Açıq mənbə SOC, yoxsa bahalı SIEM: biznes hansını seçməlidir

Müqayisəyə başlamazdan əvvəl terminlərdə razılaşaq — onlarsız təhlükəsizlik söhbəti abreviaturalar yığınına çevrilir.

• SIEM — bütün sistemlərinizdən (serverlər, kompüterlər, şəbəkə avadanlığı) hadisələri bir yerə toplayan və onların arasından şübhəlini axtaran proqramdır: qeyri-adi girişlər, müraciət cəhdləri, vacib faylların dəyişdirilməsi.
• SOC (Security Operations Center) — SIEM ətrafındakı insanlar və proseslərdir: həyəcan siqnallarına baxan, yalanları əsilindən ayıran və reaksiya verən kimsə. SOC-suz SIEM — heç kimin baxmadığı kameradır.

«Bizə təhlükəsizlik monitorinqi lazımdır» deyəndə adətən hər ikisini nəzərdə tuturlar: alət, üstəgəl onunla işləyən kimsə.

SIEM sinifli sənaye sistemləri (klassik nümunə — Splunk və bənzərləri) ənənəvi olaraq içinə yüklədiyiniz məlumatların həcminə görə — gündəlik hadisə giqabaytlarına görə ödəniş alır. Vendorun məntiqi aydındır, amma biznes üçün bu, xoşagəlməz bir xüsusiyyət deməkdir: nə qədər çox böyüyürsünüz və təhlükəsizliyə nə qədər diqqətlə baxmaq istəyirsinizsə, bir o qədər çox ödəyirsiniz. Orta biznes üçün sənaye SIEM-in illik qiyməti ştatlı bir işçinin illik əmək haqqı ilə müqayisə oluna bilər — dəqiq məbləğ hadisələrin həcmindən və vendordan asılıdır, və bu yalnız lisenziyadır, onunla işləyəcək adamlar nəzərə alınmadan.

Məhz buna görə bir çox şirkət «ya bahalı, ya da heç cür» tələsinə düşür: sənaye sistemini götürmək gücləri çatmır, monitorinqsiz qalmaq isə risklidir. Açıq stek üçüncü variantı verir.

Açıq həllər (nüvə kimi Wazuh, üstəgəl şəbəkə monitorinqi, saxlanma və vizuallaşdırma alətləri) proprietar SIEM ilə eyni sinif məsələləri bağlayır: hadisələrin toplanması, anomaliyaların axtarışı, faylların bütövlüyünə nəzarət, zəifliklərin aşkarlanması, insidentlərə reaksiya.

Nə əldə edirsiniz:

• Lisenziya haqqı yoxdur. Pul proqramdan istifadə hüququna deyil, tətbiq və müşayiətə gedir.
• Verilənlər üzərində nəzarət. Monitorinq və hadisələr sizin perimetrinizdə və ya ölkə daxilində qalır — bu, həm etibar, həm də Azərbaycanda məlumat tələbləri üçün vacibdir. Harada yerləşdirməyi — öz meydançanızda, yoxsa yerli podratçıda — siz qərar verirsiniz (bax infrastruktur və məlumatlar).
• Fərdiləşdirmə. Açıq kodu təkmilləşdirmək olar: qapalı qutunun sadəcə bilmədiyi sizin sistemlərə (1C, sahə tətbiqləri, avadanlıq) uyğun dekoderlər və qaydalar. Bu da açıq mənbə kibertəhlükəsizlik xidmətinin əsas hissəsidir.

Açıq stekin «qutudan çıxan» şəkildə VERMƏDİYİ:

• Konkret standarta uyğun hazır sertifikatlaşdırılmış konfiqurasiyalar — onları sizə uyğun qurmaq lazımdır.
• «Hər şeyə görə soruşmaq» mümkün olan SLA-lı vahid vendor. Məsuliyyəti sizin komandanız və ya müşayiət üzrə podratçı öz üzərinə götürür.
• Sehrli ucuzluq. Bu barədə — ayrıca, çünki bu, əsas yanılmadır.

Lisenziyanın olmaması dəyərin olmaması demək deyil. Açıq stek üzərində monitorinqin tam sahiblik dəyəri «lisenziya yoxdur» həvəsi anında unudulan şeylərdən ibarətdir:

• Tətbiq. Bir neçə məhsuldan ibarət steki (hadisələrin toplanması, şəbəkə monitorinqi, saxlanma, vizuallaşdırma, reaksiya) yığmaq, bağlamaq və infrastrukturunuza uyğun konfiqurasiya etmək lazımdır.
• Müşayiət. Yeniləmələr, versiyaların uyğunluğu, qaydaların konfiqurasiyası, yalan həyəcan siqnalları ilə mübarizə — bu, «qoydun və unutdun» deyil, daimi işdir.
• Ekspertiza. Qaydaların yazılması və insidentlərin təhlili ixtisas tələb edir. Onsuz açıq stek görüntü verir, amma yetkin mühafizə yox.

