Журнал "Information Security/ Информационная безопасность" #4, 2023

ми, имея в багаже знаний один-два интернет-курса. Как замотивировать спе- циалистов к самостоятельному изучению материалов и углублению в тематике – вот вопрос, который будет обсуждаться еще много лет. Константин Саматов, АРСИБ: В ходе привлечения (найма) специа- листов по SIEM действительно можно столкнуться с проблемой отсутствия на рынке труда соискателей, ищущих работу по указанному направлению, а также с тем, что нет специалиста именно под конкретную, нужную вам SIEM. Чтобы минимизировать подобные ситуации, можно применить следующие стратегии: l Сотрудничество с вузами и ССУЗами (особенно если нужны сотрудники, которые занимаются настройками системы): рассмотрение кандидатур выпускников, участие в различных мероприятиях (олимпиады, CTF) как соорганизаторов и экспертов, помощь в прохождении практики и написании выпускной работы. l Карьерный трек: брать специалистов без опыта на первую линию центра мони- торинга и реагирования, а дальше он растет до уровня второй и третьей линии. l Внутреннее обучение и развитие, прежде всего с учетом вендорских про- грамм по обучению: многие вендоры SIEM-систем сейчас имеют таковые и предоставляют к ним доступ своим заказчикам на безвозмездной основе. l Использование ресурсов профессио- нального сообщества (профессиональ- ных объединений): это, по сути, закрытый рынок специалистов, где можно найти сотрудника (в том числе перекупить) уже с опытом. Лидия Виткова, Газинформсервис: Нужно прийти в вузы, дать материа- лы, курсы, образы SIEM, агенты. В ответ спросить с вузов отчет о проведенных занятиях и дать студентам возможность сертификации. Так это было в академии CISCO. Наличие сертификата подтвер- ждает компетенции для работодателя. Кто сможет создать такую систему, тот и станет монополистом. Вузы готовы давать материалы студентам, я могу это подтвердить как доцент кафедры ЗСС в СПбГУТ (по внешнему совме- стительству). Прочем и мы сами как преподаватели должны идти к вендо- рам и просить. Павел Пугач, СёрчИнформ: Нужно разделять ИИ и технологии машинного обучения. ИИ пока не пока- зал достаточную эффективность в SIEM, в отличие от ML. Хотя формально машинное обучение относится к ИИ, оно часто не требует столь специализи- рованного оборудования или ПО, а также по факту направлено на решение глав- ной задачи SIEM – обработку большого объема статистических данных, выявле- ние закономерностей, а главное – откло- нений от них. Такая технология в пер- спективе двух-трех лет однозначно выглядит более интересно. Сергей Сухоруков, Positive Technologies: Машинное обучение позволит в десят- ки раз сократить объем информации, требующий внимания аналитика, умень- шит время анализа для оставшихся событий и снизит требования к компе- тенции сотрудников. Основной вызов в применении технологий искусственного интеллекта и машинного обучения – это качественная экспертная реализация, которая доступна единицам разработ- чиков. Даниил Вылегжанин, RuSIEM: Существенным преимуществом использования ИИ и машинного обуче- ния в SIEM-системах является автома- тизация процесса анализа данных, повы- шение точности обнаружения инциден- тов, сокращение ложных срабатываний и оптимизация реакции на инциденты. Вызовы, с которыми придется столк- нуться, -- это необходимость предостав- ления больших объемов высококаче- ственных данных для обучения ИИ. Под- держка моделей ИИ требует высокой экспертизы в области машинного обуче- ния, а в условиях дефицита ИТ -кадров это может стать действительно серьез- ным вызовом. Лидия Виткова, Газинформсервис: Внедрение ИИ в SIEM уже произошло: он позволяет обнаруживать атаки, груп- пировать алерты. Другое дело, что с ростом разнородности источников дан- ных и гетерогенности сетей растет и сложность управления потоками дан- ных, усложняется архитектура SIEM. При этом ресурсные возможности конечных устройств, серверных, сетевых каналов не увеличиваются. Для решения этого противоречия требуется оптимизация, нужны новые подходы. В это время вен- доры сталкиваются с недостатком высо- коквалифицированных кадров – "сень- оров", "дата-сайентистов" и экспертов в ИБ в одном лице. "Джун", конечно, тоже напишет на Python модель обнару- жения, но вопрос в том, как хорошо она будет работать. Константин Саматов, АРСИБ: Насчет искусственного интеллекта сказать не могу, я все-таки склонен соглашаться с теми специалистами, которые считают, что его еще не изоб- рели. А вот в части применения машин- ного обучения и нейросетей считаю, что применение ML-алгоритмов, кото- рые смогут генерировать новые данные из исходной информации (так назы- ваемые генеративные модели), сможет облегчить создание правил корреляции, увеличить вероятность выявления новых, ранее не заданных системе индикаторов компрометации и созда- вать правила и сценарии реагирования (в том числе автоматического). Это как раз и решит проблему ложных сраба- тываний и "утомления" аналитиков в процессе анализа событий. Олег Акишев, NGR Softlab: Поведенческий анализ и использова- ние интеллектуальных моделей дают возможность отслеживать аномалии в событиях, которые затруднительно или невозможно предугадать заранее. Это позволяет перейти от поиска кон- кретных событий и индикаторов к обще- му описанию моделей угроз и атак. Такие системы могут снизить число информации, которую приходится обра- батывать аналитику, и уменьшить число "фолсов". Сложность внедрения таких подходов в том, что безопасность в боль- шей степени основывается на фиксиро- ванных правилах базового контроля, прописанных на бумаге и отраженных в различных НПА, а внедрение, настрой- ка и дальнейшая работа с искусственным интеллектом пока многим кажется слож- ным или даже избыточным мероприяти- ем. Отдельно можно выделить трек при- менения LLM: открываются возможности автоматизации разработки коннекторов, правил, интерпретации выявленных ано- малий и снижения порога входа для работы с системами. Вадим Порошин, Пангео Радар: Внедрение ML поможет бороться с ложными срабатываниями и в идеале минимизировать их до 5%, но не более, при этом не пропуская действительно важные угрозы. Есть и ограничивающие факторы: для любой нейронной сети нужны огромные данные для обучения, время, вычислительные мощности. Я думаю, в перспективе двух-трех лет кто-то из вендоров сильно удивит всех своими показателями. А пока все только смотрят в эту сторону. Алексей Дашков, R-Vision: В случае с SIEM использование тех- нологий искусственного интеллекта и машинного обучения поможет сокра- тить количество ложных срабатываний, обнаружить скрытые угрозы и аномалии, а также оптимизировать процессы, сни- зив нагрузку на аналитиков при работе с системой. Самое большое ограничение для развития использования ИИ в обо- Какие преимущества могут дать искусствен- ный интеллект и машин- ное обучение в SIEM- системах в перспективе двух-трех лет? 36 • СПЕЦПРОЕКТ