Контакты
Подписка 2024

5 трендов SIEM-систем: как развивается технология за рубежом и чего ждать в России

Евгения Лагутина, 04/10/23

Поговорим об основных трендах в развитии SIEM-систем за рубежом и о том, насколько они совпадают с отечественными.

Автор: Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам “Лаборатории Касперского”

Облака

Значительное число зарубежных организаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возможностей сбора данных, – процессы взаимодействия систем для передачи информации в этом случае отличаются относительно локальной инфраструктуры.

В связи с трендом на "облачность" источников в облака постепенно "переезжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы существуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасности, которая всегда должна быть внутри периметра.

Новые форматы

В облачных инфраструктурах, вследствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a-Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайдеров, которые предоставляют SIEM как преднастроенное ПО вместе с облачными вычислительными ресурсами, стало расти.

Новый функционал

Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор требуемых возможностей.

Например, ранее SOAR-системы существовали отдельно, продавались и оценивались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компоненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автоматизации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подготовки по систематизации и формализации процессов. Таким образом, с расширением функционала SIEM-системы расширяются и требования к команде SOC.

Тренд на XDR

Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реагирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаимодействия в работу продукта уже на уровне архитектуры. SIEM-системы проходят путь от продвинутого лог-менеджмента к средству для реагирования на киберинциденты. Концепция XDR предполагает объединение нескольких классов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество разных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный специалист, который хорошо разбирается во всех составных частях этого "комбайна". Получается, что продукт необходимо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к предустановленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд.

Машинное обучение

Машинное обучение по-прежнему остается актуальным и модным, поскольку эти технологии действительно перспективны, однако все упирается в специфичность и узость сферы. SIEM-системы выполняют специфические задачи, технологии машинного обучения применимы только к части из них. На данный момент у некоторых вендоров SIEM-систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользователей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппаратную платформу, при этом решая достаточно узкую в контексте бизнеса задачу – помогая ИБ-специалистам автоматизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользователей. Поэтому на данный момент технологии машинного обучения встраивает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего.

ris27

Российские вендоры находятся в выигрышной позиции, поскольку могут проанализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Касперского" учитываем колоссальный наработанный опыт, добавляя в процесс разработки нашей SIEM-системы те функции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса.

Важная особенность российского рынка заключается в том, что он отличается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подкованы технически. Поэтому отечественные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически.

Темы:Лаборатория КасперскогоМашинное обучениеSIEMXDRЖурнал "Информационная безопасность" №4, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать