Журнал "Information Security/ Информационная безопасность" #2, 2019

Елена Нагорная – Уход Splunk стал неожиданностью для многих его российских клиентов. Возникло мно- жество вопросов, кото- рые можно сформулиро- вать как один единый вопрос: как быть с технической поддерж- кой по существующим контрактам? Без- условно, факт ухода повлияет и на опре- деленные действия конечных заказчиков: это выбор нового SIEM-вендора, миграция на новую SIEM с предварительным пило- тированием, пересмотр бюджета компа- нии (т.к. в большинстве случаев на SIEM- решения тратятся значительные денеж- ные ресурсы), изыскание собственных человеческих ресурсов без отрыва от операционной деятельности по миграции и приемке в промышленную эксплуатацию новой SIEM-системы, пересмотр подхода при заключении договоров с поставщи- ками SIEM в рамках обязательств и гаран- тий в период технической поддержки. Лев Палей – Пример того самого прецедента, который принято считать показа- тельным. С одной сторо- ны, представители оте- чественных производи- телей будут настоятель- но указывать на эту историю как на пре- имущество лоббируемых решений, с дру- гой – это, возможно, простимулирует рынок BI-решений, появится больше прак- тических кейсов автоматизации в нашем направлении с учетом интеграции с SIEM. Риски как таковые тут для меня неясны, изменения – это всегда возможности. Сергей Рысин – Это возвращает нас к началу разговора. Данная ситуация уже повлияла на россий- ский рынок: в действи- тельности возникла существенная потреб- ность в системах UEBA, но полноцен- ные аналоги на российском рынке отсутствуют. Нужно помочь отече- ственным разработчикам, сформиро- вав и описав спрос на их технологии, и рынок подтянется. – Как вы думаете, что станет следующим шагом в развитии SIEM? Владимир Бенгин – UEBA – один, но далеко не единствен- ный пример новой тех- нологии, которая анонсировалась как инструмент, наконец- то позволяющий ловить злоумышленников. Однако любые новые технологии нужно при- обретать, внедрять и обкатывать: это усложняет продукты, растит бюд- жеты и штат, но не гарантирует значительного улучшения защищен- ности. Еще одна проблема в том, что крупные вендоры вместо само- стоятельной разработки новых тех- нологий нередко покупают нишевых игроков и не слишком вкладываются в интеграцию решений между собой. В итоге SIEM-системы становятся тяжелыми, неоднородными, с ними сложно работать. Это вызывает ожи- даемую фрустрацию у ИБ-специали- стов. На наш взгляд, назрел запрос на упрощение SIEM, повышение удобства, снижение входных требо- ваний к специалистам ИБ и трудо- затрат на обслуживание системы и максимальная автоматизация выпол- няемых действий. Другими словами, мы говорим о том, что рынок сегодня ожидает некоторой консьюмериза- ции SIEM, если, конечно, можно так выразиться. Дмитрий Кандыбович – Все идет к усилению централизации. В России будет единый центр обработки инцидентов для госсектора и КИИ на базе ГОССОПКА, куда будут сливаться данные со всех SIEM-систем, и с этими инциден- тами будет активно работать централь- ный аппарат ФСБ. А если мы говорим про коммерческий сегмент, то, скорее всего, будут созданы отраслевые дата- центры обработки информации и обмена инцидентами, а также коммерческие SOC на базе крупных интеграторов, которые будут обслуживать компании на условиях аутсорсинга. Иметь свою SIEM – это одно, а знать, как реагировать на инци- денты, – это совсем другое. Очень инте- ресен опыт Центробанка по объединению банковских инцидентов. Наверно, дальше развитие будет в этом направлении. Елена Нагорная – Считаю, что следую- щим шагом в развитии SIEM станет развитие DATA LAKE и развитие искусственного интел- лекта, так как зачастую необходимо описывать собственные правила корреляции и осу- ществлять сбор событий ИБ из различных источников данных. Для того чтобы обес- печить большую вероятность выявления событий ИБ, необходим инструмент, поз- воляющий автоматизировать работы по внесению и описанию правил корреляции (различные социальные форумы на про- сторах Интернета, площадки обмена опы- том и информацией и т.д.). Лев Палей – Мне изначально каза- лось, что технология UEBA будет гармонично вписы- ваться в практику управ- ления событиями не как отдельный продукт, а как сервис внутри SIEM. Про- должая эту цепочку, хотелось бы более плотной и "вендоронезависимой" интеграции решений класса SIEM и EDR для перехода на следующий уровень автоматизации. Сергей Рысин – Следующимшагом раз- вития SIEM по хорошей давней традиции должно стать использование инструментов Machine- Learning, что позволит облегчить работу по экс- плуатации данных систем. И назовут эти системы по тому же принципу, что и все- гда, – NGSIEM. l 30 • ТЕХНОЛОГИИ Ваше мнение и вопросы присылайте по адресу is@groteck.ru