手がかりを探し出し、詐欺防止相関ルールの微調整を行いました…そして、SIEMプロジェクトの勝利や敗北についての歴史を議論しながら、世界中のあらゆる産業や地域の企業と共に適切な量のビールを飲んできました。世界中で4万以上の組織がSIEMシステムを持っているとされていますので、これはかなり大きなコミュニティであり、もちろん市場でもあります。確かなことは、SIEMのコンセプト自体が進化を続けているため、その物語が終わっていないということです。サイバーセキュリティに無関心でないほとんどの組織は、何らかの形でSIEMを持っています。SIEM技術間の境界は曖昧です:プラットフォームの初代、第二世代、第三世代がありますが、IBM QRadarやMicro Focus ArcSightが初代技術で、LogRhythmが二代目だというのは完全に正しくありません。技術は絶えず進化しているからです。また、SplunkやElasticがSIEMではないと言うのも間違いです。これらには多くのSIEMの特性と機能性があるためです。
では、SIEMとROIはどのように結びつくのでしょうか?どのビジネスの目を通してもROIを見ると、追加の利益またはコスト削減を意味します。情報セキュリティへの投資のリターンについては、多くの例を挙げて独立した記事を書くことができますので、今回はSIEMに注目しましょう。これらのシステムに投資してお金を稼ごうと考える人がいるとは信じがたいので、残るはコスト削減の推進役です。これを解明しようとしましょう。
SIEMはどのように私たちの生活に現れるのか?
5つの基本的なROIドライバー
- コンプライアンス
- 中央ログリポジトリ
- フォレンジクス
- セキュリティオペレーションセンター (SOC)
- 遺産
PCI、SOX、HIPAAコンプライアンスのためのSIEM
多くの場合、異なるコンプライアンス規制がログデータの収集と処理が要求されるため、金融機関や銀行によってSIEMが購入されます。PCI DSSは、中央でログデータを収集し、未修正の形式で保存および保持し、その整合性の監査証跡(非常に重要な要件で、いまだにすべてのSIEMが満たせるわけではありません)を提供し、もちろん日々のイベントを監視することを要求します。SOXに準拠する必要がある場合、すべてのSOXクリティカルシステムのインシデントを追跡し、対処する必要があり、監査人がそのシステム内のビジネスデータを信頼するかどうかがそれに依存します。インシデントが処理されなければ、監査コストが大幅に増加します。別の例として、HIPAAコンプライアンスは、患者データへのアクセスについて5年間の監査証跡を保持する必要があります。これは主にSIEMデータ処理のアーキテクチャに影響を与えます:3rdパーティシステムの統合能力の柔軟性、集約の効率性と安定性、データ圧縮のアルゴリズム、そして整合性管理です。
では、コンプライアンスのためにSIEMがどのようなROIを生むことができるでしょうか?最も明確なのは、規制要件に従うだけでなく超えることによる罰則やペナルティの不在です。これはSIEMへの投資がコンプライアンス違反の罰金の少なくとも10倍小さくなる可能性が高いので、SIEMからの投資回収が非常に良いことを示しています。サポート、ハードウェア、ソフトウェアコスト、チームコスト、トレーニング、保持プログラムなどのすべての費用を含む5年間のTCOモデルを作成することが推奨されます。その後、直面するリスクに基づいてコンプライアンス違反での潜在的な節約額とTCOを一致させます。これにより、ROIを紙上で証明するだけでなく、誤計算を回避するのに役立ちます。
中央ログリポジトリ
中央ログリポジトリとしてSIEMを使用することで得られるROIを計算する最良の方法は非常に簡単です:収集し保存する必要があるログデータを特定し、それらがどのくらいのスペースを占めるか、ハードウェア仕様とこのタスクのためのワークロードを決定することです。HDDスペースから1 CPUコアのコスト(特にクラウドベースおよび仮想化展開)まで、すべてのパラメータを考慮に入れる必要があります。すべてのログ管理とSIEMシステムは、2Xから10X以上の効率でログデータを圧縮するのに非常に優れています。これにより、データの補強と正規化が行われていても、ストレージに直接的な節約がもたらされます。特定のSIEMがログデータの集約とフィルタリングを細かく調整する能力は、ストレージ効率とROIを直接的に向上させます。集約は、Gartnerにあるすべてのシステムで、基本的に成熟したSIEMプラットフォームに存在します。ベンダーごとに能力は異なります:非常によくあるのは、ただのオン/オフボタンですが、他の技術では9000以上のパラメータを持ち、どのインフラにも適合するように設定できます。
