Редакция журнала "Информационная безопасность", 24/02/25
В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации.
Функциональность каких смежных классов ИБ- и ИТ-решений вы планируете добавить в свой SIEM в ближайшие 2–3 года?
Дмитрий Шамаев, Газинформсервис:
- Использование среды оркестрации контейнерных систем для автоматизации развертывания, управления и масштабирования SIEM.
- Улучшенная интеграция с собственным программным комплексом поведенческой аналитики (Ankey ASAP).
- Развитие интерфейсов интеграции со сторонними системами поддержки принятия решений.
- Интеграция с системами управления доступом (SSO) – OAuth, SAML, OpenID.
Виктор Никуличев, R-Vision:
Компания R-Vision разрабатывает продукты для создания центров мониторинга кибербезопасности. Логичным продолжением этой работы станет интеграция R-Vision SIEM с другими решениями R-Vision. Это позволит:
- эффективно реагировать на инциденты;
- увеличить число кросс-продуктовых сценариев;
- управлять решением через единый интерфейс;
- обогащать данные с помощью R-Vision TIP и R-Vision VM;
- выявлять аномалии благодаря инструментам машинного обучения (ML) от R-Vision UEBA;
- собирать информацию с конечных устройств с помощью R-Vision Endpoint.
Даниил Вылегжанин, RuSIEM:
Мы выпустили продукт RuSIEM Monitoring, который позволяет отслеживать состояние объектов информационной инфраструктуры с точки зрения конфигурации, доступности, контроля нагрузки на конечные узлы, запущенных на них служб и процессов, а также имеющий встроенную систему Help Desk. Сначала предполагалось, что этот продукт будет самостоятельным, однако в настоящий момент мы работаем над более тесной интеграцией с нашей SIEM-системой, чтобы предоставить заказчикам возможности мониторинга конечных узлов из единого интерфейса. Мы также работаем над созданием EDR на базе нашего RuSIEM-агента и параллельно смотрим в сторону собственного IRP-/SOAR-решения.
Вадим Порошин, Пангео Радар:
- IRP. Частично это уже реализовано: выдаем рекомендации по устранению угроз и выявленным инцидентам, позволяем настраивать полный жизненный цикл инцидента, любые статусы, SLA, групповые действия.
- NTA. Во внутреннем контуре уже тестируется функционал решения на основе Suricata.
Павел Гончаров, Positive Technologies:
Мы идем в сторону развития функциональности, связанной с расширением возможности выявления атак с помощью Flowпротоколов от сетевых устройств. Мы будем расширять мониторинг источников. Кроме того, мы сосредотачиваем усилия на расширении возможностей технологии Asset Management в MaxPatrol SIEM, что позволит еще лучше выявлять Shadow IT (мы сможем не только проактивно выявлять новые активы, но и подключать их к мониторингу).
Мы будем развивать околопродуктовые сервисы, которые увеличат качество и скорость написания правил нормализации за счет использования больших языковых моделей. Мы расширяем возможности нашего умного помощника Behavior Anomaly Detection (BAD), который сможет выявлять все более сложные новые тактики и техники злоумышленников, подсказывать, какие действия нужно произвести для реагирования на инциденты. Мы добавляем инструменты, которые будут на понятном языке разъяснять то или иное срабатывание правил корреляции, а также причину, по которой BAD дал, например, высокую оценку риска того или иного события.
Николай Лишке, Эшелон Технологии:
ГК "Эшелон" разрабатывает линейку решений SIEM, VM, NTA, интеграция которых между собой будет все более тесной. В KOMRAD Enterprise SIEM функционал будет в первую очередь развиваться в части EDR (уже есть агенты), SOAR (уже есть автоматизация реагирования на уровне скриптов), IRP (уже есть подсистема управления инцидентами) и TI (уже есть табличные списки для использования индикаторов компрометации).
Дмитрий Пудов, NGR Softlab:
В составе Alertix уже есть функционал решений классов IM, TIP, ITAM, UBA, BI. Следуя тенденциям, мы планируем добавить возможность Response (IRP) и функции проверки соответствия стандартам (Сompliance Сheck как часть функций SGRC). Мы видим развитие нашей платформы в создании множества функциональных приложений, которые позволяют решать как ИБ-, так и распространенные ИТили бизнес-задачи. Например, мы активно развиваем собственный инструмент визуализации и разграничения доступа, что позволит применять решение и накопленные данные ИТспециалистам для диагностики или оценки утилизации ресурсов.
Павел Пугач, СёрчИнформ:
SIEM должна оставаться SIEM. Со смежными ИБ-задачами лучше справятся профильные системы – это наша ключевая позиция. При этом в "СёрчИнформ SIEM" реализованы функции расследования, реагирования, прогнозирования инцидентов благодаря интеграциям: встроенный сканер уязвимостей работает с девятью БДУ, Investigation-платформа интегрирована с ГосСОПКА и IRP для стандартизации процедур и отчетности, реагирование реализовано через запуск команд для внешнего ПО. Этого достаточно для решения смежных задач "в одном окне", при этом источником выступает экспертиза профильных ИБ-вендоров.
Илья Маркелов, Лаборатория Касперского:
Функции решений класса UEBA/UBA для поиска аномалий постепенно будут внедряться в SIEM-систему. Уже сейчас активно развиваются функции автоматизации и оркестрации реагирования, традиционно относимые к SOAR-решениям.
