Controlando o custo de SIEM
w hi te pa per
Um guia para departamentos de segurança
com recursos limitados
Pergunte à maioria dos profissionais de segurança sobre a abordagem SIEM e você ouvirá as palavras
“é caro”, “consome tempo” e “é difícil”. Ao mesmo tempo, a maioria concorda que os benefícios que
um SIEM pode oferecer são essenciais a qualquer estratégia de segurança — sem contar o alívio ao
passar por uma auditoria de conformidade. A promessa do SIEM é fornecer percepção situacional
contínua, relatórios de conformidade automatizados e suporte ao processo de resposta a incidentes
através de análise de causa-raiz e servir como uma plataforma de investigação. Infelizmente, devido
aos aspectos negativos percebidos, os departamentos de segurança menores e com recursos mais
limitados que precisam mais urgentemente de aprimoramentos em automação e segurança que o
SIEM pode oferecer não acreditam que os benefícios estão ao seu alcance.
w hi te pa per
Mas, existem boas notícias! Todos esses aspectos negativos ainda existem, mas somente quando
uma organização compra o SIEM errado para o seu tamanho e suas necessidades. A SolarWinds®
oferece um SIEM mais simples e econômico que elimina a complexidade do SIEM empresarial e
os problemas de custo. Ele foi especialmente desenvolvido para o profissional de segurança com
recursos limitados. Este documento analisa os aspectos econômicos do SIEM descrevendo as várias
armadilhas de custo e desvantagens da implementação e demonstrando como o SolarWinds Log &
Event Manager ajuda as organizações a obterem o poder do SIEM sem o custo.
Fatores que afetam o custo do SIEM
Ao analisar uma implementação do SIEM, o custo da licença pode ser apenas a ponta do iceberg. A maioria dos
SIEMs é complexa – por ter sido desenvolvida para uso empresarial – o que exige muito trabalho adicional. Outros
custos potenciais do SIEM incluem:
Consultoria
Muitos SIEMs (ou “alternativas” de SIEM) exigem consultoria para implantação. E, para muitos dos SIEMs mais
complexos e “alternativas” do SIEM, é necessário uma consultoria para personalização básica.
Administradores para gerenciar/ajustar dados
Muitos SIEMs não possuem bancos de dados autogerenciáveis, ou seja, é necessário empregar talento de
administradores de bancos de dados para configurar a operação básica do sistema. Além disso, o manuseio ineficiente
dos dados pode exigir ajustes contínuos de dados.
Hardware
O aplicativo SIEM causa muita pressão sobre qualquer banco de dados. As altas taxas de inserção em tempo
real, a análise simultânea e a recuperação de dados o tornam um aplicativo de baixo desempenho. Obviamente,
mais usuários exigem mais hardware. Mas, o que geralmente as pessoas esquecem é que mais recursos também
exigem mais hardware.
Altos custos de suporte
A maioria dos SIEMs é cara, com uma média de preço acima de US$ 50.000. Com o alto custo de licença vem
uma alta conta de manutenção que deve ser renovada anualmente.
EPS ou expansão de licença por indexação
A maioria dos custos de licença do SIEM é baseada em “eventos por segundo”. Uma alternativa popular, porém
complexa do SIEM, licencia produtos com base em “Mb indexados por dia”. A Gartner estima que os volumes
de dados estão duplicando anualmente, o que significa que os custos de licença também devem aumentar. E,
2
voltando ao ponto anterior, os custos de suporte também aumentam.
Componentes complementares
Normalmente, os fornecedores do SIEM incentivam a compra de componentes complementares com seus
produtos, o que aumenta os custos para os clientes. Independentemente das cobranças serem relacionadas a
conectores individuais, pacotes de conteúdo, módulos de análises adicionais ou “aplicativos”, sempre haverá um
novo complemento que o seu representante de vendas incentivará você a comprar.
Armazenamento
Uma função essencial de um SIEM é armazenar dados de logs e de eventos para arquivamentos e análises
históricas. Dependendo da taxa de compactação e do método usado, os custos de armazenamento podem ser
gerenciáveis ou sair totalmente do controle.
Tipos de produtos e custos do SIEM
Ao longo dos anos, o SIEM “tradicional” tem sido acompanhado por inúmeras alternativas. Os prós e contras dos
custos do SIEM supracitados variam de acordo com a abordagem. Esses custos são estabelecidos levando-se
em conta as necessidades dos departamentos de segurança menores e com recursos limitados. No entanto, os
custos correspondem ao crescimento e à expansão da empresa.
w hi te pa per
SIEM tradicional para empresas
Os produtos SIEM tradicionais para empresas foram desenvolvidos para grandes centros de operações de
segurança. Entretanto, em virtude do aumento das necessidades de conformidade com regulamentos, esses SIEMs
foram vendidos às organizações que não tinham os funcionários ou os recursos para gerenciá-los. Normalmente,
os SIEMs têm um custo de licença muito alto (a partir de US$ 50.000), bem como inúmeros complementos.
