Редакция журнала "Информационная безопасность", 25/10/23
Системы класса SIEM (Security Information and Event Management), как и многие другие технологии в области кибербезопасности, продолжают активно эволюционировать и приспосабливаться к меняющимся угрозам и требованиям. Редакция журнала “Информационная безопасность” спросила у экспертов о перспективах развития систем SIEM.
Лидия Виткова, Газинформсервис:
В ближайшие два-три года SIEM исчезнет как класс: отечественные разработчики SIEM сформируют экосистемы, часть функций будет поглощена платформами аналитики данных о событиях информационной безопасности, а еще часть – полноценными агентами вроде EDR и XDR.
Даниил Вылегжанин, RuSIEM:
SIEM-решения будут все больше использовать механизмы искусственного интеллекта и машинного обучения для автоматизации анализа данных, обнаружения угроз, принятия решений и снижения уровня ложных срабатываний. SIEM-системы будут предлагать более продвинутые аналитические функции для обнаружения сложных и скрытых угроз, таких, как атаки на основе аномалий, внутренние угрозы и использование распределенных средств обхода. Продолжится развитие в направлении улучшения пользовательского опыта и предоставления более интуитивно понятного интерфейса и визуализации данных. Это поможет аналитикам безопасности лучше впоспринимать информацию, ускоряя процесс обнаружения и реагирования на инциденты.
Олег Акишев, NGR Softlab:
Тема машинного обучения и умного анализа достаточно актуальна последние несколько лет, а в последний год интерес на фоне популяризации языковых ассистентов вырос еще больше. Могу предположить, что развитие SIEM-систем пойдет в сторону внедрения интеллектуального анализа и поиска не конкретных событий, а аномалий в потоке (системы класса UBA). От правил корреляции мы перейдем к датасетам обучения моделей анализа событий и возможных атак. Работа аналитика будет занимать по большей части формирование этих датасетов и подтверждение уведомлений от таких умных систем. По нашему опыту, пользуется спросом совместное использование SIEM-системы Alertix и аналитической платформы Dataplan (UBA).
Вадим Порошин, Пангео Радар:
Как говорил один директор по безопасности в крупной государственной компании: "Пока вся ваша безопасность не поместится в смартфон, где будет выбор из двух кнопок, "реагировать" или "не реагировать", нам придется терпеть ущерб от действий злоумышленников, пытающихся навредить нашей инфраструктуре или заработать на нас". Хорошей перспективой было бы совершенствование алгоритмов так, чтобы непосредственное участие человека требовалось все меньше и меньше.
Павел Пугач, СёрчИнформ:
Буквально несколько лет назад мы все столкнулись с пандемией и массовой удаленкой. Потом – с санкциями и глобальным импортозамещением. В связи с этим были оперативно реализованы десятки и сотни решений. Считаю, что ближайшие два-три года класс SIEM будет сконцентрирован на том, чтобы "переварить" последствия: отшлифовать функциональность, навести лоск в продуктах. Прорывов я не ожидаю: пройдет эволюция того, чтобы было сделано за последние пять лет.
Алексей Дашков, R-Vision:
Сейчас системы класса SIEM активно наращивают весь необходимый функционал для полного покрытия задач TDIR (Threat Detection, Investigation, and Response), от организации сбора данных до автоматического реагирования на инцидент. Основными трендами на рынке SIEM являются использование искусственного интеллекта и автоматизации, расширение области видимости сетевых устройств и облака, интеграция с TI-сервисами, а также возможность совместной работы с другими системами безопасности для обеспечения полного цикла защиты информации.
Александр Скакунов, VolgaBlob:
Кроме возможностей применения ИИ, вектор развития, по нашему мнению, может сместиться в гибридные техники поиска по данным, не требующие индексации событий безопасности в едином хранилище данных. Это позволит SIEM нового поколения стоить поиск по данным там, где они уже предварительно собраны командами ИТ и ИБ. Это путь снижения TCO и создание универсальных механизмов анализа данных в различных хранилищах, как облачных, так и локальных.
Илья Маркелов, Лаборатория Касперского:
SIEM в ближайшие годы будут дополняться возможностями автоматизации и более широко интегрироваться с другими решениями по безопасности для создания экосистемы. Уже наблюдается значительное пересечение с подходом XDR и продуктами этого класса, уверены, что это продолжится. С высокой вероятностью возникнет востребованность облачных SIEM как более удобных для эксплуатации заказчиком. Наконец предполагаем, что важным станет дополнение SIEM данными о внешних рисках с помощью сервисов оценки угроз, нацеленных на конкретную организацию, чтобы учитывать в SIEM, какая информация уже доступна злоумышленникам.
Иван Прохоров, Positive Technologies:
Среди направлений развития SIEM-систем в ближайшие два-три года: автоматизация подключения инфраструктуры для мониторинга, предоставление качественной экспертизы из коробки, доступной для применения широким массам специалистов, использование технологий машинного обучения и искусственного интеллекта для анализа событий и построения цепочек атак, интеграция с внешними системами, участвующими в процессе выявления аномальных событий и анализа зарегистрированных инцидентов.
