На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использование одного продукта становится более эффективным или удобным при включении второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, центром такого слияния будет SOAR.
Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных приходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC.
В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.
Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внедрении XDR важно обеспечить полноценное взаимодействие между его компонентами и выстроить процессы, эффективно использующие эти взаимодействия.
Все три класса применяются в процессе управления киберинцидентами, поэтому неудивителен тренд на конвергенцию функционала данных систем. В процессе реагирования важно выполнение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM-система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR.
Многие вендоры уже предлагают широкий набор интеграций с самыми разными решениями. Обычно это данные технического уровня, а именно потоки индикаторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операционного и стратегического уровней, а это значит, что обогащение можно значительно улучшить: оно может включать описание группировки или ВПО, связанные инструменты, уязвимости и т.п.
С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.
Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.
Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).
Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.