Журнал "Information Security/ Информационная безопасность" #4, 2023

Для ИБ-отрасли и рынка SIEM-систем прошедший год был непростым, но интересным. Существенное влияние на развитие этого ИБ-сегмента оказали трансформация рынка производителей средств защиты и появление новых отечественных игроков. На протяжении долгого времени российские компании подвергались активным хакерским ата- кам, сталкиваясь с большим потоком событий кибербезопасности, что, в свою очередь, бросило мощный вызов раз- работчикам SIEM, заставив многих заду- маться о повышении уровня зрелости их решений. Как правило, базовый функционал SIEM включает в себя сбор, нормализа- цию и детектирование, но в условиях постоянно меняющихся угроз, требующих адекватного и оперативного реагирова- ния, не все системы способны делать это одинаково хорошо. Поэтому развитие и расширение функционала SIEM стано- вятся неизбежными задачами, цель кото- рых – соответствие решения актуальным потребностям рынка. Что важно при выборе SIEM? Если SIEM работает неэффективно, то в первую очередь это сказывается на полноте сбора событий и возможно- сти дальнейшей работы с ними. Слож- ности с правилами корреляции могут приводить к росту количества ложных срабатываний (false positive), что раз- мывает фокус внимания аналитиков SOC и повышает риск пропуска реаль- ной угрозы. Эти факторы только усу- губляются из-за отсутствия гибкости развертывания SIEM и отсутствия воз- можности масштабирования вслед за потребностями организации. Дополни- тельно проблемы с SIEM провоцируют высокую нагрузку на аналитиков SOC, вследствие чего возникает быстрое "выгорание" сотрудников и текучка кад- ров. При выборе и оценке SIEM пользо- вателям необходимо учитывать ряд важных параметров, которые будут не только отвечать текущим потребностям компании, но и помогут эффективно выстроить процессы управления собы- тиями и инцидентами в соответствии с возросшими потребностями бизнеса, особенностями инфраструктуры и ее масштабом. Несколько факторов, на которые стоит обратить внимание: воз- можности подключения новых источ- ников информации, инструменты для работы с правилами нормализации и корреляции, а также масштабируе- мость системы и способности ее интег- рации с другими системами. Такой про- активный подход предполагает ряд рас- ширенных требований к традиционному функционалу SIEM. Некоторые, наибо- лее важные из них, будут представлены далее. Сбор и обработка событий Основной характеристикой SIEM- систем является возможность работы с большим потоком событий в процес- сах сбора, нормализации и корреля- ции. Значительное удобство использова- ния этих систем обеспечивает продви- нутый функционал Log Management. Он незаменим для более обширного анализа данных, получения полного представления при разборе инцидентов, а также выявления дополнительных трендов, проблем производительности или улучшения операций. Важной составляющей современной SIEM является способность собирать любые события, а также возможность свободно их нормализовать в зависи- мости от потребностей аналитиков SOC, то есть определить, какие поля необходимы для поступившего собы- тия. Благодаря этому можно работать не только с событиями аудита без- опасности, но и с такими данными, как эксплуатация ПО, аудит финансо- вых транзакций и бизнес-операций. Функционал SIEM, позволяющий ана- литикам SOC формировать модели 20 • СПЕЦПРОЕКТ Современная SIEM: важное для эффективного выявления инцидентов реалиях сегодняшнего дня кибербезопасность является одним из ключевых аспектов эффективного развития бизнеса, а построение надежной защиты организации практически невозможно без технологии класса SIEM. В Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision