Ücretsiz SIEM’in gizli maliyetleri

OpenLogic’in “State of Open Source” raporuna göre, ankete katılan kuruluşların %96’sı açık kaynak çözümleri (OSS) kullanmaktadır. Bu tür çözümler, bilgi güvenliği araçları da dahil olmak üzere BT pazarının her segmentinde bulunabilir ve genellikle SIEM sistemleri oluşturmak için tavsiye edilirler.

İlk bakışta OSS harika bir seçim gibi görünür. Bir SIEM sisteminin birincil işlevi; iyi bilinen veri depolama ve işleme araçlarını kullanarak kurabileceğiniz, sistematik telemetri toplama ve korelasyondur. Logstash ile tüm verilerinizi toplar, Elasticsearch‘ü bağlar, Kibana‘da ihtiyacınız olan görselleştirmeleri oluşturursunuz ve işte hazırsınız! Hızlı bir arama size hazır açık kaynaklı SIEM çözümleri bile sunacaktır (genellikle aynı bileşenler üzerine kuruludur). SIEM’lerde hem veri toplamak hem de işlemeyi kuruluşunuzun özel ihtiyaçlarına göre uyarlamak her zaman çok önemlidir ve özel bir OSS sistemi bunun için sonsuz olanaklar sunar. Ayrıca, lisans maliyeti sıfırdır. Ancak bu çabanın başarısı; geliştirme ekibinize, kuruluşunuzun özelliklerine, kuruluşunuzun sonuçlar için ne kadar beklemeye istekli olduğuna ve sürekli destek için ne kadar yatırım yapmaya hazır olduğuna bağlıdır.

Vakit nakittir

Önemi sürekli olarak hafife alınan kilit bir soru, şirketinizin SIEM’inin yalnızca hayata geçmesinin değil, aynı zamanda gerçek bir değer sunmaya başlamasının ne kadar süreceğidir. Gartner verileri, tam özellikli, hazır bir SIEM’in bile tam olarak uygulanmasının ortalama altı ay sürdüğünü ve her on şirketten birinin bunun için bir yıl harcadığını gösteriyor. Kendi SIEM’inizi oluşturuyor veya bir OSS’yi uyarlıyorsanız, bu zaman çizelgesinin iki veya üç katına çıkmasını beklemelisiniz. Bütçeleme yaparken, bu süreyi geliştiricilerinizin saatlik ücretleriyle çarpın. Ayrıca, tam teşekküllü bir SIEM’in tek bir yetenekli kişi tarafından gerçekleştirilebileceğini hayal etmek de zordur zira şirketinizin tüm ekibi bir arada tutması gerekecektir.

Yaygın bir psikolojik tuzak, bir prototipin ne kadar hızlı bir araya geldiğine aldanmaktır. Hazır bir OSS’yi test ortamında sadece birkaç gün içinde dağıtabilirsiniz, ancak bunu üretim kalitesine getirmek aylar, hatta yıllar alabilir.

Beceri eksiklikleri

Bir SIEM’in saniyede binlerce olayı toplaması, indekslemesi ve analiz etmesi gerekir. Yüksek yüklü bir sistem tasarlamak, hatta mevcut bir sistemi uyarlamak, özel ve talep gören beceriler gerektirir. Proje, geliştiricilerin ötesinde çok yetenekli BT yöneticilerine, DevOps mühendislerine, analistlere ve hatta pano tasarımcılarına ihtiyaç duyacaktır.

SIEM üreticilerinin üstesinden gelmesi gereken bir başka eksiklik de etkili normalleştirme kuralları, korelasyon mantığı ve ticari SIEM çözümlerinde kutudan çıkan diğer içerikleri yazmak için gereken uygulamalı deneyim eksikliğidir. Elbette, kullanıma hazır bir içerik bile önemli ayarlamalar gerektirir, ancak bunu kuruluşunuzun standartlarına uygun hale getirmek hem daha hızlı hem de daha kolaydır.

Uyum

Birçok şirket için bir SIEM sistemine sahip olmak yasal bir gerekliliktir. Kendileri bir SIEM oluşturan veya bir OSS çözümü uygulayanlar, uyumluluğu sağlamak için önemli çaba sarf etmek zorundadırlar. Genellikle yerleşik bir sertifikasyon süreci ve uyumluluk için gerekli tüm araçlarla birlikte gelen ticari sistemlerin kullanıcılarının aksine, SIEM’lerinin yeteneklerini yasal gerekliliklerle kendi başlarına eşleştirmeleri gerekir.

Bazen yönetim, masrafları en aza indirmeyi amaçlayarak sadece “bir kutuyu işaretlemek” için bir SIEM uygulamak isteyebilir. Ancak PCI DSS, GDPR ve diğer yerel düzenleyici çerçeveler SIEM uygulamasının sadece varlığına değil, gerçek genişliğine ve derinliğine odaklandığından, sadece göstermelik olarak uygulanan bir SIEM sistemi herhangi bir denetimden geçemeyecektir.

Uyumluluk, yalnızca uygulama sırasında göz önünde bulundurabileceğiniz bir şey değildir. Kendi kendini yöneten bakım ve işletim sırasında, çözümünüzün herhangi bir bileşeni güncelleme almayı durdurur ve kullanım ömrünün sonuna ulaşırsa, bir güvenlik denetiminden başarıyla geçme şansınız düşecektir.