SIEMは迅速な検索と情報の適時提供を支援するために構築されています。さらに、ログデータのバックアップと管理を簡素化するために技術を使用しています。意外に思われるかもしれませんが、SIEMによって作成されたアーカイブには組み込みの整合性制御があり、改ざんが難しく、暗号化されているか、コンテナ全体を一つのコンテナとして作成しているため、コンテナの整合性が破られても見逃されることはありません。成熟したすべてのSIEMは、そのようなコンテナとログ保存の整合性を制御します。
私たちはしばしば、主にログデータストレージの節約のため、SIEMプロジェクトがITおよびセキュリティのイニシアチブとして生じるのを見ます。これは特にSplunkおよびElasticsearchプラットフォームに当てはまります。どちらもこのタスクに最適だからです。この典型的なシナリオでは、IT部門がプロジェクトの管理支援と資金を得て、プラットフォームを取得し、セキュリティチームが追加ライセンスをアップグレードとして得るというものです。これは同じベンダーから技術を統合することでTCOが削減され、サポートが簡素化されるからです。
プロアクティブフォレンジクス操作のROI
すべてのログデータを中央で安全に保存することは、フォレンジクスにおけるROIの道を開きます:ログは未修正の改ざん防止形式で保存され、迅速な検索をサポートし、SIEMの実装を正しく行えば、合理的な時間で実行可能です。したがって、インシデントの調査はより迅速に行うことができ、証拠の入手がより簡単になります。いつそれが本当に必要になるでしょう?情報セキュリティの経験が私たちに教えてくれたことは、インシデントが発生した場合、調査を行うためのフルタイムの専門家を持つ組織はほとんど存在しないということで、この責任はどこかで情報(またはサイバー)セキュリティ部門に降りてきます。この目的のために従業員を割り当てる余裕があるのは、大規模な企業や公共部門の組織だけです。そして、ビジネスの視点では、フォレンジクスは会社にとって避けられない大きな費用です。SIEMに必要なすべてのデータがある場合、CHFI専門家は調査をはるかに迅速に行うことができ、主要目標である攻撃者と証拠を見つけることに集中できます。オリジナルの形式でのログデータが利用可能であり、定義済みのレポートとエクスポートが実際に存在し、取得に数日かからず、トラフィックダンプ(PCAP)が利用可能で、疑わしいセキュリティイベント、つまりインシデント統計を持つことができるため、全ての状況を描くのが容易になります。反対の状況では、フォレンジクス専門家は深く掘り下げ、現地に出向き、サーバーからデータを一つ一つ収集する必要があります。この後者の状況では、適切な調査を実施する時間が増加し、フォレンジクスのコストが直接的に増加するか、最終結果に失望する可能性がある程度まで質が下がることがあります。インシデントが起こらなければ、プロアクティブフォレンジクスのROIを計算するのはほぼ不可能です。しかし、データ侵害、APT攻撃、サイバーインシデント統計の増加傾向に目を向け、現実を受け入れれば、いずれにしてもどの組織もハッキングされることを理解します。そして、侵害されることは、フォレンジクス調査に直接または間接的に取り組むことを避けられない結果につながります。
リアルライフでのSIEMとフォレンジクス
以前、私たちはパートナーと密接に協力して、可能性のあるインサイダー攻撃を調査しました。オンサイトに到着したとき、SIEMや中央ログ管理すら導入されておらず、まるで古典的なケースのように、誰かがチャンスがあるたびにログを削除していました。バックアップは行われておらず、ACLは存在せず、PCAPファイルも利用可能ではありませんでした。ターゲットイメージを分析し、データ回収のためにラボに送信し、ダークネットサーフィンと掘り下げを行いました。その結果、顧客のマネジメントは5日間のフォレンジクス調査およびレポートとプレゼンテーションのための時間を支払いました。その調査はインサイダー攻撃の痕跡と損害を証明しましたが、会社にはログ管理とSIEMがなかったため、この攻撃を特定の人物に結びつけることはできず、最善の方法は最終的に調査を完了するために帰属を行うことでした。会社はデータ回収により多くのリソースを投資することができましたが、見積もりはさらに30日間であり、これは確かに相当な費用がかかる取り組みであるため、実際にはそれを勧めませんでした。実際に何も発見しなかったと考えれば、結果に満足していたかどうか?はい、彼らは公式調査の結果を得て、それを裁判で利用することができました。とはいえ、私の個人的な考えでは、これはSIEMシステムが会社で必要かどうかを確認するのが非常に高価な理由の一つです。
