Меня позвали консультантом в компанию, где уже стоял дорогой Enterprise SIEM. Куплен за серьёзные деньги, дашборды красивые.

А задача звучала странно: разобраться, почему «всевидящее око» не работает, и привести систему в чувство.

Сразу скажу: ошибку, которую там совершили, мог совершить кто угодно. Она честная и логичная.

Вводные были правильные. Инфраструктура росла, сервисов и интеграций становилось всё больше, поверхность атаки расширялась. Бизнес хотел предсказуемости вместо «доверьтесь интуиции дежурного». ИБ хотела всевидящее око: видеть больше, реагировать раньше, меньше зависеть от случайности.

Решение напрашивалось само – тяжёлый SIEM.

План на бумаге был безупречен:

Источники → корреляция → централизованная видимость → спим спокойно

Проблема была не в SIEM. Проблема в том, что дом начали строить с крыши.

Крыша без дома

Представьте дом:

– фундамент – активы: вы хотя бы знаете, что у вас есть?
– стены – процессы;
– перекрытия – роли;
– и только крыша – инструмент.

Шикарную крышу поставили над фундаментом, которого толком не было.

Не было приоритизированных сценариев мониторинга. Не было зрелого процесса разбора: кто смотрит, как квалифицирует, в какие сроки эскалирует. Логирование жило по принципу «что получилось, то и отдали».

Дальше началась классика:

Подключим всё, а потом разберёмся.

Подключили всё.

И полный обзор моментально превратился в полный туман. Поток событий рос, ложные срабатывания плодились, аналитики тонули в шуме.

Первым боль почувствовал не злоумышленник. Первым её почувствовал бизнес.

Легитимные операции стали выглядеть подозрительно, вокруг них появилось трение, и прозвучал тот самый неудобный, но справедливый вопрос:

А что нам это даёт?

Доверие теряется раньше инцидента

Вот главное, что я унёс из этого проекта.

Доверие к безопасности теряется не в момент инцидента. Оно теряется раньше – когда бизнес начинает видеть в ИБ источник трения без понятной пользы.

Можно сколько угодно показывать объём обработанных событий, количество подключённых источников и красивые дашборды. Если бизнес получает задержки, спорные блокировки и бесконечные уточнения, но не понимает, какой риск стал ниже, доверие быстро заканчивается.

Мой вердикт на разборе был безжалостным:

Вы купили Ferrari. Только у вас нет ни прав, ни асфальта. Машина вязнет в грязи.

Самым зрелым следующим шагом оказалось не добавить ещё один контроль, источник или модуль.

Пришлось остановиться и спросить:

  1. Что мы защищаем в первую очередь?
  2. Какие атаки действительно хотим обнаруживать?
  3. Что должен сделать аналитик после каждого срабатывания?

Ответы на эти вопросы и определили судьбу проекта.

В продолжении – как мы вывели около 85% потока из оперативного контура, сократили 430 правил до 64 и заставили SIEM наконец помогать людям, а не соревноваться с ними в тревожности.