Çalışan bağımlılığına karşı satıcıya bağlılık

Kuruluşların açık kaynaklı bir çözümü düşünmelerinin ikinci en önemli nedeni, bir yazılım satıcısının geliştirme yol haritasına ve lisanslama kararlarına güvenmekten kaçınmanın yanı sıra, kendi özel ihtiyaçlarına göre uyarlama esnekliği olmuştur.

Bunların her ikisi de ikna edici argümanlardır ve büyük kuruluşlarda bazen diğer faktörlerden daha ağır basabilirler. Ancak, bu seçimi artıları ve eksilerini net bir şekilde anlayarak yapmak çok önemlidir:

• OSS SIEM’lerin benzersiz veri girişlerine göre ayarlanması daha basit olabilir.
• Bir OSS SIEM ile verilerin nasıl depolandığı ve işlendiği üzerinde tam kontrol sahibi olursunuz.
• Bir OSS SIEM’i ölçeklendirmenin maliyeti öncelikle ek donanım fiyatlarından ve gerekli özelliklerin geliştirilmesinden oluşur.
• Bir OSS SIEM’in hem ilk kurulumu hem de sürekli gelişimi, hem geliştirme uygulamaları hem de SOC gerçekleri konusunda bilgili olan deneyimli profesyoneller gerektirir. Sistemi en iyi anlayan ekip üyeleri şirketten ayrılır veya rollerini değiştirirse, sistemin gelişimi durabilir. Daha da kötüsü, giderek daha az işlevsel hale gelir.
• Bir OSS SIEM’in ilk uygulama maliyeti, lisans ücretlerinin olmaması nedeniyle daha düşük olsa da, bu fark genellikle bakım aşamasında ortadan kalkar. Bunun nedeni, yalnızca SIEM geliştirmeye adanmış nitelikli personelin sürekli ve artan masraflarıdır. Uzun vadede, bir OSS SIEM için toplam sahip olma maliyeti (TCO) genellikle daha yüksek olur.

İçerik kalitesi

Algılama ve yanıt içeriğinin uygunluğu, bir SIEM’in etkinliğinde önemli bir faktördür. Ticari çözümler için; korelasyon kuralları, oyun kitapları ve tehdit istihbaratı beslemelerine yönelik güncellemeler genellikle bir aboneliğin parçası olarak sağlanır. Büyük araştırmacı ekipleri tarafından geliştirilir, kapsamlı testlerden geçirilir ve genellikle kurum içi güvenlik ekibinizin uygulaması için minimum çaba gerektirir. Bir OSS SIEM ile, güncellemeler söz konusu olduğunda tek başınasınızdır; topluluk forumlarını, GitHub depolarını ve ücretsiz beslemeleri kendiniz aramanız gerekir. Bu durumda kuralların ayrıntılı bir şekilde incelenmesi ve özel altyapınıza uyarlanması gerekir ve hatalı pozitif riski daha yüksek olur. Sonuç olarak, açık kaynaklı bir SIEM’de güncellemeleri uygulamak, şirket içi ekibinizden önemli ölçüde daha fazla çaba gerektirir.

Odadaki fil: Donanım

Bir SIEM’i başlatmak için donanım satın almanız veya kiralamanız gerekir ve sistemin mimarisine bağlı olarak bu masraf önemli ölçüde değişebilir. Sistemin açık kaynaklı veya tescilli ticari bir çözüm olması çok da önemli değildir. Bununla birlikte, açık kaynaklı bir SIEM’i kendi başınıza uygularken, optimal olmayan mimari kararlar alma riskiniz daha yüksektir. Uzun vadede bu, sürekli olarak yüksek işletme maliyetleri anlamına gelmektedir.

SIEM donanım ihtiyaçlarını değerlendirme konusunu ayrıntılı olarak ele aldığımız yazımız için tıklayın.

Nihai sonuç

Sıfır lisans ücreti ile tamamen özelleştirilebilir ve uyarlanabilir bir platform fikri oldukça cazip olsa da; böyle bir projenin dahili geliştirme ekibiniz için, kullanıma hazır ticari bir çözüme nazaran, çok daha fazla zaman ve çaba gerektirmesi gibi önemli bir risk söz konusudur. Ayrıca, yeni inovasyonları hızla benimseme yeteneğinizi engelleyebilir ve güvenlik ekibinizin odağını, tespit mantığı ve müdahale senaryoları oluşturmak yerine, öncelikle operasyonel sorunlarla ilgilenmeye kaydırabilir. Bu nedenle, yönetilen, uzman destekli ve iyi entegre edilmiş bir ticari çözüm, tipik bir kuruluşun etkili risk azaltma ve öngörülebilir bütçeleme hedefleriyle genellikle daha yakından uyumludur.

Ticari SIEM’ler ekibinizin önceden oluşturulmuş kurallardan, oyun kitaplarından ve telemetri ayrıştırıcılarından yararlanmasını sağlayarak, temel SIEM özelliklerini yeniden keşfetmek ve iyileştirmek veya kendi geliştirdiği bir sistemle yasal denetimlerden geçmek için mücadele etmek yerine tehdit avcılığı veya bulut altyapısında görünürlüğü artırmak gibi kuruluşa özel projelere odaklanmasına olanak tanır.