Журнал "Information Security/ Информационная безопасность" #4, 2024

В развитии "СёрчИнформ SIEM" мы в первую очередь опираемся на требования к SIEM как к классу: расши- ряем количество контроли- руемых источников, повы- шаем качество аналитики – таксономии и корреляций. Наша ключевая позиция: задачи других продуктов лучше нас решат вендоры, которые на них специализи- руются. Их экспертизу мы привлекаем в качестве источников, поэтому делаем ставку на интеграции. Мы делаем классиче- скую SIEM, которая расши- ряет привычные возможно- сти класса за счет под- держки внешней профес- сиональной экспертизы. Приведу другой пример про реагирование на инциденты. Чтобы остановить атаку, SIEM нужно вмешаться в ход работы конкретных элементов инфра- структуры. Часто, особенно при работе с оборудованием, это требует нетипичной для SIEM архитектуры: работы в конечных точках (то есть нали- чия агентов). Качественная реализация такой функции требует от вендора SIEM пол- ной перестройки системы, то есть превращает ее в другой продукт. А заодно лишает характерных для сетевой модели работы преимуществ вроде охватности, ведь агенты невозможно внедрить на все конечные точки. То же касается предиктивной аналитики. Самый понятный способ спрогнозировать про- блему – найти уязвимости в инфраструктуре. Но хороший Vulnerability Management тоже требует глубокого сканирования конечных точек, а в идеале – работу через агенты. Есть и совсем специфиче- ские примеры: внедрение в SIEM элементов ИИ призвано автоматизировать выявление инцидента. При этом ИИ дол- жен заменить человека в интуи- тивных задачах (если мы гово- рим про ИИ, а не про машинное обучение). Но в SIEM он ана- лизирует данные от источни- ков, а если источник скомпро- метирован, то данным из него нельзя доверять. Соответ- ственно, снова требуется "человеческая" аналитика, ведь у машины просто не будет достоверных данных для ана- лиза. В итоге эта функция, как минимум, не дает желае- мого результата, а чаще про- сто бесполезна. Наконец, дополнительный функционал повышает как аппаратные требования к системе, так и требования к квалификации ИБ-специали- стов для работы с продвину- тыми фичами. Как найти баланс? В первую очередь стоит пом- нить, что SIEM должна без про- блем выполнять свои "родные" задачи. В конечном итоге дополнительный функционал – не универсальная потребность заказчиков SIEM, и у большин- ства побочных задач уже есть свои решения в виде специ- ально под них созданных про- дуктов. В развитии "СёрчИнформ SIEM" мы в первую очередь опираемся на требования к SIEM как к классу: расширяем количество контролируемых источников, повышаем качество аналитики – таксономии и кор- реляций. При этом первосте- пенно поддерживаем источники, которые требуются нашим заказчикам. Например, за последнее время, учитывая запросы клиентов, мы выпусти- ли коннекторы к российским "АПКШ Континент", "1С ЗУП", UserGate, VipNet и Secret Net, обновили – к Astra Linux и ОС Альт. Рыночные тренды мы, конеч- но, не игнорируем: ведь их тоже диктует заказчик. Для прогнозирования у нас есть встроенный сканер уязвимо- стей, который использует дан- ные сразу из девяти автори- тетных БДУ, включая базу ФСТЭК России. Есть инстру- менты расследования, напри- мер Task Management для командной работы над инци- дентами – с интеграцией с ГосСОПКА и IRP. Функционал реагирования реализован через внешние приложения, которые SIEM запускает и инструктирует о том, как посту- пить с угрозой. Наша ключевая позиция: задачи других продуктов лучше нас решат вендоры, которые на них специализируются. Их экспертизу мы привлекаем в качестве источников, поэтому делаем ставку на интеграции. Так, "СёрчИнформ SIEM" полу- чает данные ото всех ключевых ИБ-систем: от антивирусов до XDR, IDS, NGFW, различных TI-инструментов и т.д. Иногда для такой интеграции необяза- тельно даже писать отдельный коннектор, достаточно откры- того API. Таким образом, получаем сбалансированный вариант. У заказчиков "СёрчИнформ SIEM достаточно встроенных инстру- ментов, чтобы решить допол- нительные задачи (расследо- вание, реагирование, прогно- зирование) на базовом уровне. Возможностей интеграции хва- тит, чтобы усилить сразу весь контур защиты, когда по этим задачам SIEM будет обмени- ваться данными с профильны- ми ИБ-системами. В заключение Развитие систем SIEM неизбежно, они продолжат обрастать дополнительными функциями. Вопрос в том, каким образом это будет про- исходить. Реализуя нестандартные фичи, вендор рискует превра- тить SIEM в комбайн размыто- го назначения. В результате пострадает заказчик: если все силы вендора направлены в сторону, то может простаивать исправление багов, разработка новых коннекторов, совершен- ствование инструментов ана- литики. А в итоге такая систе- ма не будет закрывать норма- тивы (если они предписывают компании иметь IRP, то регу- лятора не устроит, что задачу решает SIEM, как хорошо бы в ней ни работало реагирова- ние). Поэтому выбирать SIEM по дополнительным возмож- ностям порой излишне – нет смысла доплачивать за них, если есть инструменты, решающие задачу гораздо проще. Мы делаем классическую SIEM, которая расширяет при- вычные возможности класса за счет поддержки внешней профессиональной эксперти- зы. Благодаря этому она с одной стороны эффективная, простая и "легкая", а с дру- гой – функциональная и адап- тивная к индивидуальным потребностям разных компа- ний, и к тому же открытая к росту. Попробуйте, как это работает: "СёрчИнформ SIEM" доступна для теста бесплатно в течение 30 дней 1 . l • 21 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ СЁРЧИНФОРМ см. стр. 62 NM Реклама 1 https://searchinform.ru/products/siem/