Təhlükəni məlumat itkisinə çevrilməmişdən əvvəl görün

Əksər şirkətlər hücum barədə artıq baş verdikdən sonra — məlumat sızdıqda və fayllar şifrələndikdə öyrənir. Antivirus olmadığına görə deyil, onlarla sistemdən gələn hadisələri kimsənin vahid mənzərəyə gətirmədiyinə və ona baxmadığına görə. Sənaye monitorinq sistemləri (məsələn, Splunk və analoqları) bunu bacarır, amma onların lisenziyası orta biznes üçün çox vaxt əlçatmazdır. Nəticədə seçim «ya bahalı, ya da heç cür» variantına gəlib çıxır. Biz üçüncü yolu təklif edirik — eyni sinif monitorinqi açıq həllər üzərində, burada siz lisenziyaya deyil, tətbiq və müşayiətə görə ödəyirsiniz.

Təhlükəsizlik monitorinqi sisteminin qurulması (Wazuh əsasında SIEM/XDR). SIEM — bütün sistemlərinizdən hadisələri toplayan və onların arasından şübhəliləri tapan sistemdir. Buraya daxildir: serverlərdən və iş stansiyalarından hadisələrin toplanması, faylların bütövlüyünə nəzarət, zəifliklərin aşkarlanması, insidentlərə reaksiya. Şəbəkə monitorinqinin qoşulması (müdaxilələrin aşkarlanması). Qaydaların sizin sistemlərə uyğun konfiqurasiyası və modulların təkmilləşdirilməsi — sizdə real işləyənlərə uyğun dekoderlər, qaydalar və inteqrasiyalar (1C, sahə tətbiqləri, avadanlıq). Xidmət kimi SOC müşayiəti: monitorinq, həyəcan siqnallarının təhlili, yeniləmələr.

Təhlükəsizlik monitorinqi itirməyə bir şeyiniz olanda lazımdır: müştəri məlumatları, maliyyə informasiyası, işləyən servislər, dayanması pula başa gələn proseslər. Xüsusən — məlumatların və ya kritik infrastrukturun mühafizəsi tələblərinə düşürsünüzsə (Azərbaycan üçün aktualdır). Açıq stek o zaman özünü doğruldur ki, «işçi əmək haqqı kimi» lisenziyalara ödəmək istəmirsiniz və məlumatların harada saxlandığına nəzarəti dəyərləndirirsiniz.

Məhz open-source nə vaxt lazım deyil: əgər sizin üçün «hər şeyə görə» vahid məsuliyyət müqaviləsi olan vahid təchizatçı kritikdirsə, müşayiət üçün öz komandanız və büdcəniz yoxdursa, eyni zamanda hazır sertifikatlaşdırılmış «qutudan çıxan» konfiqurasiyalar lazımdırsa — bəzən proprietar həll götürmək daha düz olar. Bunu açıq deyəcəyik, istismarda gücünə uyğun olmayan adama mürəkkəb stek satmayacağıq.

Açıq həllər lisenziya haqqını aradan qaldırır, amma təhlükəsizliyi pulsuz etmir. Dəyər «lisenziya» sətrindən «tətbiq və müşayiət» sətrinə köçür — və bu daha dürüstdür: siz başqasının proqramından istifadə hüququna görə deyil, mühəndislərin işinə və real mühafizəyə görə ödəyirsiniz. Azərbaycandakı biznes üçün açıq stekin mühüm üstünlüyü — məlumatların fiziki olaraq harada saxlandığına özünüz nəzarət edirsiniz: öz serverlərinizdə yoxsa ölkə daxilindəki meydançada. Açıq kodu isə sizin sistemlərə uyğun təkmilləşdirmək olar — qapalı sistemlərdə bu, vendor çərçivəsi ilə məhduddur. Bu iqtisadiyyat «Açıq mənbə SOC, yoxsa bahalı SIEM» məqaləsində daha ətraflı təhlil olunub.

