Контакты
Подписка 2026

Тренды информационной безопасности, и как они влияют на SIEM

Лаборатория Касперского, 02/10/24

Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.

Авторы:
Илья Маркелов, руководитель направления развития единой корпоративной платформы, "Лаборатория Касперского"
Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
Владислав Тушканов, руководитель группы Kaspersky MLTech

Тренды существуют независимо от того, как мы к ним относимся, – нравятся они нам или нет, согласны ли мы с ними или остаемся в сомнениях. Вопрос лишь в том, как мы используем это знание.

Именно поэтому важно не просто понимать тренды, но и принимать решения с их учетом: заказчикам нужно выбирать технологические решения, которые напрямую реагируют на современные вызовы, а вендорам, в том числе "Лаборатории Касперского" с SIEM-системой Kaspersky Unified Monitoring and Analysis Platform (KUMA), – разрабатывать продукты, которые упрощают жизнь в условиях новых реалий.

Тренд 1. Сокращение доступности специалистов

Заказчики все чаще сталкиваются с дефицитом квалифицированных специалистов в области информационной безопасности: спрос на профессионалов заметно опережает предложение на рынке труда, и обходятся они дорого [1]. Это стимулирует разработчиков ИБ-систем к созданию решений, которые снимают нагрузку с людей и позволяют эффективно управлять растущей инфраструктурой и новыми угрозами без необходимости увеличивать штат.

Однако этого недостаточно. Вторая важная цель – создать условия, при которых даже сотрудники с ограниченным опытом могли бы решать сложные задачи на уровне профессионалов.

Этот тренд, впрочем, не нов. Проблема нехватки кадров преследует не только сферу информационной безопасности – она встречается в самых разных отраслях. Но в ИБ эта проблема накладывается на растущее количество угроз, – это выводит ее на новый уровень и требует оперативных решений. Нас атакуют уже сейчас, а проблема кадров явно не решится завтра, поэтому необходимо создавать продукты, которые помогают сохранить киберустойчивость в этих условиях. За счет чего это может происходить?

Первый сценарий – создание удобных и интуитивно понятных интерфейсов, в которых специалист сразу получает весь необходимый контекст для принятия решений. Для этого SIEM должны интегрировать данные из других систем, таких как Threat Intelligence Platform (TIP) и Vulnerability Management. Таким образом SIEM начинает перенимать функции, традиционно присущие другим решениям, обеспечивая пользователю более полную картину происходящего.

Второй способ – автоматизация рутинных операций, традиционно выполняемая системами SOAR. Чтобы сократить объем задач, требующих вмешательства человека, SIEM-системы также начинают автоматизировать отдельные процессы.

В результате SIEM-продукты становятся все более комплексными, объединяя в себе функции, которые раньше "принадлежали" другим классам решений, что высвобождает ресурсы ИБ-команды и делает ее работу более продуктивной.

Тренд 2. Рост инфраструктуры и сложности угроз

Информатизация проникает все глубже в бизнес-процессы заказчиков, что сопровождается расширением инфраструктуры и размыванием ее границ. BYOD (Bring your own devices), удаленная работа, облачные сервисы, контейнеры и виртуальные машины, которые постоянно создаются и удаляются, – размывают понятный привычный периметр защиты. Как результат, для обеспечения должного уровня безопасности требуется система, способная собирать и обрабатывать огромное количество данных, поступающих с различных элементов инфраструктуры и сенсоров. Однако рост объема логов и данных может породить новые проблемы: увеличится количество ложных срабатываний, и специалисты столкнутся с потоком алертов, которые будет практически невозможно эффективно обработать. Этот тренд стимулирует разработчиков SIEM-систем не только наращивать способность "переваривать" всё более и более разнородные события, но и активно вкладываться в улучшение архитектуры и контента своих решений. Хотя перед системами, изначально спроектированными грамотно, например KUMA "Лаборатории Касперского", такие проблемы не стоят.

Необходимо создавать систему так, чтобы обработка большего количества данных не вела к линейному увеличению стоимости эксплуатации, как это происходит в системах, архитектура которых закладывалась десятилетие назад и не может быть эффективно изменена.

В связи с этим использующие SIEM заказчики ожидают всесторонней оптимизации: от улучшения интерфейсов и "коробочных" решений до бесшовной интеграции с другими системами и технических улучшений всех компонентов, особенно систем хранения данных.

Тренд 3. Растущая востребованность сервисной модели

Еще один важный аспект – переход к сервисной модели. Традиционный подход в области информационной безопасности требует значительных капитальных вложений: закупка лицензий, оборудования, набор и обучение команды для центра мониторинга. Кроме того, удержание квалифицированных сотрудников требует дополнительных усилий. Все это значительно усложняет жизнь бизнесу, формируя непрофильные основным производственным процессам расходы в условиях ограниченных ресурсов. В такой ситуации возникает естественное желание уйти от крупных капитальных затрат и перевести их в операционные расходы.

Есть два основных сценария, которые позволяют это сделать.

  1. Первый – модель облачного потребления, основанная на подписке. В этом случае компании используют решения из облака, что позволяет гибко масштабировать инфраструктуру и избегать крупных капитальных затрат. Однако на российском рынке этот переход происходит медленно. Причины этого кроются как в объективных, так и в субъективных факторах.

    Объективные факторы включают регуляторные ограничения в отдельных отраслях, а также персональную ответственность за безопасность, которая остается на конкретном человеке в компании даже при передаче части функций внешним сервисам. К тому же, делегирование ответственности третьим сторонам, особенно в сфере безопасности, вызывает закономерные опасения.

    Субъективные факторы – это недоверие к облачным технологиям, которое еще сильнее тормозит развитие этого тренда, и это особенно заметно на российском рынке.

