Журнал "Information Security/ Информационная безопасность" #4, 2024

Тренды существуют независимо от того, как мы к ним относимся, – нравятся они нам или нет, согласны ли мы с ними или остаемся в сомнениях. Вопрос лишь в том, как мы используем это знание. Именно поэтому важно не просто пони- мать тренды, но и принимать решения с их учетом: заказчикам нужно выбирать технологические решения, которые напрямую реагируют на современные вызовы, а вендорам, в том числе "Лаборатории Касперского" с SIEM- системой Kaspersky Unified Monitoring and Analysis Platform (KUMA), – разраба- тывать продукты, которые упрощают жизнь в условиях новых реалий. Тренд 1. Сокращение доступности специалистов Заказчики все чаще сталкиваются с дефицитом квалифицированных спе- циалистов в области информационной безопасности: спрос на профессионалов заметно опережает предложение на рынке труда, и обходятся они дорого 1 . Это стимулирует разработчиков ИБ-систем к созданию решений, которые снимают нагрузку с людей и позволяют эффективно управлять растущей инфра- структурой и новыми угрозами без необходимости увеличивать штат. Однако этого недостаточно. Вторая важная цель – создать условия, при которых даже сотрудники с ограни- ченным опытом могли бы решать слож- ные задачи на уровне профессионалов. Этот тренд, впрочем, не нов. Проблема нехватки кадров преследует не только сферу информационной безопасности – она встречается в самых разных отрас- лях. Но в ИБ эта проблема накладыва- ется на растущее количество угроз, – это выводит ее на новый уровень и тре- бует оперативных решений. Нас атакуют уже сейчас, а проблема кадров явно не решится завтра, поэтому необходимо создавать продукты, которые помогают сохранить киберустойчивость в этих условиях. За счет чего это может про- исходить? Первый сценарий – создание удобных и интуитивно понятных интерфейсов, в которых специалист сразу получает весь необходимый контекст для принятия решений. Для этого SIEM должны интег- рировать данные из других систем, таких как Threat Intelligence Platform (TIP) и Vulnerability Management. Таким обра- зом SIEM начинает перенимать функции, традиционно присущие другим реше- ниям, обеспечивая пользователю более полную картину происходящего. Второй способ – автоматизация рутин- ных операций, традиционно выполняе- мая системами SOAR. Чтобы сократить объем задач, требующих вмешательства человека, SIEM-системы также начинают автоматизировать отдельные процессы. В результате SIEM-продукты стано- вятся все более комплексными, объеди- няя в себе функции, которые раньше "принадлежали" другим классам реше- ний, что высвобождает ресурсы ИБ- команды и делает ее работу более про- дуктивной. Тренд 2. Рост инфраструктуры и сложности угроз Информатизация проникает все глуб- же в бизнес-процессы заказчиков, что сопровождается расширением инфраструктуры и размыванием ее гра- ниц. BYOD (Bring your own devices), уда- ленная работа, облачные сервисы, кон- тейнеры и виртуальные машины, кото- рые постоянно создаются и удаляются, – размывают понятный привычный пери- метр защиты. Как результат, для обес- печения должного уровня безопасности требуется система, способная собирать и обрабатывать огромное количество данных, поступающих с различных эле- ментов инфраструктуры и сенсоров. Однако рост объема логов и данных может породить новые проблемы: уве- личится количество ложных срабатыва- ний, и специалисты столкнутся с потоком алертов, которые будет практически невозможно эффективно обработать. Этот тренд стимулирует разработчиков SIEM-систем не только наращивать спо- собность "переваривать" всё более и более разнородные события, но и активно вкладываться в улучшение архитектуры и контента своих решений. Хотя перед системами, изначально спроектированными грамотно, например KUMA "Лаборатории Касперского", такие проблемы не стоят. Необходимо создавать систему так, чтобы обработка большего количества данных не вела к линейному увеличению стоимости эксплуатации, как это про- исходит в системах, архитектура которых закладывалась десятилетие назад и не может быть эффективно изменена. В связи с этим использующие SIEM заказчики ожидают всесторонней опти- мизации: от улучшения интерфейсов и "коробочных" решений до бесшовной интеграции с другими системами и тех- нических улучшений всех компонентов, особенно систем хранения данных. Тренд 3. Растущая востребован- ность сервисной модели Еще один важный аспект – переход к сервисной модели. Традиционный подход в области информационной безопасности требует значительных капитальных вложений: закупка лицен- зий, оборудования, набор и обучение команды для центра мониторинга. Кроме того, удержание квалифицированных сотрудников требует дополнительных усилий. Все это значительно усложняет жизнь бизнесу, формируя непрофильные основным производственным процессам 18 • СПЕЦПРОЕКТ Тренды информационной безопасности, и как они влияют на SIEM овременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критиче- ски важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры. С Илья Маркелов, руководитель направления развития единой корпоративной платформы, "Лаборатория Касперского" Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского” Владислав Тушканов, руководитель группы Kaspersky MLTech 1 https://www.cnews.ru/news/top/2024-08-5_nehvatku_kadrov_v_rossijskom