Функции управления активами и уязвимостями так же органично развиваются в рамках SIEM, а не только в отдельных решениях по инвентаризации активов (Asset Management) и Vulnerability Management.
Для выявления инцидентов SIEM-решения должны использовать знания об угрозах, поэтому в них появляются функции для управления фидами Threat Intelligence, характерными для TI Platform. И, наконец, перспективным выглядит конвергенция с решениями для анализа внешнего периметра (EASM), так как применение этих данных в SIEM позволяет провести анализ возможных утечек или компрометаций внешних ресурсов.
Как изменяется подход к управлению данными в SIEM, учитывая возрастающее разнообразие источников и увеличение объема событий?
Дмитрий Шамаев, Газинформсервис:
Сомневаюсь, что возрастающее разнообразие источников событий может существенно повлиять на подходы к управлению данными в SIEM, так как до попадания практически в любую SIEM-систему сырые события от различных источников проходят этап нормализации, а после приводятся к единому формату, который у каждой SIEM-системы свой.
А вот увеличение объема событий неизбежно приводит к необходимости решения проблем с хранением как в оперативном доступе, так и в архивном. Компоненты подсистемы хранения событий SIEM постоянно совершенствуются, оптимизируются форматы хранения для более компактного хранения событий и более быстрого поиска, улучшаются функции архивации и разархивации событий.
Дмитрий Пудов, NGR Softlab:
Есть несколько стратегий, реализуемых на практике. Если смотреть на мировой опыт, большинство вендоров двигаются в сторону Security Data Lakes, спроектированных для работы с Big Data. Есть альтернативный сценарий – использование более жестких моделей данных, которые позволяют оптимизировать объемы хранилищ и скорость обработки, но требуют больше усилий на этапах подготовки данных.
Вадим Порошин, Пангео Радар:
Один из приоритетов – сжатие данных, на разных этапах их обработки и хранения. Большое внимание уделяем повышению общей производительности системы, постоянно проводим нагрузочные тесты и всего пайплайна, и каждого сервиса в отдельности. Находим узкие места, проводим доработки.
Павел Гончаров, Positive Technologies:
Развитие получат продуктовые сервисы, которые позволят кратно ускорить написание правил нормализации и оперативно поддерживать новые источники за счет применения технологий ML. Мы также вкладываем много ресурсов в разработку нашей собственной системы управления базами данных LogSpace, которая с помощью адаптированной технологии сжатия данных позволяет до 6–7 раз сократить объемы используемого дискового пространства для хранения все возрастающего потока данных.
Илья Маркелов, Лаборатория Касперского:
Повышаются требования к предварительной обработке и аналитическим возможностям: человек не может без помощи системы проработать в рамках Threat Hunting огромные объемы данных. Соответственно, от SIEM системы ожидается:
- Формирование контекста. Необходимо предоставить аналитику полную картину по каждому срабатыванию, чтобы сократить время и усилия на сбор контекстной информации для принятия решения.
- Автоматизация. От развертывания и подключения источников до реагирования на инциденты. Система проводит пользователя по сценариям, чтобы не допускать ошибок и повысить скорость работы.
- AI. Рост популярности ChatGPT, развитие автономных автомобилей и подобных технологий формирует ожидания все большей автономности систем ИБ, в том числе SIEM-решений. Однако здесь важно проявлять сдержанный оптимизм, учитывая высокую критичность роли ИБ. Не стоит ожидать, что в обозримой перспективе ИИ сможет заменить аналитика SIEM. Но определенно, аналитик SIEM, применяющий такие средства, получает множество преимуществ перед теми, кто их не использует.
На глобальном рынке есть удачные примеры применения ИИ в SIEM для помощи в приоритизации, описании алертов и рекомендаций по реагированию. В ближайшее время подобные технологии все шире начнут применяться в SIEM.
Виктор Никуличев, R-Vision:
В большом количестве источников нет ничего нового. В Enterprise-сегменте всегда было большое разнообразие систем-источников. В такой ситуации преобладает важность коннекторов, и легкость подключения данных источников к SIEM. Большое количество событий меняет фокус анализа с точечных событий на тренды и объемы. При этом сохраняется важность всех правил корреляции и анализа событий, так как это зависит от текущих киберугроз и внешних систем. Тем не менее, меняется схема расследования, так как становится все труднее работать со всеми событиями одновременно. В результате подход меняется от "от меньшего к большему" к "от большего к меньшему". Гибкие инструменты поиска, такие как механизмы работы со статистикой событий и временные шкалы, помогают пользователям в этой ситуации быстро получить всевозможные срезы по данным и быстро ориентироваться в больших объемах информации.
Павел Пугач, СёрчИнформ:
Подход к управлению данными у нас не меняется. Число источников не ограничено, они подключаются через универсальные коннекторы (по международным стандартам, например, Syslog), специальные коннекторы или CustomConnector, если источник нестандартный. При росте объема логов от источника можно не опираться на его встроенные политики журналирования, а подключиться к нему напрямую. Это можно сделать с тем же CustomConnector или с помощью вычитки БД источника, чтобы забирать оттуда только нужные для SIEM данные, не перегружая систему.
Николай Лишке, Эшелон Технологии:
В части сбора событий мы реализовали все современные механизмы сбора событий как с агентами, так и без них. В результате подключение любого источника проблем не представляет. В части хранения событий мы одними из первых стали использовать ClickHouse, причем постоянно его обновляем. В KOMRAD Enterprise SIEM появилось горячее и холодное хранение, а данные о событиях максимально сжимаются.
