Журнал "Information Security/ Информационная безопасность" #4, 2025

• 25 SIEM www.itsec.ru Екатерина Едемская, "Газинформсервис" Самой большой ошибкой было излиш- нее доверие к автоматическим меха- низмам и недостаточная интеграция с реальными бизнес-процессами и потребностями безопасности. Многие организации фокусировались на сборе как можно большего объема данных, игнорируя важность качественного ана- лиза и своевременного реагирования. Урок, который следует извлечь, заклю- чается в том, что SIEM должен быть не просто хранилищем данных, но и актив- ным инструментом для улучшения реак- ций на инциденты, требуя постоянной настройки и адаптации под меняющиеся угрозы. Иван Прохоров, Positive Technologies На мой взгляд, иллюзия заключалась в вере, что no-SIEM решения (XDR, обе- щавшие "всё в одном") полностью вытес- нят SIEM. Но практика показала, что они часто ограничены экосистемой вен- дора и не заменяют возможностей кросс- платформенной корреляции данных от XDR, сетевых источников, облаков и дру- гих систем. Главный урок: не заменять, а интегрировать. SIEM остается мозго- вым центром для расследований, обес- печения целостной картины угроз и кон- текста происходящего. Николай Лишке, "Эшелон Технологии" Главная иллюзия – фокус на коро- бочных решениях для Enterprise без учета реальных условий рынка. Неко- торые производители игнорировали необходимость поддержки российских ОС, что сейчас усложняет внедрения в госсекторе и МСБ. Вторая иллюзия – убеждение, что мониторинг необходим только крупным компаниям. На деле и МСБ сталкивается с атаками, но из- за сложности настройки и высокой стоимости некоторых решений они вынуждены обходиться шаблонными правилами, пропуская реальные угро- зы. Урок прост: SIEM должен быть гиб- ким и доступным. Хороший подход для МСБ – сценарии под российские стан- дарты, чтобы стартовать с минималь- ными ресурсами и постепенно расши- рять возможности мониторинга. Максим Тумаков, BI.ZONE Частое заблуждение заключается в том, что команда, развернувшая SIEM- систему, считает, что инфраструктуру защищает сам факт ее наличия. В дей- ствительности крайне важно, чтобы SIEM была адаптирована под особенности инфраструктуры конкретной организа- ции. Можно снизить нагрузку на SIEM, подключая только приоритетные источ- ники событий, корректно адаптировать детектирующие правила к ИТ-ландшаф- ту и избежать лишних ложноположи- тельных срабатываний. Дмитрий Чеботарев, UserGate SIEM В мире SIEM есть множество мифов, иллюзий и ошибок. Сейчас к заказчи- кам приходит понимание того, что клас- сическое решение с его базовым набо- ром функциональности не актуально. А вот в чем у них в действительности есть потребность, так это в новом про- дукте, обладающем большими возмож- ностями. Например, SIEM, включающий функциональность IRP/SOAR, обогаще- ние за счет TI, взаимодействие с EDR, а также поддержку экосистемного под- хода. Роман Овчинников, Security Vision Главное заблуждение – это ожидание панацеи, надежда, что с помощью только SIEM будут решены все проблемы. SIEM – это инструмент, который требует настройки, процессов, контроля и раз- вития. Без подобного подхода не будет достигнут желаемый результат. Можно также отметить ложное мнение, что SIEM является признаком наличия в компании SOC. SIEM, конечно, важная Какая самая большая ошибка или иллюзия была в подходах к SIEM в 2019– 2024 гг., и какие уроки сегодня можно из нее извлечь? Прожектор перестройки SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сего- дня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поде- литься своим видением и опытом. SIEM Эксперты: Даниил Вылегжанин, начальник отдела технического сопровождения продаж, RuSIEM Александр Дорофеев, генеральный директор АО “Эшелон Технологии” Екатерина Едемская, инженер-аналитик, компания “Газинформсервис” Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии” Денис Лобанов, руководитель продукта MaxPatrol SIEM Виктор Никуличев, руководитель продукта R-Vision SIEMM Роман Овчинников, директор департамента внедрения Security Vision Илья Одинцов, Product Manager Alertix, NGR Softlab Алексей Павлов, директор по развитию продуктов Positive Technologies Артем Проничев, руководитель по ML в MaxPatrol SIEM Иван Прохоров, руководитель продукта MaxPatrol IM/SIEM Павел Пугач, системный аналитик “СёрчИнформ” Максим Тумаков, руководитель направления SIEM и SOAR, BI.ZONE Дмитрий Чеботарев, менеджер по развитию продукта UserGate SIEM