Евгения Лагутина, 04/10/23
Поговорим об основных трендах в развитии SIEM-систем за рубежом и о том, насколько они совпадают с отечественными.
Автор: Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам “Лаборатории Касперского”
Облака
Значительное число зарубежных организаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возможностей сбора данных, – процессы взаимодействия систем для передачи информации в этом случае отличаются относительно локальной инфраструктуры.
В связи с трендом на "облачность" источников в облака постепенно "переезжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы существуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасности, которая всегда должна быть внутри периметра.
Новые форматы
В облачных инфраструктурах, вследствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a-Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайдеров, которые предоставляют SIEM как преднастроенное ПО вместе с облачными вычислительными ресурсами, стало расти.
Новый функционал
Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор требуемых возможностей.
Например, ранее SOAR-системы существовали отдельно, продавались и оценивались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компоненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автоматизации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подготовки по систематизации и формализации процессов. Таким образом, с расширением функционала SIEM-системы расширяются и требования к команде SOC.
Тренд на XDR
Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реагирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаимодействия в работу продукта уже на уровне архитектуры. SIEM-системы проходят путь от продвинутого лог-менеджмента к средству для реагирования на киберинциденты. Концепция XDR предполагает объединение нескольких классов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество разных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный специалист, который хорошо разбирается во всех составных частях этого "комбайна". Получается, что продукт необходимо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к предустановленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд.
Машинное обучение
Машинное обучение по-прежнему остается актуальным и модным, поскольку эти технологии действительно перспективны, однако все упирается в специфичность и узость сферы. SIEM-системы выполняют специфические задачи, технологии машинного обучения применимы только к части из них. На данный момент у некоторых вендоров SIEM-систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользователей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппаратную платформу, при этом решая достаточно узкую в контексте бизнеса задачу – помогая ИБ-специалистам автоматизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользователей. Поэтому на данный момент технологии машинного обучения встраивает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего.
Российские вендоры находятся в выигрышной позиции, поскольку могут проанализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Касперского" учитываем колоссальный наработанный опыт, добавляя в процесс разработки нашей SIEM-системы те функции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса.
Важная особенность российского рынка заключается в том, что он отличается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подкованы технически. Поэтому отечественные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически.