Monitorinqi nəyin üzərində quracağınızı seçəndə variantları bu bəndlər üzrə müqayisə edin:

• Lisenziya. Proprietar SIEM — biznesə paralel artan hadisə həcminə görə ödəniş. Açıq stek — lisenziya yoxdur; tətbiq və müşayiətə görə ödəyirsiniz.
• Məlumatlar harada. Vendorun buludu (çox vaxt xaricdə) — sizin perimetrinizə və ya ölkə daxilindəki meydançaya qarşı.
• Fərdiləşdirmə. Qapalı qutu vendorun qoyduğu ilə məhduddur; açıq kod modulları sizin sistemlərə uyğun yazmağa imkan verir.
• Dəstək. SLA-lı bir vendor — sizin komandanıza və ya xarici müşayiətə qarşı (bizim xidmət kimi).
• «Qutudan çıxan» yetkinlik. Proprietarda — hazır sertifikatlaşdırılmış konfiqurasiyalar; açıqda — sizə uyğun qurulur, bu da ekspertiza tələb edir.
• Məcmu dəyər. «Lisenziyaya qarşı sıfır» yox, müşayiəti nəzərə alaraq bir neçə illik tam sahiblik dəyəri hesablanır.

Qənaətin konkret rəqəmləri hadisələrin həcmindən və infrastrukturunuzdan asılıdır — pulsuz təhlildə hesablanır. Konkretliyi yalnız sizin rəqəmlərinizlə hesabladıqdan sonra deyirik, əsassız deyil.

Şirkət məlumat mühafizəsini tələblərə uyğunlaşdırmaq tələbi aldı, sənaye SIEM üzrə kommersiya təklifləri isə büdcəsi üçün əlçatmaz illik lisenziya ilə gəldi. Bizdə bu adətən belə həll olunur: infrastrukturun və tələblərin təhlili → açıq stek üzərində monitorinqin qapalı meydançada qurulması → serverlərin, iş stansiyalarının və şəbəkə trafikinin qoşulması → qaydaların konfiqurasiyası və istifadə olunan sistemlərə uyğun modulların təkmilləşdirilməsi → dashboardların təhvili və təlim, yaxud SOC-un öz qüvvələrimizlə müşayiəti. Məqsəd — tələbləri bağlamaq və lisenziya ödənişləri olmadan təhlükələri görmək.

• SOC və SIEM sadə sözlə nədir? SIEM — bütün sistemlərinizdən hadisələri toplayan və onların arasından şübhəliləri tapan proqramdır. SOC — onun ətrafındakı insanlar və proseslərdir: kimsə həyəcan siqnallarına baxır və reaksiya verir. Biz həm aləti, həm də müşayiəti verə bilərik.
• Open-source nə dərəcədə təhlükəsizdir? Açıq kod çox vaxt qapalıdan daha auditə açıqdır: onu bir vendor yox, bütün cəmiyyət yoxlayır. Risk açıqlıqda deyil, konfiqurasiyanın və müşayiətin keyfiyyətindədir — buna biz cavabdehik.
• Bu, sənaye SIEM-dən ucuzdurmu? Lisenziya yoxdur; siz tətbiq və müşayiətə görə ödəyirsiniz. Sizin halınızda ucuz olub-olmayacağını — əsassız vədlər vermədən, sizin rəqəmlərinizlə təhlildə hesablayırıq.
• Bizim sistemlərə uyğun təkmilləşdirirsiniz? Bəli. Sizdə işləyənlərə uyğun (1C, sahə tətbiqləri, avadanlıq) dekoderlər, qaydalar və inteqrasiyalar yazırıq — bu, açıq stekin əsas üstünlüyüdür.
• Monitorinq məlumatları harada saxlanacaq? Sizin meydançada və ya Azərbaycandakı gücümüzdə — məlumatlar sizin perimetrinizdə və ya ölkə daxilində qalır.
• Kritik infrastruktur tələblərini bağlamaq olarmı? Bəli, açıq stek məlumat mühafizəsi və kritik informasiya infrastrukturu (KII) tələblərinə uyğun qurulur. Konkret uyğunluq həcmini sizin öhdəliklərinizə görə müəyyən edirik.