Контакты
Подписка 2025

SIEM: рекомендательный инструмент для результативной кибербезопасности

Иван Прохоров, 18/10/23

Cегодня компании сталкиваются с дефицитом экспертов по кибербезопасности. Согласно данным The International Information System Security Certification Consortium (ISC), во всем мире не хватает 3,4 млн таких специалистов. В России, по данным СберБанка, за два года потребность в экспертах по ИБ выросла в пять раз и теперь составляет 100 тыс. человек.

Автор: Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies

Нехватку специалистов в области ИБ нельзя закрыть моментально, например за счет массовой рекламы вакансий или повышения уровня заработной платы. Системы ИБ требуют широких знаний и высокой квалификации экспертов, а зачастую и продолжительного обучения.

Например, при внедрении и использовании SIEM-систем экспертам необходимо подключить и покрыть правилами нормализации и обогащения нужные источники событий ИБ, создать и настроить правила детектирования угроз, постоянно отслеживать качество данных, поставляемых для анализа, реагировать на выявленные инциденты и расследовать их.

Эти операции требуют не только серьезной подготовки в области кибербезопасности в целом, но и глубокого понимания информационных систем и связывающих их информационных потоков. При этом специалистам зачастую сложно понять, какие шаги по реагированию на инцидент и его дальнейшему расследованию им нужно предпринять. Нередко решение всех перечисленных задач становится не под силу не только новичкам, но и экспертам.

Источник: www.ptsecurity.com

Автоматизация экспертизы

В условиях дефицита кадров управление SIEM-системой должно быть понятно операторам, аналитикам и пользователям с минимальным опытом работы с продуктом. Чтобы минимизировать среднее время от начала нелегитимной активности в инфраструктуре до ее обнаружения SIEM и среднее время с момента обнаружения инцидента до момента его подтверждения и реагирования на него, поддерживать киберустойчивость компании и обеспечивать результативную кибербезопасность, системе надо делегировать большинство экспертных функций, в их числе помощь в определении объектов мониторинга, подготовка правил нормализации, тюнинг правил корреляции, работа по минимизации false positives, проверка вердиктов и автоматизация работ в пайплайне обработки событий в целом.

Топ требований к SIEM

  1. SIEM-система должна обеспечивать постоянный анализ защищаемого периметра, определять ИТ-системы и потоки информации между ними, выдавать рекомендации по их контролю и защите – содержать информацию о том, какие источники данных следует контролировать. Правильная SIEM обладает возможностью автоматизированно подключать новые источники событий по мере их появления в сети компании и при этом приоритизировать их постановку на контроль в зависимости от типа.
  2. Быстрый старт и обнаружение инцидентов ИБ должны быть возможны в любой инфраструктуре, как с известным набором ИС, так и с набором ИС, про которые вендору ничего неизвестно. Стартовое подключение новых источников не должно требовать от оператора знаний специализированных языков написания правил нормализации.
  3. Одна из проблем практически любой организации: теневое ИТ (shadow IT). Это устройства, компьютеры, серверы, сервисы или ПО, не соответствующие политикам безопасности, однако используемые сотрудниками. Современный продукт класса SIEM должен обеспечивать постоянный контроль таких теневых сегментов за счет автоматизации сбора данных из сети.
  4. Ландшафт угроз для различных информационных систем постоянно меняется, а число используемых атакующими техник и тактик перманентно растет. Поэтому система должна опираться на максимально широкую экспертную базу – вендора, комьюнити, специалистов по ИБ защищаемой компании и иметь широкий набор инструментов для консолидации этих знаний. Недавно мы анонсировали каталог расширений для своих продуктов. В нем уже доступны фреймворки и плагины для поддержки нестандартных источников и внешних систем, отдельные подключаемые модули для MaxPatrol SIEM [1], пакеты экспертизы с правилами обнаружения актуальных угроз.
  5. Дополнительная валидация зарегистрированных инцидентов с использованием сторонних систем – это могут быть внешние TI-системы или сторонние корреляционные движки. Предоставление second opinion должно стать обязательной практикой.
  6. SIEM должна выдавать рекомендации по реагированию на выявленные инциденты, а также расследованию и обработке инцидентов. Базой таких рекомендаций может быть внутренняя экспертиза или правила реагирования, сформированные комьюнити и добавленные в систему.
  7. Умная SIEM постоянно реагирует на изменение контролируемого ландшафта ИБ и повышает точность выявления инцидентов. Например, данные телеметрии, полученные с рабочих станций при интеграции с системами класса XDR, должны улучшать качество детектирования опасных событий ИБ в SIEM. Соответственно, простые интерфейсы интеграции со сторонними системами являются неотъемлемой частью будущих SIEM-систем.

SIEM из экспертного инструмента в руках высококвалифицированных специалистов становятся ядром построения результативной кибербезопасности. Для этого они должны научиться выдавать оператору рекомендации на каждом этапе эксплуатации, транслировать заложенную в них экспертизу. Правильная SIEM снизит порог входа для пользователей, а также интегральные показатели среднего времени от начала нелегитимной активности в инфраструктуре до ее обнаружения системой и среднего времени с момента обнаружения инцидента до момента его подтверждения и реагирования на него.


  1. https://www.ptsecurity.com/ru-ru/products/mpsiem/ 
Темы:КадрыPositive TechnologiesSIEMMaxPatrol SIEMЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...