    Однако на глобальном уровне картина иная: рынок SIEM активно растет именно за счет облачных решений, в то время как традиционные продукты для дата-центров, напротив, теряют позиции.

  2. Второй сценарий – это переход к модели безопасности как услуги (Security as a Service) через партнерство с MSSP-провайдерами. MSSP берут на себя управление безопасностью, предлагая управляемые SIEM-решения или комплексную защиту "под ключ", где SIEM является лишь одним из элементов. Этот тренд заметен и на российском рынке, где многие компании уже видят преимущества сервисного подхода.

Тренд 4. Искусственный интеллект

Искусственный интеллект уже долгое время применяется в сфере кибербезопасности, в том числе в SIEM-системах. Он применяется для самых разных задач и в самых разных частях комплексной системы обеспечения безопасности – от детектирования угроз угроз на конечных устройствах до оценки риск-скора хостов и приоритизации событий безопасности.

Основным трендом, безусловно, является внедрение генеративного искусственного интеллекта (GenAI), в частности больших языковых моделей (LLM). Эти модели, обладая способностью к обработке плохо структурированной информации и генерации текста, могут облегчить аналитикам, работающим с SIEM, целый ряд задач – от помощи в анализе определенных событий до написания детализированных отчетов по обнаруженным инцидентам информационной безопасности.

Грамотное применение технологий генеративного ИИ с учетом их особенностей может помочь снизить когнитивную нагрузку на аналитиков за счет автоматизации рутины и позволит повысить их продуктивность.

ris1-Oct-02-2024-09-43-29-8565-AM

Правильная стратегия

Развивать дополнительные функции кажется более логичным в продукте, который накапливает нужные данные, а SIEM как раз аккумулирует огромное количество данных и поэтому может превращаться в инструмент для ИТ-мониторинга, систему по выявлению мошенничества (антифрод) или UBA – все необходимые данные уже доступны.

Неудивительно, что SIEM, обладая уникальной возможностью хранить и обрабатывать большие массивы данных из множества источников, начинает поглощать функционал других классов решений, предлагая все больше возможностей для работы с этой информацией.

К слову, SIEM-системы далеко не всегда использовались строго по своему прямому назначению – с самого начала это была многофункциональная платформа, где сбор, обработка и корреляция данных являлись лишь частью ее возможностей. Безусловно, это важная часть, но функционал SIEM всегда выходил за рамки простой аналитики.

Автоматизация задач, которая сегодня представляется отдельной категорией решений, уже давно была частью SIEM. Просто в какой-то момент возникла необходимость сделать эти процессы более удобными и привлекательными с точки зрения пользовательского опыта – улучшить UX и UI, чтобы облегчить работу специалистам. Так родились новые классы решений, выделившиеся из общей платформы.

Возникает вопрос: остаются ли эти решения самостоятельным направлением, или это все же часть функционала SIEM?

На наш взгляд, задачи, которые решаются с помощью систем управления безопасностью (например, в мониторинге), принципиально не изменились. Те же требования, что предъявлялись к SIEM ранее, актуальны и сегодня. Функциональные элементы этой платформы продолжают перетекать из одного класса решений в другой, то обособляясь, то вновь сливаясь с основой.

С другой стороны, разные уровни данных и технологии их сбора требуют различных подходов и инструментов.

Например, в области обработки сетевого трафика SIEM-системы обычно собирают телеметрию, такую как события NetFlow, SFlow или JFlow с информацией о сетевых пакетах. Однако полный анализ сырых данных трафика не является задачей SIEM, для этого требуются специализированные решения, такие как IDS, IPS, NTA и NDR. Эти системы могут детализировано протоколировать свою работу и передавать глубокую информацию о сессиях и обнаруженных аномалиях.

Для анализа таких специфических данных существуют специализированные системы, а сила SIEM заключается в способности интегрировать данные из различных источников и представлять их пользователю в удобной форме.

Системы SIEM не заменяют все другие решения и не претендуют на звание "универсального инструмента". Их основная задача – объединять данные, коррелировать события и предоставлять более сложные аналитические цепочки. Инфраструктура информационной безопасности остается сложной, и каждое решение имеет свое место в этой экосистеме.

Стремление создать универсальное решение без учета реальных потребностей может оказаться нецелесообразным. Комбайн ради комбайна редко приносит желаемый результат – эффективное решение требует соответствия конкретным задачам и реальным потребностям пользователя.

Архитектура SIEM для развития зрелости команды

Современный подход предполагает, что инфраструктура и уровень зрелости ИБ-команды постоянно эволюционируют, и SIEM должна поддерживать эти изменения, а не ограничивать их. При этом SIEM остается инструментом, который используется для решения задач безопасности, и ее эффективность зависит от того, как она интегрируется и поддерживает развитие команды и инфраструктуры.

Правильная архитектура и тщательно продуманные компоненты – это то, что позволяет SIEM адаптироваться к изменениям и развиваться без значительных затруднений.

Важность выбора правильного архитектурного подхода для SIEM трудно переоценить. Эта основа обеспечивает не только гибкость и масштабируемость системы, но и ее способность эффективно интегрироваться с новыми технологиями и сценариями, будь то автоматизация, искусственный интеллект или новые интеграции. Правильный “костяк” системы позволяет легко наращивать функциональность и адаптироваться к изменениям в угрозах и запросах пользователей.


  1. https://www.cnews.ru/news/top/2024-08-5_nehvatku_kadrov_v_rossijskom 

Реклама АО "Лаборатория Касперского". ИНН 7713140469. Erid 2SDnjbrZNMx

 

Темы:Лаборатория КасперскогоSIEMЖурнал "Информационная безопасность" №4, 2024Вебмониторэкс
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...