
Меня позвали консультантом в компанию, где уже стоял дорогой Enterprise SIEM. Куплен за серьёзные деньги, дашборды красивые.
А задача звучала странно: разобраться, почему «всевидящее око» не работает, и привести систему в чувство.
Сразу скажу: ошибку, которую там совершили, мог совершить кто угодно. Она честная и логичная.
Вводные были правильные. Инфраструктура росла, сервисов и интеграций становилось всё больше, поверхность атаки расширялась. Бизнес хотел предсказуемости вместо «доверьтесь интуиции дежурного». ИБ хотела всевидящее око: видеть больше, реагировать раньше, меньше зависеть от случайности.
Решение напрашивалось само – тяжёлый SIEM.
План на бумаге был безупречен:
Источники → корреляция → централизованная видимость → спим спокойно
Проблема была не в SIEM. Проблема в том, что дом начали строить с крыши.
Крыша без дома
Представьте дом:
– фундамент – активы: вы хотя бы знаете, что у вас есть?
– стены – процессы;
– перекрытия – роли;
– и только крыша – инструмент.
Шикарную крышу поставили над фундаментом, которого толком не было.
Не было приоритизированных сценариев мониторинга. Не было зрелого процесса разбора: кто смотрит, как квалифицирует, в какие сроки эскалирует. Логирование жило по принципу «что получилось, то и отдали».
Дальше началась классика:
Подключим всё, а потом разберёмся.
Подключили всё.
И полный обзор моментально превратился в полный туман. Поток событий рос, ложные срабатывания плодились, аналитики тонули в шуме.
Первым боль почувствовал не злоумышленник. Первым её почувствовал бизнес.
Легитимные операции стали выглядеть подозрительно, вокруг них появилось трение, и прозвучал тот самый неудобный, но справедливый вопрос:
А что нам это даёт?
Доверие теряется раньше инцидента
Вот главное, что я унёс из этого проекта.
Доверие к безопасности теряется не в момент инцидента. Оно теряется раньше – когда бизнес начинает видеть в ИБ источник трения без понятной пользы.
Можно сколько угодно показывать объём обработанных событий, количество подключённых источников и красивые дашборды. Если бизнес получает задержки, спорные блокировки и бесконечные уточнения, но не понимает, какой риск стал ниже, доверие быстро заканчивается.
Мой вердикт на разборе был безжалостным:
Вы купили Ferrari. Только у вас нет ни прав, ни асфальта. Машина вязнет в грязи.
Самым зрелым следующим шагом оказалось не добавить ещё один контроль, источник или модуль.
Пришлось остановиться и спросить:
- Что мы защищаем в первую очередь?
- Какие атаки действительно хотим обнаруживать?
- Что должен сделать аналитик после каждого срабатывания?
Ответы на эти вопросы и определили судьбу проекта.
В продолжении – как мы вывели около 85% потока из оперативного контура, сократили 430 правил до 64 и заставили SIEM наконец помогать людям, а не соревноваться с ними в тревожности.