Журнал "Information Security/ Информационная безопасность" #4, 2025

26 • СПЕЦПРОЕКТ система в SOC, но далеко не един- ственная. Важно помнить, что SOC – это, помимо СЗИ, люди и выстроенные процессы. Павел Пугач, "СёрчИнформ" Ключевой ошибкой была недооценка комплексного контроля. Многие ком- пании, особенно МСБ, жили с установ- кой "мы никому не интересны". Это порождало иллюзию, что точечных средств защиты будет достаточно. Реальность после 2022 г. показала, что частота и изощренность атак тре- буют не набора разрозненных инстру- ментов, а единого центра управления. SIEM – и есть такой центр. Он объеди- няет данные из других СЗИ и позволяет комплексно выявлять угрозы, причем на ранней стадии – до наступления реального ущерба. Безопасность не может быть фрагментарной, ей нужно управлять. Виктор Никуличев, R-Vision Иллюзия, что коробочный SIEM решит все задачи и даже без настройки. К сожалению, каждая организация абсолютно индивидуальна. Если пытаться угодить всем, то методы детектирования становятся либо очень универсальными и одновременно сла- быми, либо раздражающими, потому что ругаются на все и генерируют мно- жество срабатываний. Компании необходимо хорошо понимать свою инфраструктуру и фокусировать работу решений ИБ на том, что действительно важно. Для этого SIEM в первую оче- редь должен обладать всем необходи- мым функционалом, чтобы решить ключевые задачи бизнеса для обес- печения защищенности, даже самые сложные. Даниил Вылегжанин, RuSIEM Очень часто SIEM воспринимается как волшебная пилюля, купив которую заказчик решит сразу все свои про- блемы и увидит все проблемные зоны предприятия. Однако важно понимать, что любая SIEM-система требует тща- тельной настройки под конкретную инфраструктуру как при внедрении, так и при последующей эксплуатации. Помимо этого, предприятию нужно обладать определенным штатом сотрудников, которые будут непрерыв- но работать с системой, подключать новые источники, создавать правила корреляции для выявления новых типов угроз, редактировать существующие правила, проводить расследования и реагировать на инциденты и многое другое. Это целый процесс, который должен быть очень четко выстроен. К сожалению, иногда именно к выстраи- ванию этого процесса заказчики под- ходят недостаточно серьезно, что при- водит к снижению удовлетворенности от приобретенной SIEM. Илья Одинцов, NGR Softlab Иллюзия, что SIEM можно сделать простой системой и обеспечить защи- ту всех активов минимальными тру- дозатратами. Но стоимость решений выросла, SIEM требует экспертизы для проектирования и сопровожде- ния. Илья Одинцов, NGR Softlab SIEM – это мощная и гибкая система которая подходит для крупных заказчи- ков со зрелыми командами. XDR хорошо подойдет небольшим командам в сег- менте МСБ. Павел Пугач, "СёрчИнформ" На вопрос об архитектуре отвечу как архитектор (пусть и бывший). XDR и EDR – это превосходные, высокотех- нологичные кирпичи. Они обеспечивают исключительную защиту на конечных точках. Но нельзя строить здание без плана. Вам нужен проект, который определит, что и где должно быть. Это роль SIEM. XDR/EDR поставляют ей сырые данные и исполняют ее команды. Без централизованного управления даже самые продвинутые инструменты работают разрозненно, оставляя без- защитными слепые зоны для атакую- щего. Иван Прохоров, Positive Technologies SIEM незаменим как единая платфор- ма для корреляции событий из всех источников, включая XDR/EDR, сеть и другое ПО. Можно сказать, что XDR/EDR – это эксперты по эндпоинтам, а SIEM – стратег, связывающий их дан- ные с угрозами во всей инфраструктуре. Рациональная архитектура обеспечения ИБ должна строиться на синергии про- дуктов ИБ, где SIEM обеспечивает детект, контекст и помощь в расследо- вании, а XDR/EDR – скорость реагиро- вания на атаки. Екатерина Едемская, "Газинформсервис" SIEM по-прежнему должен оставаться центральным элементом управления без- опасностью, поскольку он интегрирует данные из множества источников и пре- доставляет комплексную картину угроз на уровне всей инфраструктуры. В иде- альной архитектуре SIEM и XDR/EDR долж- ны работать в тесной связке, где SIEM выполняет роль централизованного хаба для агрегации данных, а XDR/EDR стано- вятся дополнительными инструментами для детального анализа и быстрого реа- гирования на инциденты. Максим Тумаков, BI.ZONE SIEM и XDR/EDR не конкурируют, а дополняют друг друга. SIEM позволяет работать с широким спектром источни- ков и решает задачу по длительному хранению и корреляции событий от раз- ных источников, в то время как решения класса XDR/EDR сконцентрированы на том, чтобы дать большую глубину детек- та на конечных точках, а также предо- ставить возможности для быстрого реа- гирования на угрозы через все доступ- ные СЗИ. Поэтому данные решения должны работать в комплексе, а не замещаться друг другом. Должен ли SIEM оста- ваться центральным эле- ментом управления без- опасностью в корпора- тивной инфраструктуре, или рациональнее строить архитектуру вокруг XDR/EDR, оставив SIEM на вспомогательной роли? Рисунки: ГРОТЕК