2015-2016年のAPT攻撃の調査におけるSIEM ROIの成功例の小さな例も存在します。私たちはこのときに BlackEnergy APT攻撃に関連するインシデントの調査において、コンサルタントとして行動しました。APTターゲット企業はSIEMのPoCを導入していました(この場合、アークサイト)ので、Microsoftのイベントログコードを見つけるのに役立ち、新しいサービスのインストールのシーケンスを示しました。そして、マルウェアのドライバーがどのようにシステムに侵入したかを発見しました。攻撃されたシステムで(BlackEnergyとKillDisk)すべての監査ログが削除されていたため、SIEMはUnix上で実行されており、隔離されたセグメントにあったためBlackEnergyには届かなかった(Unix用KillDiskは存在しなかった/存在しない)。このため、このケースではSIEMが攻撃の痕跡を保存するのに役立ち、完全なフォレンジクス調査を開始する最初の手がかりとなりました。
SOC ROIの測定
SIEMの導入の最も一般的な推進要因は、セキュリティインシデントのプロアクティブモニタリングのためのセンターを構築し、それらをタイムリーに特定し、リスクを予防的に軽減することです。したがって、基本的にはSOCを構築することがSIEMを購入する一般的な理由です。SOCにおけるSIEMシステムの主なタスクは、すべての種類のイベントを相関し、分析される必要のあるデータの量のために人間が物理的にできないことを見つけることです。今日では、SIEMは1日に数十億のイベント、数十万または100万+ EPSを処理し、分析に適した形式で情報を提供し、すべての必要な調査ツールを備えています。これらの要件を満たすことにより、SOCを中心にコンプライアンス、フォレンジクス、中央ログリポジトリを統合し、これらを完全に新しいレベルに引き上げます。
SOC ROIを決定することは大きな課題ですが、その基本では検出されたすべてのインシデントを監視し、初期段階での被害をモデル化して計算する必要があります。企業の資産とネットワークのモデル、IT資産のコストと価値、適用されるリスクを構築し、継続的に維持する必要があります。理想的にはCVSSモデルも構築する必要があります。これらの資産のインシデントコストに基づいて、潜在的な被害を特定することが可能です。SIEM自体もアナリストの時間を節約し、監査やリスク管理のリクエストに応じるための追加の時間を見つけるのを助け、根本原因分析や調査を行うための時間を見つけるのを助けます。
SIEMユースケースは貴重な遺産を生む
最後に、SIEMを継承する状況がしばしば見受けられます。システムが最初に取得された理由を誰も知らないのは、最初の従業員が去り、新しい従業員が到着し、この状況はトップマネージャーからフィールドスペシャリストまで、全レベルに拡大しています。これを想像してみてください:新しい組織に就職すると、そこでSIEMが存在しています。マネジメントは言います:「すべての監査ログを統合しましたが、それに何万ドル、何百万ドルかかりました…これで何ができるのか?つまり、やるべきことは簡単です、技術は成熟していて、すべてがほとんど完璧に動いています!だから、ここに少し手を加えることで、完全なセキュリティ認識とネットワークの可視性が得られるはずです。これは非常に役立つでしょう!」野心的なSIEMプロジェクトやSOCは、簡単なことから始めるべきです。これが実際にはROIの最も純粋な形です。ここでは、技術が適切な理由で購入されたことを示すために、クイックウィンに焦点を当てる必要があります。このタスクを成功させるためには、すでにあなたの組織の技術に対して構築されテスト済みのユースケースを選び出し、特定の脅威や最もアクティブなリスクに向けた点撃ちのソリューションを選ぶのが最善です。例えば、ランサムウェア、APT、Windowsモニタリング、VPN、SSLセキュリティなどです。そして、ROIドライバーに合うように迅速に調整する必要があります。
なぜSIEM ROIは理論上は非常に良いのに、現実とはかけ離れているのか?
