Журнал "Information Security/ Информационная безопасность" #4, 2024

расходы в условиях ограниченных ресур- сов. В такой ситуации возникает есте- ственное желание уйти от крупных капи- тальных затрат и перевести их в опера- ционные расходы. Есть два основных сценария, которые позволяют это сделать. 1. Первый – модель облачного потреб- ления, основанная на подписке. В этом случае компании используют решения из облака, что позволяет гибко масшта- бировать инфраструктуру и избегать крупных капитальных затрат. Однако на российском рынке этот переход про- исходит медленно. Причины этого кроют- ся как в объективных, так и в субъектив- ных факторах. Объективные факторы включают регу- ляторные ограничения в отдельных отраслях, а также персональную ответ- ственность за безопасность, которая остается на конкретном человеке в ком- пании даже при передаче части функций внешним сервисам. К тому же, делеги- рование ответственности третьим сто- ронам, особенно в сфере безопасности, вызывает закономерные опасения. Субъективные факторы – это недове- рие к облачным технологиям, которое еще сильнее тормозит развитие этого тренда, и это особенно заметно на рос- сийском рынке. Однако на глобальном уровне картина иная: рынок SIEM активно растет именно за счет облачных решений, в то время как традиционные продукты для дата- центров, напротив, теряют позиции. 2. Второй сценарий – это переход к модели безопасности как услуги (Security as a Service) через партнерство с MSSP-провайдерами. MSSP берут на себя управление безопасностью, предлагая управляемые SIEM-решения или комплексную защиту "под ключ", где SIEM является лишь одним из эле- ментов. Этот тренд заметен и на рос- сийском рынке, где многие компании уже видят преимущества сервисного подхода. Тренд 4. Искусственный интеллект Искусственный интеллект уже долгое время применяется в сфере кибербезо- пасности, в том числе в SIEM-системах. Он применяется для самых разных задач и в самых разных частях комплексной системы обеспечения безопасности – от детектирования угроз угроз на конеч- ных устройствах до оценки риск-скора хостов и приоритизации событий безопасности. Основным трендом, безусловно, является внедрение генеративного искусственного интеллекта (GenAI), в частности больших языковых моделей (LLM). Эти модели, обладая способ- ностью к обработке плохо структуриро- ванной информации и генерации текста, могут облегчить аналитикам, работаю- щим с SIEM, целый ряд задач – от помо- щи в анализе определенных событий до написания детализированных отчетов по обнаруженным инцидентам инфор- мационной безопасности. Грамотное применение технологий генеративного ИИ с учетом их особен- ностей может помочь снизить когнитив- ную нагрузку на аналитиков за счет автоматизации рутины и позволит повы- сить их продуктивность. Правильная стратегия Развивать дополнительные функции кажется более логичным в продукте, который накапливает нужные данные, а SIEM как раз аккумулирует огромное количество данных и поэтому может превращаться в инструмент для ИТ- мониторинга, систему по выявлению мошенничества (антифрод) или UBA – все необходимые данные уже доступны. Неудивительно, что SIEM, обладая уникальной возможностью хранить и обрабатывать большие массивы дан- ных из множества источников, начинает поглощать функционал других классов решений, предлагая все больше воз- можностей для работы с этой информа- цией. К слову, SIEM-системы далеко не все- гда использовались строго по своему прямому назначению – с самого начала это была многофункциональная плат- форма, где сбор, обработка и корреля- ция данных являлись лишь частью ее возможностей. Безусловно, это важная часть, но функционал SIEM всегда выхо- дил за рамки простой аналитики. Автоматизация задач, которая сегодня представляется отдельной категорией решений, уже давно была частью SIEM. Просто в какой-то момент возникла необходимость сделать эти процессы более удобными и привлекательными с точки зрения пользовательского опыта – улучшить UX и UI, чтобы облегчить работу специалистам. Так родились новые классы решений, выделившиеся из общей платформы. Возникает вопрос: остаются ли эти решения самостоятельным направлени- ем, или это все же часть функционала SIEM? На наш взгляд, задачи, которые решаются с помощью систем управления безопасностью (например, в мониторин- ге), принципиально не изменились. Те же требования, что предъявлялись к SIEM ранее, актуальны и сегодня. Функциональные элементы этой плат- формы продолжают перетекать из одно- го класса решений в другой, то обособ- ляясь, то вновь сливаясь с основой. С другой стороны, разные уровни дан- ных и технологии их сбора требуют раз- личных подходов и инструментов. Например, в области обра- ботки сетевого трафика SIEM-системы обычно соби- рают телеметрию, такую как события NetFlow, SFlow или JFlow с информацией о сете- вых пакетах. Однако полный анализ сырых данных трафика не является задачей SIEM, для этого требуются спе- циализированные решения, такие как IDS, IPS, NTA и NDR. Эти системы могут детализировано протоколировать свою работу и передавать глубокую инфор- мацию о сессиях и обнаруженных аномалиях. Для анализа таких специфических данных существуют специализирован- ные системы, а сила SIEM заключается в способности интегрировать данные из различных источников и представлять их пользователю в удобной форме. Системы SIEM не заменяют все другие решения и не претендуют на звание "универсального инструмента". Их основ- ная задача – объединять данные, корре- лировать события и предоставлять более сложные аналитические цепочки. Инфраструктура информационной безопасности остается сложной, и каж- дое решение имеет свое место в этой экосистеме. Стремление создать универсальное решение без учета реальных потребно- стей может оказаться нецелесообраз- ным. Комбайн ради комбайна редко приносит желаемый результат – эффективное решение требует соответ- ствия конкретным задачам и реальным потребностям пользователя. Архитектура SIEM для развития зрелости команды Современный подход предполагает, что инфраструктура и уровень зрелости ИБ-команды постоянно эволюционируют, и SIEM должна поддерживать эти изме- нения, а не ограничивать их. При этом SIEM остается инструментом, который используется для решения задач без- опасности, и ее эффективность зависит от того, как она интегрируется и под- держивает развитие команды и инфра- структуры. Правильная архитектура и тщательно продуманные компоненты – это то, что позволяет SIEM адаптироваться к изменениям и развиваться без значи- тельных затруднений. Важность выбора правильного архи- тектурного подхода для SIEM трудно переоценить. Эта основа обеспечивает не только гибкость и масштабируемость системы, но и ее способность эффек- тивно интегрироваться с новыми техно- логиями и сценариями, будь то автома- тизация, искусственный интеллект или новые интеграции. Правильный “костяк” системы позволяет легко наращивать функциональность и адаптироваться к изменениям в угрозах и запросах пользователей. l • 19 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ЛАБОРАТОРИЯ КАСПЕРСКОГО см. стр. 62 NM Реклама