Журнал "Information Security/ Информационная безопасность" #4, 2025

может разворачиваться атака и какую хакерскую активность детектирует Max- Patrol SIEM), см. рис. 1. l Если злоумышленник использует уже существующую учетную запись с необхо- димыми правами, MaxPatrol SIEM тоже среагирует. Для этого применяются гото- вые правила корреляции, поставляемые экспертным центром безопасности Pos- itive Technologies – PT ESC. При этом продукт не ограничивается отдельными правилами для конкретных сценариев. MaxPatrol SIEM умеет корре- лировать несвязанные между собой события и автоматически повышать приоритет инцидента, если совпадает несколько условий. Аналитик видит это сразу – система визуально подсвечивает уровень опасности с помощью понятных иконок. MaxPatrol SIEM также интегри- руется с системой поведенческого ана- лиза сетевого трафика PT NAD. PT NAD поставляет события в MaxPatrol SIEM, что позволяет быстрее и точнее выявлять сложные атаки. Отсюда логично вытекает второй критерий – экспертиза. Поддерживать источник недостаточно, нужно уметь превращать журналы в историю атаки. Встроенные знания, готовые сценарии и накопленный опыт – именно они поз- воляют связать разрозненные события в цельную картину. Для этого вендоры выпускают регулярные обновления пра- вил корреляции. Например, пользова- тели MaxPatrol SIEM получают свежие пакеты экспертизы дважды в месяц. Но есть сложность: хакеры изобретают новые методы атак, маскируются под стандартные паттерны поведения поль- зователей и все чаще используют ИИ. Поймать таких хакеров непросто, и классических правил корреляции может не хватать. Чтобы закрыть этот разрыв, вендоры внедряют новые технологии: поведен- ческий анализ, машинное обучение, AI-алгоритмы. Эти технологии помогают SIEM-системе находить то, что невоз- можно поймать простыми правилами: необычные перемещения внутри пери- метра, странные действия администра- тора (нетипичное время подключения или регион, смена нескольких регионов за короткое время, массовое копирова- ние файлов), цепочки аномалий. Для аналитика это шанс понять, что система подсветила реальные действия ата- кующего, а не зарегистрировала десят- ки ложных срабатываний. Например, AI/ML-модуль MaxPatrol BAD в составе MaxPatrol SIEM помогает сфокусировать внимание аналитика на самом важном и сэкономить до 250 человеко-часов в неделю. Но даже самая умная SIEM-система ничего не стоит, если она не выдержи- вает нагрузки. И мы переходим к третье- му критерию. На старте любая система работает гладко, но через 2–3–6 месяцев накапливаются миллионы событий, сотни правил, десятки интеграций – и вот база захлебывает- ся, интерфейс вис- нет, правила отклю- чаются. Для SOC это новый кошмар – чинить инфра- структуру, вместо того чтобы ловить атакующих. Настоя- щая стабильность проверяется време- нем, и единствен- ный честный крите- рий – это референ- сы и кейсы, под- тверждающие, что система держит нагрузку. Например, мы в Positive Tech- nologies следуем правилу: наши про- дукты должны рабо- тать в нашем проде. Поэтому, когда выходит новый релиз MaxPatrol SIEM, мы его тестируем на себе – можно сказать, в "собственном SOCу": проверяем, что работает, а что нет, буквально обкатываем в реальных условиях и помогаем устранять баги. По итогам тестирования в нашем SOC кли- енты получают стабильный и технически продвинутый продукт, который прошел проверку внутри Positive Technologies. Сколько стоит внедрение решения класса SIEM? Новая SIEM-система для крупной ком- пании обходится в десятки миллионов рублей. В среднем лицензия – от 40 до 70 млн руб. в год, интеграция и касто- мизация – еще 20–50 млн руб., плюс оборудование или облако на 10–30 млн руб. На пересборку правил корреляции и дашбордов уходят тысячи часов рабо- ты инженеров – это еще 10–20 млн руб. только на зарплаты. SOC полгода или год держит два контура – старый и новый, что увеличивает затраты на людей и инфраструктуру на 20%–30%. Обучение команды – еще 4–10 млн руб. В итоге даже средний бизнес тратит на внедрение не менее 3–6 месяцев и 15–40 млн руб. Крупный (Enterprise) – сотни миллионов (80–200 млн руб.) и 6–12 месяцев. И это в идеальных условиях, без накладок. Теперь становится понятно, почему выбор системы SIEM – это выбор на годы вперед. Любая ошибка превращает про- цесс в многоуровневый кошмар: рассле- дования ломаются, сделки останавливают- ся, бизнес теряет доверие к команде ИБ. Поэтому грамотный CISO выбирает SIEM-систему не только по галочкам ("есть ли AI", "сколько коннекторов"), а ориентируется на стратегические вопросы: сколько есть успешных внед- рений, в каких они отраслях; соответ- ствует ли продукт бизнес-целям и тре- бованиям регуляторов; что с масштаби- руемостью, производительностью и отка- зоустойчивостью; какова стоимость вла- дения; насколько просто пользоваться продуктом; качество работы технической поддержки и т. д. Для тех, кто дочитал до конца, ниже – короткий чек-лист. Эти вопросы стоит задать себе при выборе системы SIEM. Короткий чек-лист для CISO при выборе SIEM-системы 1. Дают ли полезную информацию под- ключенные к SIEM-системе источники или это просто длинный список коннекторов? 2. Есть ли у вендора готовый контент и экспертиза, позволяющие связывать собы- тия в цельные сценарии атаки и быстро поставлять новые знания в продукт? 3. Используются ли современные тех- нологии (AI, ML, поведенческий анализ), которые закрывают разрыв между клас- сическими правилами корреляции и ата- ками сегодняшнего дня? 4. Подтверждена ли стабильность и производительность публичными кей- сами, которые выдержали месяцы и годы под нагрузкой? 5. Является ли SIEM-система решени- ем "на вырост", вокруг которого можно построить единый контур управления ИБ для SOC, а не временной "коробкой", приобретенной для отчетности? Если хотя бы на один вопрос был ответ "нет" – риск миграции на другое решение через год–два становится слишком высоким. И тогда речь пойдет о потере не только миллионов рублей, но и доверия бизнеса. Итог: SIEM – это не просто продукт для сбора журналов, а стратегическое решение, от которого зависит устойчи- вость бизнеса. l • 17 SIEM www.itsec.ru Рис. 3. Интеграция MaxPatrol SIEM и PT NAD Рисунок: Positive Technologies На правах рекламы