Wdrażanie systemów SIEM (Security Information and Event Management) od lat budzi pytania o zasadność wysokich kosztów.
W teorii SIEM-y powinny stanowić rozwiązanie, które poprawi bezpieczeństwo i ułatwi zarządzanie zagrożeniami w firmach – nikt nie ma wątpliwości, że tak jest.
W praktyce natomiast każdy, kto ma pojęcie o działaniu tego typu systemów wie, że ich wdrożenie wymaga dużych inwestycji finansowych, co często bywa barierą nie do przejścia dla mniejszych jednostek.
W mojej opinii, duże koszty wynikające z wdrożenia systemów SIEM nie są bezpodstawne.
A więc, co zatem sprawia, że wdrożenie SIEM-u jest tak kosztowne?
Poniżej przyjrzę się kilku czynnikom, które w mojej opinii wpływają na obecny stan rzeczy.
Koszty licencjonowania i sprzętu
Jednym z pierwszych elementów kosztu wdrożenia SIEM są licencja (wieczyste lub czasowe).
Zazwyczaj koszty licencjonowania zależą od ilości generowanych logów oraz liczby urządzeń, które mają być monitorowane. Wzrost nowych źródeł danych oznacza wyższe koszty licencyjne.
Pod uwagę należy wziąć również jedną z najważniejszych cech SIEM – jego wysoką skalowalność. Jest to narzędzie bardzo elastyczne, ale wzrost zasobów prowadzi do wzrostu opłat.
Dodatkowo, do skutecznego wdrożenia SIEM niezbędna jest odpowiednia infrastruktura IT, o odpowiedniej wydajności (system SIEM powinien posiadać niezależne, wydzielone środowisko).
Jednostki, które wcześniej nie inwestowały w modernizacje, mogą ponieść dodatkowe koszty związane z aktualizacją sprzętu, co finalnie znacząco zwiększa budżet projektu.
Integracja z istniejącą infrastrukturą
Kiedy odpowiedna infrastruktura jest już wdrożona, to system SIEM musi zostać z nią odpowiednio zintegrowany.
Każda tego typu integracja zazwyczaj wiąże się z dodatkowymi pracami konfiguracyjnymi, testowaniem, oraz co najważniejsze – modyfikacjami w bieżących procesach IT (serwery, switche, UTM, inne narzędzia jak EDR, NDR itp…)
To właśnie etap integracji jest najczęściej najbardziej skomplikowany i kosztowny, ponieważ wymaga odpowiedniego planowania, ale też zaangażowania osób technicznych zarówno po stronie dostawcy systemu SIEM, jak i klienta.
A co więcej, każda zmiana w infrastrukturze typu. nowe aplikacje, narzędzia, urządzenia – może wymagać jeszcze dodatkowej modyfikacji wdrożonego już systemu, co generuje dalsze koszty. Jest to klasyczny przykład tego, że szczegóły wdrożenia wychodzą w planie.
Konfiguracja i dostosowanie systemy do potrzeb jednostki
SIEM w swoich założeniach ma być elastyczny i oferować wysoką skalowalność.
Dlaczego?
Dlatego, że każde przedsiębiorstwo jest inne – posiada różne struktury organizacyjne, procesy oraz różne są rodzaje zagrożeń, z którymi dana jednostka mus się częściej zmierzyć.
System SIEM w standardowej konfiguracji nigdy nie będzie wystarczający i wymagać będzie znacznych modyfikacji. Dlatego konfiguracja SIEM pod kątem personalizacji potrzeb danej jednostki wiąże się z dodatkowymi kosztami.
Pisanie reguł, dostosowanie monitoringu, definiowania zagrożeń czy konfiguracji narzędzi do tworzenia raportów to proces wymagający specjalistycznej wiedzy i doświadczenia.
Każdego dnia jednostka choćby średniej wielkości generuje dziesiątki tysięcy logów – napisanie zbyt ogólnych reguł mogłoby doprowadzić do lawiny fałszywych alarmów.
Aby system SIEM działał efektywnie, niezbędna jest jego optymalizacja, co często wiąże się z zatrudnieniem wewnętrznych specjalistów lub zewnętrznych w postaci usługi SOC – ktoś musi ten system obsługiwać, a wymaga to dużych zasobów.
A więc, mamy kolejny czynnik.
Koszt pracy specjalistów
Obsługa systemu SIEM generuje zapotrzebowanie na wysoko wykwalifikowany personel. Systemy te wymagają konfiguracji na etapie wdrożenia oraz następnie stałej obsługi. Praca z systemem SIEM to nie jedynie monitorowanie logów, ale taķże dogłębna analiza incydentów, korelowanie zdarzeń i finalnie podejmowanie decyzji dotyczących odpowiednich reakcji na wykryte zagrożenia.
Zatrudnienie doświadczonych specjalistów cyberbezpieczeństwa wywołuje koszty mogące przyprawiać o zawrót głowy.
Wielu jednostkom brakuje wewnętrznego zespołu specjalistów o odpowiednich kwalifikacjach, ponieważ nie mają środków, aby go stworzyć, co zmusza je do korzystania z usług firm zewnętrznych w postaci usług SOC (Security Operations Center).
Koszty związane z regulacjami
W wielu branżach wdrożenie SIEM to nie jest nawet opcja, a konieczność wymagana przez regulacje.
Świetnym przykładem jest dyrektywa NIS 2, która dotyka wiele branż jak np. sektor zdrowotny czy energetyczny. Podlegają one szczególnie rygorystycznym wymogom prawnym dotyczącym ochrony danych.
W tych przypadkach, systemy muszą być tak skonfigurowane, aby spełniały normy, ale również były w stanie generować odpowiednie raporty audytowe, które potwierdzą zgodność z regulacjami.
Proces audytu oraz dostosowania systemu do wymogów ram interoperacyjności jest czasochłonny i kosztowny.
Słowem podsumowania,
Myślę, że rozwiałem wątpliwości dlaczego wdrożenie systemu SIEM to skomplikowany i dość kosztowny proces, który jednak przynosi bardzo wymierne korzyści wynikające z wdrożenia.
Dzięki naszej firmie wcale nie musi tak być. Grupa E świadczy usługi SOC na każdą kieszeń, w oparciu o swoje dedykowane narzędzia.
Kontakt:
Kamil Brandys – Opiekun Klienta Kluczowego
tel.: 887 104 700
e-mail:
lub
Sebastian Komor – Opiekun Klienta Kluczowego
tel.: 606 836 070
e-mail:
Wróć