Buna görə dürüst müqayisə «lisenziyaya qarşı sıfır» deyil, bir neçə illik tam sahiblik dəyəridir: proprietar variantda lisenziya + müşayiət, açıqda isə tətbiq + müşayiət. Böyük məlumat həcmlərində açıq stekdə giqabaytlara görə ödəniş yoxdur, ona görə də o, daha çox hallarda daha ucuz çıxır; kiçik həcmlərdə və öz komanda olmadıqda fərq azalır.

1-ci sual — Həcm və artım. Çoxlu hadisə toplayırsınızmı və onların həcmi artırmı? → Çox/artır → proprietar SIEM-in lisenziyası bahalaşacaq; açıq stek sərfəlidir. → Az və stabil → qiymət fərqi azdır, hər iki variantı hesablayın.

2-ci sual — Verilənlər və suverenlik. Verilənlər sizin perimetrinizdə / ölkədə qalmalıdırmı? → Bəli → öz meydançanızda və ya yerli podratçıda açıq stek təbii seçimdir. → Vacib deyil → bu meyar işləmir, qiymət və dəstəyə görə qərar verin.

3-cü sual — Müşayiət. İstismar üçün komandanız varmı (və ya kənara verməyə hazırsınızmı)? → Var/veririk → açıq stek realdır və sərfəlidir. → Yox və planlaşdırmırıq → ya «açar təslim» proprietar, ya da idarə olunan xidmət kimi açıq stek (müşayiət podratçı tərəfindədir).

Meyar	Proprietar SIEM	Açıq stek (Wazuh və s.)
Lisenziya	Hadisə həcminə görə ödəniş, artır	Yoxdur
Pul harada	Lisenziya + insanlar	Tətbiq + müşayiət
Verilənlər harada	Çox vaxt vendorun buludu (xaricdə)	Sizin perimetr / ölkə
Fərdiləşdirmə	Vendor çərçivəsində	Sistemlərinizə uyğun yazılır
Dəstək	Bir vendor, SLA	Öz komanda və ya podratçı
Qutudan çıxan konfiqurasiyalar	Hazır, sertifikatlaşdırılmış	Sizə uyğun qurulur
Böyük həcmlərdə fayda	Bahalaşır	Həcmdən asılı deyil

Eyni dəyişiklik virtuallaşdırmada da baş verir: VMware-də qiymət artımından sonra biznes kütləvi şəkildə açıq platformalara baxır — bu barədə ayrıca «VMware-dən Proxmox-a köçmə» məqaləsində.

Biz açıq həllər qururuq — amma onların hamıya uyğun olduğunu düşünmürük. Proprietar SIEM bir neçə şərt üst-üstə düşəndə özünü doğruldur: bütün nəticəyə görə soruşa biləcəyiniz vahid təchizatçı lazımdır; müşayiət üçün komandanız yoxdur və planlaşdırmırsınız, kənara verməyi də istəmirsiniz; vendorun artıq akkreditasiya olunduğu konkret sertifikasiyaya uyğun hazır konfiqurasiyalar lazımdır. Bu hallarda lisenziya — məsuliyyəti və mürəkkəbliyi öz üzərinizdən atmağın haqqıdır və özünü doğrulda bilər. Açıq steki onu müşayiət edə bilməyəcək adama sırımaq — yamanlıqdır.

• Hansı sərfəlidir — açıq mənbə SOC, yoxsa sənaye SIEM (Splunk)? Açıq stek böyük və artan məlumat həcmlərində və verilənlərin ölkədə qalmalı olduğu yerdə sərfəlidir. Proprietar — SLA-lı vahid vendor lazım olanda və öz komanda olmayanda. Sizin rəqəmlərinizlə hesablanır.
• Biznes üçün pulsuz SIEM varmı? Lisenziya pulsuz ola bilər (Wazuh kimi), amma bütövlükdə təhlükəsizlik yox: tətbiq və müşayiət pula başa gəlir. «Pulsuz SIEM» — əsas yanılmadır; dürüst olan, bir neçə illik tam sahiblik dəyərini müqayisə etməkdir.
• Wazuh nədir? Açıq təhlükəsizlik monitorinqi sistemi (SIEM/XDR): serverlərdən və kompüterlərdən hadisələri toplayır, təhlükələri tapır, faylların bütövlüyünə və zəifliklərə nəzarət edir. Lisenziyanın özü pulsuzdur, amma tətbiq və müşayiət yox; əvəzində kod sizin sistemlərə uyğun təkmilləşdirilir.
• Open-source pullu həlldən nə dərəcədə daha təhlükəsiz və ya təhlükəlidir? Mütləq daha təhlükəli deyil. Açıq kodu bir vendor yox, bütün cəmiyyət yoxlayır. Təhlükəsizliyi qiymət yarlığı yox, konfiqurasiyanın və müşayiətin keyfiyyəti müəyyən edir.
• Bu, Azərbaycanda verilənlərə dair tələblərə uyğundurmu? Bəli — açıq steki elə yerləşdirmək olar ki, verilənlər ölkədə qalsın, və onu məlumat və kritik infrastruktur mühafizəsi tələblərinə uyğun qurmaq olar.