Компания R-Vision разрабатывает продукты для создания центров мониторинга кибербезопасности. Логичным продолжением этой работы станет интеграция R-Vision SIEM с другими решениями R-Vision. Это позволит:
Мы выпустили продукт RuSIEM Monitoring, который позволяет отслеживать состояние объектов информационной инфраструктуры с точки зрения конфигурации, доступности, контроля нагрузки на конечные узлы, запущенных на них служб и процессов, а также имеющий встроенную систему Help Desk. Сначала предполагалось, что этот продукт будет самостоятельным, однако в настоящий момент мы работаем над более тесной интеграцией с нашей SIEM-системой, чтобы предоставить заказчикам возможности мониторинга конечных узлов из единого интерфейса. Мы также работаем над созданием EDR на базе нашего RuSIEM-агента и параллельно смотрим в сторону собственного IRP-/SOAR-решения.
Мы идем в сторону развития функциональности, связанной с расширением возможности выявления атак с помощью Flowпротоколов от сетевых устройств. Мы будем расширять мониторинг источников. Кроме того, мы сосредотачиваем усилия на расширении возможностей технологии Asset Management в MaxPatrol SIEM, что позволит еще лучше выявлять Shadow IT (мы сможем не только проактивно выявлять новые активы, но и подключать их к мониторингу).
Мы будем развивать околопродуктовые сервисы, которые увеличат качество и скорость написания правил нормализации за счет использования больших языковых моделей. Мы расширяем возможности нашего умного помощника Behavior Anomaly Detection (BAD), который сможет выявлять все более сложные новые тактики и техники злоумышленников, подсказывать, какие действия нужно произвести для реагирования на инциденты. Мы добавляем инструменты, которые будут на понятном языке разъяснять то или иное срабатывание правил корреляции, а также причину, по которой BAD дал, например, высокую оценку риска того или иного события.
ГК "Эшелон" разрабатывает линейку решений SIEM, VM, NTA, интеграция которых между собой будет все более тесной. В KOMRAD Enterprise SIEM функционал будет в первую очередь развиваться в части EDR (уже есть агенты), SOAR (уже есть автоматизация реагирования на уровне скриптов), IRP (уже есть подсистема управления инцидентами) и TI (уже есть табличные списки для использования индикаторов компрометации).
В составе Alertix уже есть функционал решений классов IM, TIP, ITAM, UBA, BI. Следуя тенденциям, мы планируем добавить возможность Response (IRP) и функции проверки соответствия стандартам (Сompliance Сheck как часть функций SGRC). Мы видим развитие нашей платформы в создании множества функциональных приложений, которые позволяют решать как ИБ-, так и распространенные ИТили бизнес-задачи. Например, мы активно развиваем собственный инструмент визуализации и разграничения доступа, что позволит применять решение и накопленные данные ИТспециалистам для диагностики или оценки утилизации ресурсов.
SIEM должна оставаться SIEM. Со смежными ИБ-задачами лучше справятся профильные системы – это наша ключевая позиция. При этом в "СёрчИнформ SIEM" реализованы функции расследования, реагирования, прогнозирования инцидентов благодаря интеграциям: встроенный сканер уязвимостей работает с девятью БДУ, Investigation-платформа интегрирована с ГосСОПКА и IRP для стандартизации процедур и отчетности, реагирование реализовано через запуск команд для внешнего ПО. Этого достаточно для решения смежных задач "в одном окне", при этом источником выступает экспертиза профильных ИБ-вендоров.
Функции решений класса UEBA/UBA для поиска аномалий постепенно будут внедряться в SIEM-систему. Уже сейчас активно развиваются функции автоматизации и оркестрации реагирования, традиционно относимые к SOAR-решениям.
Функции управления активами и уязвимостями так же органично развиваются в рамках SIEM, а не только в отдельных решениях по инвентаризации активов (Asset Management) и Vulnerability Management.
