Журнал "Information Security/ Информационная безопасность" #4, 2023

значенных задачах – это необходимость большого количества качественных и разнообразных данных для обучения. Отдельным вызовом при применении технологий ИИ станет возможность обес- печить достаточную интерпретируемость результатов работы алгоритма, чтобы она была прозрачна и прогнозируема для конечного пользователя. Александр Скакунов, VolgaBlob: Логичным решением и вызовом вен- дорам SIEM является применение боль- ших языковых моделей (дообученные on-premise реплики ChatGPT) для соз- дания Cybersecurity Copilot и перевода работы пользователей в режим диалога с SIEM на естественном языке. Мы активно работаем в этом направлении и уже достигли определенных результа- тов, дающих надежду, что в скором вре- мени подобные технологии станут доступны пользователям нашей плат- формы. Илья Маркелов, Лаборатория Касперского: Мы видим два основных направления применения ML в SIEM и ведем иссле- дования в направлениях: обнаружение аномалий поведения для повышения уровня детектирования и помощь в прио- ритезации обнаруженных срабатываний. В то же время при применении этих же технологий в SIEM возникают две основные сложности: 1. Значительная вариативность обра- батываемых данных. 2. Высокая сложность решений с точки зрения необходимым аппаратных ресур- сов и высокие требования к квалифика- ции аналитиков. ML является одним из ключевых спо- собов повысить эффективности исполь- зуемых SIEM-систем, но на данный момент такие подходы востребованы только у самых зрелых в части ИБ и наи- более крупных заказчиков. Лидия Виткова, Газинформсервис: В ближайшие два-три года SIEM исчез- нет как класс: отечественные разработ- чики SIEM сформируют экосистемы, часть функций будет поглощена плат- формами аналитики данных о событиях информационной безопасности, а еще часть – полноценными агентами вроде EDR и XDR. Даниил Вылегжанин, RuSIEM: SIEM-решения будут все больше использовать механизмы искусственного интеллекта и машинного обучения для автоматизации анализа данных, обна- ружения угроз, принятия решений и сни- жения уровня ложных срабатываний. SIEM-системы будут предлагать более продвинутые аналитические функции для обнаружения сложных и скрытых угроз, таких, как атаки на основе ано- малий, внутренние угрозы и использо- вание распределенных средств обхода. Продолжится развитие в направлении улучшения пользовательского опыта и предоставления более интуитивно понят- ного интерфейса и визуализации дан- ных. Это поможет аналитикам безопас- ности лучше впоспринимать информа- цию, ускоряя процесс обнаружения и реагирования на инциденты. Олег Акишев, NGR Softlab: Тема машинного обучения и умного анализа достаточно актуальна послед- ние несколько лет, а в последний год интерес на фоне популяризации языко- вых ассистентов вырос еще больше. Могу предположить, что развитие SIEM- систем пойдет в сторону внедрения интеллектуального анализа и поиска не конкретных событий, а аномалий в пото- ке (системы класса UBA). От правил корреляции мы перейдем к датасетам обучения моделей анализа событий и возможных атак. Работа аналитика будет занимать по большей части формиро- вание этих датасетов и подтверждение уведомлений от таких умных систем. По нашему опыту, пользуется спросом совместное использование SIEM-систе- мы Alertix и аналитической платформы Dataplan (UBA). Вадим Порошин, Пангео Радар: Как говорил один директор по без- опасности в крупной государственной компании: "Пока вся ваша безопасность не поместится в смартфон, где будет выбор из двух кнопок, "реагировать" или "не реагировать", нам придется тер- петь ущерб от действий злоумышленни- ков, пытающихся навредить нашей инфраструктуре или заработать на нас". Хорошей перспективой было бы совер- шенствование алгоритмов так, чтобы непосредственное участие человека тре- бовалось все меньше и меньше. Павел Пугач, СёрчИнформ: Буквально несколько лет назад мы все столкнулись с пандемией и массовой удаленкой. Потом – с санкциями и гло- бальным импортозамещением. В связи с этим были оперативно реализованы десятки и сотни решений. Считаю, что ближайшие два-три года класс SIEM будет сконцентрирован на том, чтобы "переварить" последствия: отшлифовать фнкциональность, навести лоск в про- дуктах. Прорывов я не ожидаю: пройдет эволюция того, чтобы было сделано за последние пять лет. Алексей Дашков, R-Vision: Сейчас системы класса SIEM активно наращивают весь необходимый функ- ционал для полного покрытия задач TDIR (Threat Detection, Investigation, and Response), от организации сбора данных до автоматического реагирования на инцидент. Основными трендами на рынке SIEM являются использование искусственного интеллекта и автомати- зации, расширение области видимости сетевых устройств и облака, интеграция с TI-сервисами, а также возможность совместной работы с другими системами безопасности для обеспечения полного цикла защиты информации. Александр Скакунов, VolgaBlob: Кроме возможностей применения ИИ, вектор развития, по нашему мнению, может сместиться в гибридные техники поиска по данным, не требующие индек- сации событий безопасности в едином хранилище данных. Это позволит SIEM нового поколения стоить поиск по данным там, где они уже предварительно собраны командами ИТ и ИБ. Это путь снижения TCO и создание универсальных меха- низмов анализа данных в различных хра- нилищах, как облачных, так и локальных. Илья Маркелов, Лаборатория Касперского: SIEM в ближайшие годы будут допол- няться возможностями автоматизации и более широко интегрироваться с дру- гими решениями по безопасности для создания экосистемы. Уже наблюдается значительное пересечение с подходом XDR и продуктами этого класса, увере- ны, что это продолжится. С высокой вероятностью возникнет востребован- ность облачных SIEM как более удобных для эксплуатации заказчиком. Наконец предполагаем, что важным станет допол- нение SIEM данными о внешних рисках с помощью сервисов оценки угроз, наце- ленных на конкретную организацию, чтобы учитывать в SIEM, какая инфор- мация уже доступна злоумышленникам. Иван Прохоров, Positive Technologies: Среди направлений развития SIEM- систем в ближайшие два-три года: авто- матизация подключения инфраструктуры для мониторинга, предоставление каче- ственной экспертизы из коробки, доступной для применения широким массам специа- листов, использование технологий машин- ного обучения и искусственного интеллекта для анализа событий и построения цепочек атак, интеграция с внешними системами, участвующими в процессе выявления ано- мальных событий и анализа зарегистри- рованных инцидентов. l Каковы перспективы и тренды развития SIEM? Какая функциональ- ность появится в SIEM в ближайшие два-три года? • 37 SIEM www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru