Журнал "Information Security/ Информационная безопасность" #5, 2020

Развитие экспертизы В числе факторов, влияющих на рынок SIEM, можно отметить развитие экспертизы в управлении системой. Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и корреляции событий. Для повышения каче- ства мониторинга собы- тий безопасности SIEM этого недостаточно: нужны правила норма- лизации, способы настройки источников, правила обнаружения угроз, инструкции по активации источников, описания правил детектирова- ния, плейбуки. Например, в 2018 г. в решении MaxPatrol SIEM 2 появилась воз- можность загружать пакеты экс- пертизы – набор тематических правил обнаружения угроз, а с 2019 г. пользователи ежемесячно получают новые пакеты экспер- тизы. Каждый пакет в интерфей- се сопровождается подробным описанием с рекомендациями по настройке правил и реагирова- нию на инциденты (см. рис. 1). По оценке экспертов Positive Technologies, в целом на миро- вом рынке каждый второй про- изводитель развивает собст- венную экспертизу для даль- нейшей ее передачи пользова- телям SIEM. Автоматизация реагирования на инциденты Согласно опросу 3 , проведен- ному Positive Technologies, 25% специалистов по ИБ проводят в SIEM-системе от двух до четы- рех часов ежедневно. К наибо- лее трудоемким задачам участ- ники опроса отнесли работу с ложными срабатываниями (донастройку правил корреля- ции) и разбор инцидентов, их отметили 58% и 52% респон- дентов соответственно. У 30% специалистов по информацион- ной безопасности много вре- мени отнимают настройка источников данных и отслежи- вание их работоспособности. Эти проблемы дают стимул для развития SIEM-систем в область продуктов другого класса – оркестрацию событий безопас- ности и автоматическое реаги- рование, или SOAR (Security Orchestration, Automation and Automated Response). Развитие поведенческого анализа пользователей и сущностей Стремление получить на одном экране единую картину происходящего в инфраструкту- ре будет способствовать добав- лению к возможностям SIEM инструментов UEBA 4 – поведен- ческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего 30 • СПЕЦПРОЕКТ Как будут развиваться SIEM-системы в ближайшие три года прос на SIEM-системы 1 в мире остается достаточно высоким. По данным The Insight Partners, этот зрелый и высококонкурентный рынок, несомненно, продолжит свое развитие и вырастет с $2,597 млрд в 2018 г. до $6,24 млрд в 2027 г. В этой статье мы попробуем спрогнозировать, какими будут SIEM через три года, а также определим популярные технологические тренды, которые помогут таким системам лучше выявлять киберинциденты и предотвращать их последствия. С Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies Роман Ванерке, технический директор АО “ДиалогНаука” Рис. 1. Описание пакета экспертизы в базе знаний MaxPatrol SIEM 1 Security Information and Event Management (SIEM) – управление событиями информационной безопасности. 2 https://www.ptsecurity.com/ru-ru/products/mpsiem/ 3 https://www.ptsecurity.com/ru-ru/research/analytics/siem-report-2019/ 4 User and Entity Behavioral Analytics (UEBA) – поведенческий анализ пользователей и сущностей.