Контакты
Подписка 2024

5 трендов SIEM-систем: как развивается технология за рубежом и чего ждать в России

Евгения Лагутина, 04/10/23

Поговорим об основных трендах в развитии SIEM-систем за рубежом и о том, насколько они совпадают с отечественными.

Автор: Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам “Лаборатории Касперского”

Облака

Значительное число зарубежных организаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возможностей сбора данных, – процессы взаимодействия систем для передачи информации в этом случае отличаются относительно локальной инфраструктуры.

В связи с трендом на "облачность" источников в облака постепенно "переезжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы существуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасности, которая всегда должна быть внутри периметра.

Новые форматы

В облачных инфраструктурах, вследствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a-Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайдеров, которые предоставляют SIEM как преднастроенное ПО вместе с облачными вычислительными ресурсами, стало расти.

Новый функционал

Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор требуемых возможностей.

Например, ранее SOAR-системы существовали отдельно, продавались и оценивались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компоненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автоматизации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подготовки по систематизации и формализации процессов. Таким образом, с расширением функционала SIEM-системы расширяются и требования к команде SOC.

Тренд на XDR

Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реагирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаимодействия в работу продукта уже на уровне архитектуры. SIEM-системы проходят путь от продвинутого лог-менеджмента к средству для реагирования на киберинциденты. Концепция XDR предполагает объединение нескольких классов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество разных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный специалист, который хорошо разбирается во всех составных частях этого "комбайна". Получается, что продукт необходимо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к предустановленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд.

Машинное обучение

Машинное обучение по-прежнему остается актуальным и модным, поскольку эти технологии действительно перспективны, однако все упирается в специфичность и узость сферы. SIEM-системы выполняют специфические задачи, технологии машинного обучения применимы только к части из них. На данный момент у некоторых вендоров SIEM-систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользователей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппаратную платформу, при этом решая достаточно узкую в контексте бизнеса задачу – помогая ИБ-специалистам автоматизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользователей. Поэтому на данный момент технологии машинного обучения встраивает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего.

ris27

Российские вендоры находятся в выигрышной позиции, поскольку могут проанализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Касперского" учитываем колоссальный наработанный опыт, добавляя в процесс разработки нашей SIEM-системы те функции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса.

Важная особенность российского рынка заключается в том, что он отличается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подкованы технически. Поэтому отечественные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически.

Темы:Лаборатория КасперскогоМашинное обучениеSIEMXDRЖурнал "Информационная безопасность" №4, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Кибериммунитет для тонких клиентов
    Михаил Левинский, старший менеджер по продукту, “Лаборатория Касперского”
    Есть разные взгляды на тонкие клиенты и принципы построения их архитектуры. И хотя самих тонких клиентов на российском рынке не так много, решение “Лаборатории Касперского” явно выделяется среди всех за счет заложенной в нем кибериммунности. Разберемся, что это означает на практике и какие инструменты для контроля и управления это дает для специалистов по информационной безопасности.
  • SIEM – это ядро системы информационной безопасности
    Максим Степченков, совладелец компании RuSIEM
    Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – рассказал основатель и совладелец компании RuSIEM Максим Степченков.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...