Журнал "Information Security/ Информационная безопасность" #4, 2025

• 29 SIEM www.itsec.ru потребности в квалифицированных кад- рах в разы, но полностью заменить человека в ближайшие несколько лет точно не получится, поэтому усилия по выращиванию кадров сводить на ноль нельзя. Павел Пугач, "СёрчИнформ" Максимальная автоматизация – вер- ная стратегия. Она позволяет снизить риски, связанные с текучкой кадров. Инвестируя только в подготовку ана- литиков, компания зачастую просто повышает их рыночную стоимость. Но при этом подготовленный специалист остается главным активом. Автомати- зация, идеальная вчера, сегодня может оказаться бесполезной против нового типа атак. Лучше не выбирать что-то одно, а выстраивать систему, где тех- нологии усиливают людей, а люди постоянно совершенствуют автомати- зацию. Екатерина Едемская, "Газинформсервис" Я бы добавила функцию предсказа- ния атак с использованием машинного обучения и анализа больших данных. Эта способность позволила бы системе не только реагировать на инциденты, но и предсказать возможные угрозы до их возникновения, на основе историче- ских данных и текущих тенденций. Это дало бы возможность заранее подгото- виться и предпринять меры для пред- отвращения атак, значительно снижая риски и минимизируя ущерб от инци- дентов. Илья Одинцов, NGR Softlab Мой выбор – автоматизированное обучение сотрудников: как повышение осведомленности, так и повышение ква- лификации операторов системы. Роман Овчинников, Security Vision Во-первых – возможность обраба- тывать бесконечный поток событий, в том числе телеметрии с инфраструк- туры, и при этом не требовать значи- тельных вычислительных ресурсов или лицензий. Во-вторых – функционал полностью автоматической интеграции в любую ИТ-инфраструктуру с после- дующей адаптацией контента детек- тирования и обработки событий. То есть чтобы конечный потребитель мог просто установить и указать некие учетные записи, и далее SIEM в пол- ностью автоматическом режиме выполняла бы изучение ИТ-инфра- структуры с последующим подключе- нием доступных по сети источников, а также адаптировала весь свой экс- пертный контент для повышения каче- ства и эффективности своей работы (снижение FP и т.п.). Максим Тумаков, BI.ZONE Одной из самых сложных проблем, с которой сталкивается и наш SOC, и наши клиенты при эксплуатации SIEM, являются возрастающее количество алертов и необходимость ручного про- филирования для снижения количества ложноположительных срабатываний. В качестве суперсилы в BI.ZONE SIEM мы бы хотели в перспективе добавить модуль для автоматизированного про- филирования детектирующего контен- та. Тогда аналитики SOC смогли бы тратить меньше времени на добавление исключений и переключиться на другие задачи. Виктор Никуличев, R-Vision Было бы здорово если бы SIEM по кнопке мог сделать компанию невзла- мываемой. Но это не выглядит как сверх- сила. Представьте себе бессмертный SIEM – SIEM который не победит ни один баг, атака, сетевой разрыв или выход дисков из строя, пик нагрузки или горе-инженер. SIEM не способный умереть – вечный и надежный товарищ в работе SOC. Дмитрий Чеботарев, UserGate SIEM В первую очередь мы бы добавили функциональность, о которой мечта- тельно (хотя и в шутку) говорят заказчи- ки при личных встречах. Это волшебная красная кнопка, при нажатии на которую компания будет полностью защищена. К сожалению, наделить продукт такой сверхсилой вряд ли кто-то сможет, поэто- му приходится надеяться только на собственную экспертизу и заказчиков, готовых дать обратную связь для улуч- шения SIEM. Денис Лобанов, Positive Technologies Выбрал бы киллер-фичу, которая сде- лает атаки хакеров на инфраструктуру, где установлена SIEM-система MaxPatrol SIEM, бессмысленными. MaxPatrol SIEM – и хакер не пройдет! Кстати, мы активно движемся в этом направлении. Исполь- зование AI/ML-модуля MaxPatrol BAD вместе с MaxPatrol SIEM уже позволяет оператору SOC приоритизировать рабо- ту с наиболее критичными алертами, а новые пакеты экспертизы расширяют возможности по детектированию актив- ности вредоносного ПО и подозритель- ной сетевой активности. Павел Пугач, "СёрчИнформ" Моей идеальной сверхспособностью для SIEM стали бы моментальный пре- дикт и реагирование. Чтобы система предугадывала инцидент по малейшим признакам настолько заранее, что защита сразу адаптировалась бы и ни один контролируемый ресурс – будь то сетевое устройство, сервер или конеч- ная точка – не мог быть скомпромети- рован ни при каких обстоятельствах: ни удаленно, ни при прямом физиче- ском доступе. Александр Дорофеев, "Эшелон Технологии" У KOMRAD Enterprise SIEM 4.5 уже есть такая сверхсила. Она заключается в способности работать в рамках таких аппаратных ограничений, где конкуренты даже не смогут стартовать десятки сер- висов своих SIEM. l Если бы у вашего SIEM была сверхсила, какой функционал вы бы добави- ли первым и зачем? Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунки: ГРОТЕК