Журнал "Information Security/ Информационная безопасность" #4, 2023

ственный интеллект, позволяет обнару- живать аномалии и необычные паттерны, что также может помочь снизить коли- чество ложных срабатываний. В свою очередь, снижение общего количества ложных инцидентов уменьшает нагрузку на аналитиков, хотя и не решает пол- ностью проблему утомления. Хорошим решением по минимизации утомления может стать повышение квалификации (обучение) и поддержка аналитиков без- опасности. Вадим Порошин, Пангео Радар: С этой проблемой борются все разра- ботчики SIEM-решений как в России, так и за рубежом. С развитием нейронных сетей, я уве- рен, ML начнет закрывать до 95% ложных срабатываний и, самое важное, не допус- кать ошибок в виде закрытия реальных инцидентов. К сожалению, нынешние попытки ввода ML и анализа больших данных не привели пока к существенным результатам, но за этим будущее. Александр Скакунов, VolgaBlob: Для экономии времени полезна пакет- ная обработка инцидентов. Дополнитель- но снизить нагрузку на линии поддержки позволяет Root-Cause-анализ, проводи- мый с помощью ресурсно-сервисных моделей (РСМ). Граф связанных метрик и индикаторов позволяет оценить состоя- ние всей контролируемой инфраструкту- ры, построить для CISO общую картину происходящего, а отдельные ветки дере- ва РСМ показать ответственным ИБ- сотрудникам. В режиме множественных инсталляций полезна возможность цент- рализованного задания групп правил для выявления инцидентов для отдельных структурных подразделений, что позво- ляет правильно распределять контент SIEM по подразделениям или дочерним обществам крупных организаций. Для снижения количества ложных срабаты- ваний также должны применяться дина- мические пороги и доверительные кори- доры при выявлении инцидентов. Илья Маркелов, Лаборатория Касперского: Поиск баланса между ложными сра- батываниями и пропуском детекта – одна из ключевых задач команды без- опасности. Важно при настройке детек- тирующей логики добиться такого числа обнаруживаемых инцидентов, которое может быть обработано сотрудниками центра мониторинга или командой ИБ. Если на беглый анализ срабатывания обычно требуется около 10-15 минут, то один специалист сможет за восьмича- совую смену проанализировать около 30 обнаруженных инцидентов, а все остальные даже продетектированные угрозы могут остаться без внимания. Следовательно, для решения проблемы перегруженности алертами необходимо двигаться в двух направлениях: снизить до приемлемого уровня поток алертов, выделяя наиболее критичные из них, и уменьшить время анализа каждого сра- батывания за счёт автоматизации рутин- ных операций аналитика. Какие стратегии можно применять в привлечении и обучении специалистов по работе в SIEM-системах, учитывая дефицит кадров в сфере ИБ? Александр Скакунов, VolgaBlob: Важным преимуществом SIEM являет- ся быстрый onboarding новых сотрудни- ков за счет использования базы знаний, позволяющей быстро погрузиться в типо- вые процедуры реагирования на инци- денты, администрирования системы и know-how по ее применению с учетом специфики заказчика. Полезной являет- ся возможность обучения на курсах вен- дора, что позволяет оставить в клиенте необходимые и достаточные знания не только по администрированию и экс- плуатации SIEM, но и по ее тонкой настройке. Павел Пугач, СёрчИнформ: Хорошая стратегия для привлечения персонала, в том числе ИБ-специали- стов, – конкурентная оплата труда, осо- бенно в условиях дефицита кадров. Полезно также снизить порог входа для кандидатов, если от ИБ-специалиста не требуется каких-либо специфических знаний, например убрать из требований знание языков программирования. Если же найти сотрудников на рынке все равно не получается, остается брать выпускников вузов либо собственных спецов и растить их самостоятельно. Сергей Сухоруков, Positive Technologies: Отлично работает стратегия погружения молодых специалистов в практическую эксплуатацию продукта и проведение мониторинга после прохождения профес- сиональных курсов под руководством опытного наставника. Организации, нуж- дающиеся в кадрах, могут готовить экс- пертов самостоятельно или трудоустраи- вать к себе прошедших стажировки и курсы в профильных ИБ-компаниях, в том числе от Positive Technologies. Алексей Дашков, R-Vision: На фоне дефицита кадров на рынке ИБ закрепилась тенденция набора начи- нающих специалистов и погружение их в специфику работы аналитика SIEM. Стоит отметить, что SIEM – одно из немногих решений, которое позволяет начинающему спе- циалисту активно погружаться в сферу ИБ и, последовательно обучаясь, осваи- вать азы кибербезопасности и применять их на практике. При этом интуитивно понятный интерфейс и подробная доку- ментация системы помогут быстрее разобраться в тонкостях работы спе- циалиста SIEM и удовлетворить расту- щие потребности заказчиков в сфере информационной безопасности. Олег Акишев, NGR Softlab: SIEM-система – сложный продукт, тре- бующий разнообразной экспертизы. Можно распределить роли между несколькими сотрудниками: внедрение и поддержка инфраструктуры и продук- та, подключение источников и разра- ботка коннекторов и другого контента, анализ поступающих событий и прове- дение расследований. Стоит также обратить внимание на специалистов, имеющих опыт работы с отдельными СЗИ, актуальными для компании. Даниил Вылегжанин, RuSIEM: Можно начать с поиска в компании тех сотрудников, которые заинтересо- ваны в повышении квалификации и переходе на должность, связанную с SIEM-системами. Существуют также воз- можности по сотрудничеству с профиль- ными учебными заведениями, готовя- щими молодых специалистов в области ИБ. Совместно с использованием обучающих программ внутри организа- ции появляются отличные возможности по взращиванию высококвалифициро- ванных и лояльных к компании специа- листов. Не стоит забывать и о сотрудни- честве с производителями SIEM-систем, которые могут предоставить доступ к обучающим программам, курсам и прак- тическим тренингам. Ну и конечно, хоро- шие финансовые условия повышают интерес высококвалифицированных спе- циалистов к вашей организации. Евгения Лагутина, Лаборатория Касперского: В целом рекомендации общие для ИБ и ИТ: применение удобных в использовании и качественных про- дуктов для безопасности, снижение уровня формализованности процессов, создание возможностей развития внут- ри компании. Вадим Порошин, Пангео Радар: Дефицит есть именно в квалифици- рованных кадрах: зачастую знания при- ходящих в ИБ людей оставляют желать лучшего. Например, все меньше "джу- нов" приходит с пониманием сетей, кото- рые даже не пробовали взломать сосед- ский пароль через Kali или оставить "пасхалку" на сайте своего вуза. Но именно такие творческие энтузиасты очень необходимы отрасли. Нужно, чтобы люди горели своим делом, а не просто пришли за большими зарплата- Какие стратегии можно применять в привлече- нии и обучении специа- листов по раб те в SIEM- сист мах, учитывая дефицит кадров в сфере ИБ? • 35 SIEM www.itsec.ru