Журнал "Information Security/ Информационная безопасность" #4, 2023

38 • СПЕЦПРОЕКТ Облака Значительное число зарубежных орга- низаций переводят ИТ-инфраструктуру в облачные сервисы, задавая вектор развития SIEM-систем в части возмож- ностей сбора данных, – процессы взаи- модействия систем для передачи инфор- мации в этом случае отличаются отно- сительно локальной инфраструктуры. В связи с трендом на "облачность" источников в облака постепенно "пере- езжают" и SIEM-системы. Если в странах Северной Америки и Европы облака являются неотъемлемым элементом инфраструктуры, куда переезжают ИТ и ИБ, то в России SIEM-системы суще- ствуют по большей части on-premise, так как воспринимаются у нас в качестве инструментов классической безопасно- сти, которая всегда должна быть внутри периметра. Новые форматы В облачных инфраструктурах, вслед- ствие переосмысления архитектуры SIEM-систем, начали появляться новые форматы работы, например SIEM-As-a- Service. Раньше основным форматом аутсорса SIEM были MSSP-провайдеры, но в последнее время число провайде- ров, которые предоставляют SIEM как преднастроенное ПО вместе с облачны- ми вычислительными ресурсами, стало расти. Новый функционал Кроме изменения в самом подходе к платформе, на которой реализуется SIEM-система, изменился и набор тре- буемых возможностей. Например, ранее SOAR-системы суще- ствовали отдельно, продавались и оцени- вались как самостоятельный продукт. Однако позднее многие производители стали включать в SIEM-системы компо- ненты оркестрации. Некоторые покупали готовые SOAR-системы и интегрировали их в SIEM, а некоторые разрабатывали свои. Так что теперь функции автомати- зации и оркестрации есть во многих SIEM, но и здесь есть свои подводные камни. Эти функции действительно расширяют возможности использования SIEM, но только если организация уже обладает достаточным уровнем зрелости, поскольку SOAR требует предварительной подго- товки по систематизации и формализации процессов. Таким образом, с расширени- ем функционала SIEM-системы расши- ряются и требования к команде SOC. Тренд на XDR Сегодня SIEM уже не просто средство для корреляции, а полномасштабное ядро SOC – центра мониторинга и реа- гирования на киберинциденты. В связи с этим проявляется тренд на тесную интеграцию со сторонними решениями, более нативное встраивание такого взаи- модействия в работу продукта уже на уровне архитектуры. SIEM-системы про- ходят путь от продвинутого лог-менедж- мента к средству для реагирования на киберинциденты. Концепция XDR пред- полагает объединение нескольких клас- сов решений в единую платформу, в идеале с единым интерфейсом. Это значительно расширяет возможности системы, но в то же время требует высокой квалификации специалистов, работающих с SIEM. С одной стороны, управление SOC становится легче, поскольку сокращается количество раз- ных интерфейсов и унифицируется их логика, а с другой – сложнее, так как нужен высококвалифицированный спе- циалист, который хорошо разбирается во всех составных частях этого "ком- байна". Получается, что продукт необхо- димо максимально упрощать с точки зрения взаимодействия с ним, хотя при этом компании-заказчики предъявляют достаточно высокие требования к пред- установленному контенту. Поиск баланса между этими противоречащими друг другу требованиями – еще один тренд. Машинное обучение Машинное обучение по-прежнему остается актуальным и модным, посколь- ку эти технологии действительно пер- спективны, однако все упирается в спе- цифичность и узость сферы. SIEM-систе- мы выполняют специфические задачи, технологии машинного обучения приме- нимы только к части из них. На данный момент у некоторых вендоров SIEM- систем есть модуль UBA, который, как правило, помогает аналитику выявлять важные события из активности пользо- вателей и ассетов в большом потоке данных. Но такие модули востребованы в основном организациями с высоким уровнем зрелости в части ИТ и ИБ, в связи с тем, что машинное обучение требует крупных инвестиций в аппарат- ную платформу, при этом решая доста- точно узкую в контексте бизнеса зада- чу – помогая ИБ-специалистам автома- тизировать процесс принятия решений. Логично, что сначала организации думают о защите периметра и уже затем о поиске аномалий в поведении пользо- вателей. Поэтому на данный момент технологии машинного обучения встраи- вает в SIEM-системы достаточно узкий круг компаний. Это не массовое явление, а скорее тренд будущего. Российские вендоры находятся в выиг- рышной позиции, поскольку могут про- анализировать практически 25-летнюю историю развития SIEM и сделать то, что действительно нужно рынку, а не гнаться за модными краткосрочными веяниями. Мы в "Лаборатории Каспер- ского" учитываем колоссальный нара- ботанный опыт, добавляя в процесс раз- работки нашей SIEM-системы те функ- ции, которые показали себя наиболее эффективными и являются актуальными для отечественного бизнеса. Важная особенность российского рынка заключается в том, что он отли- чается технологической глубиной. У нас предъявляется больше требований к функционалу и архитектуре SIEM, поскольку, как показывает практика, российские специалисты более подко- ваны технически. Поэтому отечествен- ные SIEM-системы, несмотря на свою молодость, получаются более зрелыми технически. l 5 трендов SIEM-систем: как развивается технология за рубежом и чего ждать в России оговорим об основных трендах в развитии SIEM-систем за рубежом и о том, насколько они совпадают с отечественными. П Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам “Лаборатории Касперского” Ваше мнение и вопросы присылайте по адресу is@groteck.ru