Контакты
Подписка 2026

Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков

Павел Пугач, 07/10/24

Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

Вспомним основы

Основная задача SIEM – мониторинг событий безопасности, выявление и управление инцидентами. Происходить это должно в три этапа.

  1. SIEM подключается к источникам в ИТ-инфраструктуре. Источниками могут выступать ПО, оборудование, сетевые узлы, сторонние ИБ-системы. SIEM должна уметь вбирать в себя максимум, чтобы провести полную инвентаризацию контролируемой инфраструктуры. А затем привести все полученные данные к однородному и читаемому виду, чтобы эффективно с ними работать – это этапы агрегации и нормализации данных.
  2. SIEM отбирает в потоке данных из источников информацию о событиях, потенциально влияющих на ИБ, – это таксономия – этап, на котором система структурирует полученные данные по типам, чтобы затем соотнести их между собой, за что, в свою очередь, отвечают автоматические правила. Хорошо, если пользователь может создать собственные правила или импортировать классификацию событий из источника.
  3. SIEM сопоставляет события безопасности, чтобы обнаружить инцидент. Система делает это на основе правил корреляции – алгоритмов, которые находят взаимосвязь между событиями в одном или нескольких источниках. Например, если в течение пяти минут за ПК более десяти раз сработало правило "ввод неправильного пароля", то, возможно, это попытка взлома с помощью брутфорса. Или, если в течение часа на нескольких ПК выключился антивирус, и началось массовое изменение файлов, то это признак работы шифровальщика. После выявления инцидента SIEM оперативно уведомляет о нем службу ИБ.

SIEM буквально должна только вычитывать и сопоставлять события из разных источников. От нее не требуется глубокое расследование атак, аварий, компрометаций, если они выходят за рамки периметра. Однако, при избытке данных об инциденте логично желание их проанализировать, чтобы докопаться до причин, установить виновников и их мотивы. Отсюда – запрос заказчиков на расширение возможностей расследования. К тому же, раз SIEM обнаруживает проблемы, то можно ожидать их решения в той же консоли – напрашивается функционал реагирования. И наконец, имея полную картину происходящего в инфраструктуре, хочется знать, откуда ждать проблем, а именно прогнозировать инциденты и проактивно их предотвращать.

Это логичный путь развития систем, и фактически по нему идут все вендоры. На первый взгляд это очевидный плюс – заказчику так удобнее. Но увлечение такими улучшениями грозит увести SIEM от решения первоначальных задач, что в итоге снизит ее эффективность. Рассмотрим, каким образом.

Обратная сторона роста

Для начала приведу простой пример. Многие SIEM сегодня внедряют сценарии развития инцидентов по матрице MITRE ATT&CK. Эти сценарии дополняют правила обнаружения инцидентов и основаны на пошаговом анализе хода атаки – действий, которые злоумышленник совершит в инфраструктуре. По идее, это дает продвинутые возможности расследования, но на практике ряд SIEM с внедренной матрицей MITRE ATT&CK предлагают игнорировать незначительные события ИБ, пока они не сложатся в сценарий. Например, ждут, пока брутфорс пароля учетной записи завершится успехом, чтобы точнее определить, в чем цель атаки, какой элемент инфраструктуры будет атакован следующим, и где нужна особая защита. Но что важнее: определить чего хочет преступник или остановить его сразу, не допустив ущерба?

Выяснение мотивов и логики киберпреступников – не задача корпоративной ИБ. Ловить и выслеживать хакеров – прерогатива специальных органов. А компаниям первостепенно – защищаться. Получается, что SIEM, которая работает по матрице, отнимает у ИБ-отдела время на оперативное противодействие угрозе.

Приведу другой пример про реагирование на инциденты. Чтобы остановить атаку, SIEM нужно вмешаться в ход работы конкретных элементов инфраструктуры. Часто, особенно при работе с оборудованием, это требует нетипичной для SIEM архитектуры: работы в конечных точках (то есть наличия агентов). Качественная реализация такой функции требует от вендора SIEM полной перестройки системы, то есть превращает ее в другой продукт. А заодно лишает характерных для сетевой модели работы преимуществ вроде охватности, ведь агенты невозможно внедрить на все конечные точки.

То же касается предиктивной аналитики. Самый понятный способ спрогнозировать проблему – найти уязвимости в инфраструктуре. Но хороший Vulnerability Management тоже требует глубокого сканирования конечных точек, а в идеале – работу через агенты.

