Контакты
Подписка 2025
Статьи по информационной безопасности

Какая функциональность появится в SIEM в ближайшие два-три года?

Редакция журнала "Информационная безопасность", 25/10/23

Системы класса SIEM (Security Information and Event Management), как и многие другие технологии в области кибербезопасности, продолжают активно эволюционировать и приспосабливаться к меняющимся угрозам и требованиям. Редакция журнала “Информационная безопасность” спросила у экспертов о перспективах развития систем SIEM.

ris33

Лидия Виткова, Газинформсервис:

В ближайшие два-три года SIEM исчезнет как класс: отечественные разработчики SIEM сформируют экосистемы, часть функций будет поглощена платформами аналитики данных о событиях информационной безопасности, а еще часть – полноценными агентами вроде EDR и XDR.

Даниил Вылегжанин, RuSIEM:

SIEM-решения будут все больше использовать механизмы искусственного интеллекта и машинного обучения для автоматизации анализа данных, обнаружения угроз, принятия решений и снижения уровня ложных срабатываний. SIEM-системы будут предлагать более продвинутые аналитические функции для обнаружения сложных и скрытых угроз, таких, как атаки на основе аномалий, внутренние угрозы и использование распределенных средств обхода. Продолжится развитие в направлении улучшения пользовательского опыта и предоставления более интуитивно понятного интерфейса и визуализации данных. Это поможет аналитикам безопасности лучше впоспринимать информацию, ускоряя процесс обнаружения и реагирования на инциденты.

Олег Акишев, NGR Softlab:

Тема машинного обучения и умного анализа достаточно актуальна последние несколько лет, а в последний год интерес на фоне популяризации языковых ассистентов вырос еще больше. Могу предположить, что развитие SIEM-систем пойдет в сторону внедрения интеллектуального анализа и поиска не конкретных событий, а аномалий в потоке (системы класса UBA). От правил корреляции мы перейдем к датасетам обучения моделей анализа событий и возможных атак. Работа аналитика будет занимать по большей части формирование этих датасетов и подтверждение уведомлений от таких умных систем. По нашему опыту, пользуется спросом совместное использование SIEM-системы Alertix и аналитической платформы Dataplan (UBA).

Вадим Порошин, Пангео Радар:

Как говорил один директор по безопасности в крупной государственной компании: "Пока вся ваша безопасность не поместится в смартфон, где будет выбор из двух кнопок, "реагировать" или "не реагировать", нам придется терпеть ущерб от действий злоумышленников, пытающихся навредить нашей инфраструктуре или заработать на нас". Хорошей перспективой было бы совершенствование алгоритмов так, чтобы непосредственное участие человека требовалось все меньше и меньше.

Павел Пугач, СёрчИнформ:

Буквально несколько лет назад мы все столкнулись с пандемией и массовой удаленкой. Потом – с санкциями и глобальным импортозамещением. В связи с этим были оперативно реализованы десятки и сотни решений. Считаю, что ближайшие два-три года класс SIEM будет сконцентрирован на том, чтобы "переварить" последствия: отшлифовать функциональность, навести лоск в продуктах. Прорывов я не ожидаю: пройдет эволюция того, чтобы было сделано за последние пять лет.

Алексей Дашков, R-Vision:

Сейчас системы класса SIEM активно наращивают весь необходимый функционал для полного покрытия задач TDIR (Threat Detection, Investigation, and Response), от организации сбора данных до автоматического реагирования на инцидент. Основными трендами на рынке SIEM являются использование искусственного интеллекта и автоматизации, расширение области видимости сетевых устройств и облака, интеграция с TI-сервисами, а также возможность совместной работы с другими системами безопасности для обеспечения полного цикла защиты информации.

Александр Скакунов, VolgaBlob:

Кроме возможностей применения ИИ, вектор развития, по нашему мнению, может сместиться в гибридные техники поиска по данным, не требующие индексации событий безопасности в едином хранилище данных. Это позволит SIEM нового поколения стоить поиск по данным там, где они уже предварительно собраны командами ИТ и ИБ. Это путь снижения TCO и создание универсальных механизмов анализа данных в различных хранилищах, как облачных, так и локальных.

Илья Маркелов, Лаборатория Касперского:

SIEM в ближайшие годы будут дополняться возможностями автоматизации и более широко интегрироваться с другими решениями по безопасности для создания экосистемы. Уже наблюдается значительное пересечение с подходом XDR и продуктами этого класса, уверены, что это продолжится. С высокой вероятностью возникнет востребованность облачных SIEM как более удобных для эксплуатации заказчиком. Наконец предполагаем, что важным станет дополнение SIEM данными о внешних рисках с помощью сервисов оценки угроз, нацеленных на конкретную организацию, чтобы учитывать в SIEM, какая информация уже доступна злоумышленникам.

Иван Прохоров, Positive Technologies:

Среди направлений развития SIEM-систем в ближайшие два-три года: автоматизация подключения инфраструктуры для мониторинга, предоставление качественной экспертизы из коробки, доступной для применения широким массам специалистов, использование технологий машинного обучения и искусственного интеллекта для анализа событий и построения цепочек атак, интеграция с внешними системами, участвующими в процессе выявления аномальных событий и анализа зарегистрированных инцидентов.
Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"