Для выявления инцидентов SIEM-решения должны использовать знания об угрозах, поэтому в них появляются функции для управления фидами Threat Intelligence, характерными для TI Platform. И, наконец, перспективным выглядит конвергенция с решениями для анализа внешнего периметра (EASM), так как применение этих данных в SIEM позволяет провести анализ возможных утечек или компрометаций внешних ресурсов.
Сомневаюсь, что возрастающее разнообразие источников событий может существенно повлиять на подходы к управлению данными в SIEM, так как до попадания практически в любую SIEM-систему сырые события от различных источников проходят этап нормализации, а после приводятся к единому формату, который у каждой SIEM-системы свой.
А вот увеличение объема событий неизбежно приводит к необходимости решения проблем с хранением как в оперативном доступе, так и в архивном. Компоненты подсистемы хранения событий SIEM постоянно совершенствуются, оптимизируются форматы хранения для более компактного хранения событий и более быстрого поиска, улучшаются функции архивации и разархивации событий.
Есть несколько стратегий, реализуемых на практике. Если смотреть на мировой опыт, большинство вендоров двигаются в сторону Security Data Lakes, спроектированных для работы с Big Data. Есть альтернативный сценарий – использование более жестких моделей данных, которые позволяют оптимизировать объемы хранилищ и скорость обработки, но требуют больше усилий на этапах подготовки данных.
Один из приоритетов – сжатие данных, на разных этапах их обработки и хранения. Большое внимание уделяем повышению общей производительности системы, постоянно проводим нагрузочные тесты и всего пайплайна, и каждого сервиса в отдельности. Находим узкие места, проводим доработки.
Развитие получат продуктовые сервисы, которые позволят кратно ускорить написание правил нормализации и оперативно поддерживать новые источники за счет применения технологий ML. Мы также вкладываем много ресурсов в разработку нашей собственной системы управления базами данных LogSpace, которая с помощью адаптированной технологии сжатия данных позволяет до 6–7 раз сократить объемы используемого дискового пространства для хранения все возрастающего потока данных.
Повышаются требования к предварительной обработке и аналитическим возможностям: человек не может без помощи системы проработать в рамках Threat Hunting огромные объемы данных. Соответственно, от SIEM системы ожидается:
На глобальном рынке есть удачные примеры применения ИИ в SIEM для помощи в приоритизации, описании алертов и рекомендаций по реагированию. В ближайшее время подобные технологии все шире начнут применяться в SIEM.
В большом количестве источников нет ничего нового. В Enterprise-сегменте всегда было большое разнообразие систем-источников. В такой ситуации преобладает важность коннекторов, и легкость подключения данных источников к SIEM. Большое количество событий меняет фокус анализа с точечных событий на тренды и объемы. При этом сохраняется важность всех правил корреляции и анализа событий, так как это зависит от текущих киберугроз и внешних систем. Тем не менее, меняется схема расследования, так как становится все труднее работать со всеми событиями одновременно. В результате подход меняется от "от меньшего к большему" к "от большего к меньшему". Гибкие инструменты поиска, такие как механизмы работы со статистикой событий и временные шкалы, помогают пользователям в этой ситуации быстро получить всевозможные срезы по данным и быстро ориентироваться в больших объемах информации.
Подход к управлению данными у нас не меняется. Число источников не ограничено, они подключаются через универсальные коннекторы (по международным стандартам, например, Syslog), специальные коннекторы или CustomConnector, если источник нестандартный. При росте объема логов от источника можно не опираться на его встроенные политики журналирования, а подключиться к нему напрямую. Это можно сделать с тем же CustomConnector или с помощью вычитки БД источника, чтобы забирать оттуда только нужные для SIEM данные, не перегружая систему.
В части сбора событий мы реализовали все современные механизмы сбора событий как с агентами, так и без них. В результате подключение любого источника проблем не представляет. В части хранения событий мы одними из первых стали использовать ClickHouse, причем постоянно его обновляем. В KOMRAD Enterprise SIEM появилось горячее и холодное хранение, а данные о событиях максимально сжимаются.