Есть и совсем специфические примеры: внедрение в SIEM элементов ИИ призвано автоматизировать выявление инцидента. При этом ИИ должен заменить человека в интуитивных задачах (если мы говорим про ИИ, а не про машинное обучение). Но в SIEM он анализирует данные от источников, а если источник скомпрометирован, то данным из него нельзя доверять. Соответственно, снова требуется "человеческая" аналитика, ведь у машины просто не будет достоверных данных для анализа. В итоге эта функция, как минимум, не дает желаемого результата, а чаще просто бесполезна.

Наконец, дополнительный функционал повышает как аппаратные требования к системе, так и требования к квалификации ИБ-специалистов для работы с продвинутыми фичами.

ris1-Oct-07-2024-08-08-15-1954-AM

Как найти баланс?

В первую очередь стоит помнить, что SIEM должна без проблем выполнять свои "родные" задачи. В конечном итоге дополнительный функционал – не универсальная потребность заказчиков SIEM, и у большинства побочных задач уже есть свои решения в виде специально под них созданных продуктов.

В развитии "СёрчИнформ SIEM" мы в первую очередь опираемся на требования к SIEM как к классу: расширяем количество контролируемых источников, повышаем качество аналитики – таксономии и корреляций. При этом первостепенно поддерживаем источники, которые требуются нашим заказчикам. Например, за последнее время, учитывая запросы клиентов, мы выпустили коннекторы к российским "АПКШ Континент", "1С ЗУП", UserGate, VipNet и Secret Net, обновили – к Astra Linux и ОС Альт.

Рыночные тренды мы, конечно, не игнорируем: ведь их тоже диктует заказчик. Для прогнозирования у нас есть встроенный сканер уязвимостей, который использует данные сразу из девяти авторитетных БДУ, включая базу ФСТЭК России. Есть инструменты расследования, например Task Management для командной работы над инцидентами – с интеграцией с ГосСОПКА и IRP. Функционал реагирования реализован через внешние приложения, которые SIEM запускает и инструктирует о том, как поступить с угрозой.

Наша ключевая позиция: задачи других продуктов лучше нас решат вендоры, которые на них специализируются. Их экспертизу мы привлекаем в качестве источников, поэтому делаем ставку на интеграции. Так, "СёрчИнформ SIEM" получает данные ото всех ключевых ИБ-систем: от антивирусов до XDR, IDS, NGFW, различных TI-инструментов и т.д. Иногда для такой интеграции необязательно даже писать отдельный коннектор, достаточно открытого API.

Таким образом, получаем сбалансированный вариант. У заказчиков "СёрчИнформ SIEM достаточно встроенных инструментов, чтобы решить дополнительные задачи (расследование, реагирование, прогнозирование) на базовом уровне. Возможностей интеграции хватит, чтобы усилить сразу весь контур защиты, когда по этим задачам SIEM будет обмениваться данными с профильными ИБ-системами.

В заключение

Развитие систем SIEM неизбежно, они продолжат обрастать дополнительными функциями. Вопрос в том, каким образом это будет происходить. Реализуя нестандартные фичи, вендор рискует превратить SIEM в комбайн размытого назначения. В результате пострадает заказчик: если все силы вендора направлены в сторону, то может простаивать исправление багов, разработка новых коннекторов, совершенствование инструментов аналитики. А в итоге такая система не будет закрывать нормативы (если они предписывают компании иметь IRP, то регулятора не устроит, что задачу решает SIEM, как хорошо бы в ней ни работало реагирование). Поэтому выбирать SIEM по дополнительным возможностям порой излишне – нет смысла доплачивать за них, если есть инструменты, решающие задачу гораздо проще.

Мы делаем классическую SIEM, которая расширяет привычные возможности класса за счет поддержки внешней профессиональной экспертизы. Благодаря этому она с одной стороны эффективная, простая и "легкая", а с другой – функциональная и адаптивная к индивидуальным потребностям разных компаний, и к тому же открытая к росту. Попробуйте, как это работает: "СёрчИнформ SIEM" доступна для теста бесплатно в течение 30 дней.

Темы:SIEMСерчинформЖурнал "Информационная безопасность" №4, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Сотрудники, дружба, ИБ: открытый контроль снижает риски утечек
    Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...