Развитие SIEM
Екатерина Данилина, 01.07.19
Что станет следующим шагом в развитии SIEM?
Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies
UEBA – один, но далеко не единственный пример новой технологии, которая анонсировалась как инструмент, наконец-то позволяющий ловить злоумышленников. Однако любые новые технологии нужно приобретать, внедрять и обкатывать: это усложняет продукты, растит бюджеты и штат, но не гарантирует значительного улучшения защищенности. Еще одна проблема в том, что крупные вендоры вместо самостоятельной разработки новых технологий нередко покупают нишевых игроков и не слишком вкладываются в интеграцию решений между собой. В итоге SIEM-системы становятся тяжелыми, неоднородными, с ними сложно работать. Это вызывает ожидаемую фрустрацию у ИБ-специалистов. На наш взгляд, назрел запрос на упрощение SIEM, повышение удобства, снижение входных требований к специалистам ИБ и трудозатрат на обслуживание системы и максимальная автоматизация выполняемых действий. Другими словами, мы говорим о том, что рынок сегодня ожидает некоторой консьюмеризации SIEM, если, конечно, можно так выразиться.
Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")
Все идет к усилению централизации. В России будет единый центр обработки инцидентов для госсектора и КИИ на базе ГОССОПКА, куда будут сливаться данные со всех SIEM-систем, и с этими инцидентами будет активно работать центральный аппарат ФСБ. А если мы говорим про коммерческий сегмент, то, скорее всего, будут созданы отраслевые дата-центры обработки информации и обмена инцидентами, а также коммерческие SOC на базе крупных интеграторов, которые будут обслуживать компании на условиях аутсорсинга. Иметь свою SIEM – это одно, а знать, как реагировать на инциденты, – это совсем другое. Очень интересен опыт Центробанка по объединению банковских инцидентов. Наверно, дальше развитие будет в этом направлении.
Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"
Считаю, что следующим шагом в развитии SIEM станет развитие DATA LAKE и развитие искусственного интеллекта, так как зачастую необходимо описывать собственные правила корреляции и осуществлять сбор событий ИБ из различных источников данных.
Для того чтобы обеспечить большую вероятность выявления событий ИБ, необходим инструмент, позволяющий автоматизировать работы по внесению и описанию правил корреляции (различные социальные форумы на просторах Интернета, площадки обмена опытом и информацией и т.д.).
Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”
Мне изначально казалось, что технология UEBA будет гармонично вписываться в практику управления событиями не как отдельный продукт, а как сервис внутри SIEM. В принципе, продолжая эту цепочку, хотелось бы более плотной и "вендоронезависимой" интеграции решений класса SIEM и EDR для перехода на следующий уровень автоматизации.
Сергей Рысин, эксперт по информационной безопасности
Следующим шагом развития SIEM по хорошей давней традиции должно стать использование инструментов MachineLearning, что позволит облегчить работу по эксплуатации данных систем. И назовут эти системы по тому же принципу, что и всегда, – NGSIEM.
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?
