Журнал "Information Security/ Информационная безопасность" #4, 2024

• 37 SIEM www.itsec.ru позволит еще лучше выявлять Shadow IT (мы сможем не только проактивно выявлять новые активы, но и подключать их к мони- торингу). Мы будем развивать околопродукто- вые сервисы, которые увеличат качество и скорость написания правил нормали- зации за счет использования больших языковых моделей. Мы расширяем воз- можности нашего умного помощника Behavior Anomaly Detection (BAD), кото- рый сможет выявлять все более сложные новые тактики и техники злоумышлен- ников, подсказывать, какие действия нужно произвести для реагирования на инциденты. Мы добавляем инструменты, которые будут на понятном языке разъ- яснять то или иное срабатывание правил корреляции, а также причину, по которой BAD дал, например, высокую оценку риска того или иного события. Николай Лишке, Эшелон Технологии ГК "Эшелон" разрабатывает линейку решений SIEM, VM, NTA, интеграция которых между собой будет все более тесной. В KOMRAD Enterprise SIEM функ- ционал будет в первую очередь разви- ваться в части EDR (уже есть агенты), SOAR (уже есть автоматизация реаги- рования на уровне скриптов), IRP (уже есть подсистема управления инциден- тами) и TI (уже есть табличные списки для использования индикаторов ком- прометации). Дмитрий Пудов, NGR Softlab В составе Alertix уже есть функционал решений классов IM, TIP, ITAM, UBA, BI. Следуя тенденциям, мы планируем доба- вить возможность Response (IRP) и функ- ции проверки соответствия стандартам (Сompliance Сheck как часть функций SGRC). Мы видим развитие нашей плат- формы в создании множества функцио- нальных приложений, которые позво- ляют решать как ИБ-, так и распростра- ненные ИТ- или бизнес-задачи. Напри- мер, мы активно развиваем собственный инструмент визуализации и разграниче- ния доступа, что позволит применять решение и накопленные данные ИТ- специалистам для диагностики или оцен- ки утилизации ресурсов. Павел Пугач, СёрчИнформ SIEM должна оставаться SIEM. Со смежными ИБ-задачами лучше справятся профильные системы – это наша ключе- вая позиция. При этом в "СёрчИнформ SIEM" реализованы функции расследо- вания, реагирования, прогнозирования инцидентов благодаря интеграциям: встроенный сканер уязвимостей рабо- тает с девятью БДУ, Investigation-плат- форма интегрирована с ГосСОПКА и IRP для стандартизации процедур и отчетности, реагирование реализовано через запуск команд для внешнего ПО. Этого достаточно для решения смежных задач "в одном окне", при этом источни- ком выступает экспертиза профильных ИБ-вендоров. Илья Маркелов, Лаборатория Касперского Функции решений класса UEBA/UBA для поиска аномалий постепенно будут внедряться в SIEM-систему. Уже сейчас активно развиваются функции автома- тизации и оркестрации реагирования, традиционно относимые к SOAR-реше- ниям. Функции управления активами и уязви- мостями так же органично развиваются в рамках SIEM, а не только в отдельных решениях по инвентаризации активов (Asset Management) и Vulnerability Mana- gement. Для выявления инцидентов SIEM- решения должны использовать знания об угрозах, поэтому в них появляются функции для управления фидами Threat Intelligence, характерными для TI Platform. И, наконец, перспективным выглядит конвергенция с решениями для анализа внешнего периметра (EASM), так как применение этих данных в SIEM позво- ляет провести анализ возможных утечек или компрометаций внешних ресурсов. Дмитрий Шамаев, Газинформсервис Сомневаюсь, что возрастающее раз- нообразие источников событий может существенно повлиять на подходы к управлению данными в SIEM, так как до попадания практически в любую SIEM- систему сырые события от различных источников проходят этап нормализации, а после приводятся к единому формату, который у каждой SIEM-системы свой. А вот увеличение объема событий неизбежно приводит к необходимости решения проблем с хранением как в оперативном доступе, так и в архивном. Компоненты подсистемы хранения собы- тий SIEM постоянно совершенствуются, оптимизируются форматы хранения для более компактного хранения событий и более быстрого поиска, улучшаются функции архивации и разархивации событий. Дмитрий Пудов, NGR Softlab Есть несколько стратегий, реализуе- мых на практике. Если смотреть на мировой опыт, большинство вендоров двигаются в сторону Security Data Lakes, спроектированных для работы с Big Data. Есть альтернативный сценарий – использование более жестких моделей данных, которые позволяют оптимизи- ровать объемы хранилищ и скорость обработки, но требуют больше усилий на этапах подготовки данных. Вадим Порошин, Пангео Радар Один из приоритетов – сжатие данных, на разных этапах их обработки и хране- ния. Большое внимание уделяем повы- шению общей производительности системы, постоянно проводим нагрузоч- ные тесты и всего пайплайна, и каждого сервиса в отдельности. Находим узкие места, проводим доработки. Павел Гончаров, Positive Technologies Развитие получат продуктовые сер- висы, которые позволят кратно ускорить написание правил нормализации и опе- ративно поддерживать новые источники за счет применения технологий ML. Мы также вкладываем много ресурсов в разработку нашей собственной системы управления базами данных LogSpace, которая с помощью адаптированной технологии сжатия данных позволяет до 6–7 раз сократить объемы исполь- зуемого дискового пространства для хранения все возрастающего потока данных. Илья Маркелов, Лаборатория Касперского Повышаются требования к предвари- тельной обработке и аналитическим воз- можностям: человек не может без помощи системы проработать в рамках Threat Hunting огромные объемы данных. Соот- ветственно, от SIEM системы ожидается: 1. Формирование контекста. Необхо- димо предоставить аналитику полную картину по каждому срабатыванию, чтобы сократить время и усилия на сбор контекстной информации для принятия решения. 2. Автоматизация. От развертывания и подключения источников до реагиро- вания на инциденты. Система проводит пользователя по сценариям, чтобы не допускать ошибок и повысить скорость работы. 3. AI. Рост популярности ChatGPT, развитие автономных автомобилей и подобных технологий формирует ожи- дания все большей автономности систем ИБ, в том числе SIEM-решений. Однако здесь важно проявлять сдержанный оптимизм, учитывая высокую критич- ность роли ИБ. Не стоит ожидать, что в обозримой перспективе ИИ сможет заменить аналитика SIEM. Но опреде- ленно, аналитик SIEM, применяющий такие средства, получает множество преимуществ перед теми, кто их не использует. На глобальном рынке есть удачные примеры применения ИИ в SIEM для помощи в приоритизации, описании алертов и рекомендаций по реагирова- Как изменяется подход к управлению данными в SIEM, учитывая возрас- тающее разнообразие источников и увеличе- ние объема событий?