100を超える実装を監督した教訓の一つ:SIEMシステムが組織に実装されているというだけでは、計画され初期の統合フェーズで接続されたすべてのデータが収集されていることを意味しません。統合はプロセスであり、連続的なものと呼んでもいいほどです。データの欠如=ROIの不在。そして、それは単に取得の問題ではありません:どの分析システムも「ゴミを入力すればゴミを出力する」という原則に従います。簡単に言うと、データの課題が無視されると、良い結果は出ませんし、コンプライアンス監査の場合に必要なデータが利用できない場合、データの質とデータ取得が監視されていないときです。また、どの会社のITインフラストラクチャーも静的ではなく、アーキテクチャは新しいサービスが導入され廃止されるにつれて絶えず変化し、ログデータ形式とトランスポートが変化し、ファームウェアやOSの構成が変化し、イベントの解析がデータ品質を確保するために継続的に洗練される必要があるプロセスです。少なくとも0.25のFTEで質を管理しないと、データの有用性は常に低下し、例えばPCI監査時に会社がそれに合格しないかもしれません。パフォーマンスの問題が生じ、報告が失敗することが、通常、監査人や経営陣が「昨日までに」要求する場合でもあります。特にSOXにとってはこれが重要です。
SIEMは独立して自営できません:オンプレミスのソフトウェアであれ、SaaSであれ、インハウスのチームやアウトソーシングサービスの一部である訓練された人材が必要です。SIEMプロジェクトでは、不適切な投資計算がしばしば起こります。最初の5年間のSIEM技術への投資は、プロジェクト全体の予算の20〜30%に過ぎないべきです。設備やチームに投資し、特にトレーニングやスタッフの保持、運用の拡大に投資する必要があります。別の誤りは、SIEMを購入することでワークロードが大幅に減少すると考えることです。逆に、それは実際には多くの新しいタスクと必要なスキルをもたらします。あなたの専門家は、大量のセキュリティデータを分析して意味を見出し、リスクを軽減する機会を得るだけです。以前は不可能だったことです。したがって、不適切なリソース計画は、SIEMからROIを得ることができないもう1つの理由となります。
最後に、SIEMのユースケースの実装には、ユースケースが1回限りで実装されるのではなく、改善と調整を継続的に行う必要があるという理解が必要です。ここでの最も効果的で同時に単純な解決策は、すでに利用可能なユースケースを使用し、新たに車輪を作り上げないことです(Windowsモニタリング、Cisco、アンチウイルスなどのケース)。チームの努力をあなたの組織固有のユースケースの開発に集中させる必要があります。必要なユースケースを構築していることを確認するために:他の会社のSIEMにコピーしても同じ価値で動作するのであれば、それはユニバーサルです。そして、それはすでにフリーミアムまたは商用パッケージとして利用可能であり、セキュリティの価値を生み出すために最小限の、またはほとんど調整を必要としない可能性が高いです。
したがって、SIEMからの正のROIを保証する5つのプロセスを定義できます
- データ取得とデータ品質の監視と維持
- SIEMユースケースの監視、維持および継続的改善
- プロジェクトとアーキテクチャの適切な技術計画
- チームの過負荷を防ぐための事前のFTEの計画と調整
- チームへの投資計画の明確なプラン:トレーニング、保持および開発
ここに、SIEMからROIを得るための主な方法と、それが意図通りに機能しない理由がいくつかあります。SIEMからのROIを得る経験はありますか?
