Журнал "Information Security/ Информационная безопасность" #4, 2024

Многие компании для мониторинга событий информационной безопасности и управления инцидентами используют SIEM-системы. В ряде отраслей этот класс продуктов уже превратился в неотъемлемый элемент защиты. Современные SIEM-решения обеспечи- вают мониторинг, выявляют подозри- тельную активность, расширяют воз- можности реагирования на угрозы, соби- рая записи об инцидентах из различных источников и представляя операторам SOC данные в удобном формате. Новые вызовы Наряду с развитием технологий кибер- защиты SIEM-системы сталкиваются и с новыми вызовами. Яркий тому при- мер – работа правил корреляции, заклю- чающаяся в возможности соотносить различные типы данных между собой. Это одна из ключевых функций SIEM- решения, которая позволяет выявлять связи между различными событиями и своевременно реагировать на угрозы. Правила корреляции имеют ряд ограничений, например: l большое количество ложных сраба- тываний, обработка которых перегру- жает аналитиков и мешает выявлять реальные угрозы; l несоответствие некоторых атак пра- вилам корреляции, из-за чего специа- листы могут их не заметить; l изолированный анализ событий (без учета контекста), который снижает эффективность правил, а значит – и всей защиты. На наш взгляд, логичным шагом в раз- витии SIEM-систем станет внедрение машинного обучения (Machine Learning, ML) – способности продукта самостоя- тельно обучаться и развиваться на осно- ве полученных данных. Что может ML в SIEM Различные модели машинного обуче- ния предлагают несколько способов пре- одоления ограничений в работе правил корреляции SIEM-систем. С их помощью можно: l анализировать огромные объемы дан- ных и выявлять закономерности, что позволяет уменьшить количество лож- ных срабатываний; l выявлять аномалии и нестандартные цепочки событий, которые не прописаны в правилах; l обучать модели и адаптировать их к новым данным, что позволит подстраи- ваться под изменяющуюся природу атак; l учитывать контекст и связи между различными событиями, анализируя дан- ные в совокупности, а не изолированно; l интегрировать машинное обучение в другие инструменты и системы без- опасности для более комплексного ана- лиза событий. Часть преимуществ машинного обуче- ния еще только предстоит реализовать в SIEM-системах, но некоторые ML- модели присутствуют в продуктах уже сегодня. Рассмотрим их подробнее. Рекомендательная система Одна из таких моделей – рекоменда- тельная система, которая помогает опре- делять, насколько типично поведение пользователя при работе с процессами. Допустим, некий программист всегда работал с кодом в Visual Studio Code, но в какой-то момент решил перейти на PyCharm. В этом случае привычные пра- вила корреляции заставили бы забить тревогу просто потому, что обычный сотрудник использовал другой редактор. Конечно, в результате такое событие было бы признано ложноположитель- ным, но ресурсы системы и внимание специалистов по ИБ могли бы быть направлены на него в ущерб другому событию, более значимому. Как показывает этот пример, тради- ционные подходы плохо адаптированы к реальности: они не помогают SIEM- решению понимать контекст. Рекомен- дательная система на основе машинного обучения могла бы присваивать разным пользователям некий набор типичных 22 • СПЕЦПРОЕКТ Зачем SIEM-системе машинное обучение: реальные сценарии использования очему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем? П Артем Проничев, руководитель группы анализа событий безопасности, Positive Technologies Александр Мамылов, старший ML-инженер группы анализа событий безопасности, Positive Technologies Тимур Смирнов , младший ML-инженер группы анализа событий безопасности, Positive Technologies Фото: Positive Technologies Фото: Positive Technologies Фото: Positive Technologies