Hardware, armazenamento e consultoria também são requisitos de alto custo desses produtos. Além disso, a
complexidade dos produtos exige treinamento extensivo por parte dos funcionários para gerenciarem e usarem
o SIEM.
O SIEM evoluiu a partir de gerenciadores de logs
Muitas empresas de gerenciamento de logs entraram no mercado do SIEM e gradualmente incluíram
funcionalidade semelhante à do SIEM em seus produtos. Elas também modificaram seu modelo de preços –
normalmente a partir de US$ 20.000 para a inclusão de funcionalidade do SIEM, aumentando os custos com
recursos complementares. O custo desses SIEMs (uma barreira comum para resolver o desafio do SIEM) é mais
difícil de quantificar. No entanto, a falta de recursos de correlação avançados, a percepção de tempo real limitada
e a falta de inteligência incorporada causam um prejudicam bastante a integridade da segurança.
Análises de segurança
Normalmente, os produtos de análises de segurança não são SIEMs. Eles são produtos que registram atividades
diretamente da rede e podem combinar esses registros com logs. Além dos custos de licença, o armazenamento
é muito caro devido à natureza exaustiva desses produtos. Os benefícios adicionais de registrar tudo na rede
são tipicamente reduzidos por problemas de armazenamento grande e gerenciamento de eventos abaixo das
expectativas.
Pesquisa de TI/gerenciamento de grandes dados de TI
Esses produtos começaram como um produto geral de gerenciamento de dados de TI e pesquisa. Contudo,
ao longo dos anos, eles foram comercializados com base no caso de uso do SIEM, e os custos gerais para essa
abordagem continuam aumentando. O modelo de licenciamento de Mb indexado por dia é uma estratégia
dispendiosa com altas taxas de consultoria para implantação e personalização. Os complementos também são
um fator com “aplicativos” caros. O maior custo oculto desses produtos, porém, é a grande quantidade de tempo
e conhecimentos técnicos necessários para tornar esse método parecido com a abordagem SIEM.
3
Mudança dos aspectos econômicos
A SolarWinds permite que os departamentos de segurança com recursos limitados mudem os fatores econômicos
do SIEM oferecendo um SIEM desenvolvido especificamente para suas necessidades. Incluímos os recursos mais
importantes do SIEM, mas excluímos os recursos não essenciais que raramente são usados e que o tornam mais
complexo. A SolarWinds muda os aspectos econômicos do SIEM da seguinte forma:
Dispensa consultoria
Desenvolvemos nosso SIEM especificamente para departamentos com poucos recursos. Dessa forma,
garantimos uma implantação rápida e fácil. Não acredita? Baixe nossa avaliação gratuita e comprove você
mesmo www.solarwinds.com/lem.
Dispensa administrador de banco de dados ou gerenciamento e alimentação constantes
Empregamos muito esforço em tornar nosso banco de dados autogerenciável. Ou seja, dispensa recursos de
administração de bancos de dados dispendiosos ou gerenciamento de dados constante.
Hardware
w hi te pa per
Precisamos de hardware, porque excluímos recursos empresariais não essenciais que colocam mais pressão
sobre o banco de dados e o aplicativo SIEM. Mesmo assim, nosso produto exige bem menos hardware para
execução do que os produtos SIEM tradicionais de nível empresarial.
Custos de suporte
Nossos custos de suporte são menores, porque nossos preços são bem menores – normalmente, 10-20%
comparados a outros SIEMs. Podemos fazer isso porque não estamos gastando um orçamento de desenvolvimento
enorme para oferecer suporte a produtos empresariais de um único uso. Isso resulta em uma economia de custo
significativa que nós passamos diretamente aos nossos clientes.
Preços baseados em nó simples
Você paga somente pelo número de nós que alimentam o SIEM, não pela taxa de eventos ou índices. Ou seja, a
menos que você decida expandir sua implementação para um número de sistemas muito maior, você não terá
custos de licença adicionais.
Tudo em um
O SolarWinds Log & Event Manager vai muito além do SIEM tradicional. Oferecemos correções extensivas,
bloqueios de USB e auditoria de bancos de dados.
Armazenamento
O SolarWinds Log & Event Manager minimiza os custos gerais de armazenamento utilizando uma estratégia
simples e transparente para oferecer melhor segurança e uma alta taxa de compactação.
Resumo
As organizações de todos os tamanhos podem se beneficiar do SIEM, mas apenas quando selecionam o método
e o produto que melhor atendem às suas necessidades.
Saiba mais sobre o SolarWinds Log & Event Manager ou baixe-o hoje mesmo. Acesse www.solarwinds.com/lem.
4