Контакты
Подписка 2025

5 трендов SIEM-систем: как развивается технология за рубежом и чего ждать в России

Евгения Лагутина, 04/10/23

Поговорим об основных трендах в развитии SIEM-систем за рубежом и о том, насколько они совпадают с отечественными.

Автор: Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам “Лаборатории Касперского”

Облака

Значительное число зарубежных организаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возможностей сбора данных, – процессы взаимодействия систем для передачи информации в этом случае отличаются относительно локальной инфраструктуры.

В связи с трендом на "облачность" источников в облака постепенно "переезжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы существуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасности, которая всегда должна быть внутри периметра.

Новые форматы

В облачных инфраструктурах, вследствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a-Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайдеров, которые предоставляют SIEM как преднастроенное ПО вместе с облачными вычислительными ресурсами, стало расти.

Новый функционал

Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор требуемых возможностей.

Например, ранее SOAR-системы существовали отдельно, продавались и оценивались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компоненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автоматизации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подготовки по систематизации и формализации процессов. Таким образом, с расширением функционала SIEM-системы расширяются и требования к команде SOC.

Тренд на XDR

Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реагирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаимодействия в работу продукта уже на уровне архитектуры. SIEM-системы проходят путь от продвинутого лог-менеджмента к средству для реагирования на киберинциденты. Концепция XDR предполагает объединение нескольких классов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество разных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный специалист, который хорошо разбирается во всех составных частях этого "комбайна". Получается, что продукт необходимо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к предустановленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд.

Машинное обучение

Машинное обучение по-прежнему остается актуальным и модным, поскольку эти технологии действительно перспективны, однако все упирается в специфичность и узость сферы. SIEM-системы выполняют специфические задачи, технологии машинного обучения применимы только к части из них. На данный момент у некоторых вендоров SIEM-систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользователей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппаратную платформу, при этом решая достаточно узкую в контексте бизнеса задачу – помогая ИБ-специалистам автоматизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользователей. Поэтому на данный момент технологии машинного обучения встраивает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего.

ris27

Российские вендоры находятся в выигрышной позиции, поскольку могут проанализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Касперского" учитываем колоссальный наработанный опыт, добавляя в процесс разработки нашей SIEM-системы те функции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса.

Важная особенность российского рынка заключается в том, что он отличается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подкованы технически. Поэтому отечественные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически.

Темы:Лаборатория КасперскогоМашинное обучениеSIEMXDRЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Kaspersky NGFW – баланс между гибкостью, скоростью и безопасностью
    Дмитрий Головко, менеджер по продуктам облачной и сетевой безопасности “Лаборатории Касперского”
    NGFW – это не просто набор модулей, а тщательно выстроенная экосистема, где каждый компонент должен быть лучшим в своем классе и постоянно совершенствоваться, чтобы опережать актуальные угрозы. Рассмотрим, как Kaspersky NGFW стремится к тому, чтобы все элементы системы работали как единое целое, задавая новый стандарт в сетевой безопасности.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...