Журнал "Information Security/ Информационная безопасность" #5, 2025

Эта трансформация неизбежна. Она повторяет путь, который прошли многие высокотехнологичные отрасли: от авиа- ции до финансов. Там, где автоматиза- ция повышает скорость, человеческий контроль становится еще важнее. SOC движется тем же путем. Автоматизация упирается в зре- лость данных Автоматизация в SOC развивается, но далеко не так быстро, как хотелось бы. Главная причина – качество данных. Слишком много инфраструктур нахо- дятся в состоянии постоянной перера- ботки: миграции в облако, разнородные агенты, разношерстные системы логи- рования, неоднородные политики. В таких условиях автоматизация рабо- тает только там, где заранее обеспечена стабильность. А стабильность – это то, чего корпоративные ИТ сегодня почти лишены. Автоматизация помогает там, где события типизированы. Но сложные инциденты требуют понимания контекс- та, которое невозможно формализовать полностью. Поэтому L1 в ближайшие два года никуда не исчезнет, а L2, напротив, станет более загруженным. Попытки искусственно сократить первую линию приведут лишь к ухудшению каче- ства услуг. В итоге автоматизация займет ту нишу, которая ей подходит: снижение операционных затрат, ускорение рутин- ных операций, обеспечение стабиль- ности анализа. Но это вспомогательное звено, а не доминирующее направле- ние. SIEM как нервная система SOC SIEM часто воспринимают как обяза- тельный элемент схемы SOC, будто он остается в архитектуре только потому, что его сложно выкинуть из привычной диаграммы. Но это поверхностное впе- чатление, которое ничего не говорит о реальной роли. На самом деле SIEM меняется быстрее большинства других компонентов и гораздо лучше отражает ту сложность, в которой сегодня живет SOC. Если внимательно посмотреть на характер современных атак и на то, как устроены корпоративные инфраструк- туры, становится ясно: заменить SIEM невозможно не из-за инерции рынка, а из-за фундаментальной природы самой задачи. Любые разговоры о том, что SIEM вот-вот исчезнет благодаря XDR, облач- ным аналитикам или новым поведенче- ским системам, заканчиваются, как толь- ко мы выходим из области маркетинга и погружаемся в техническую плоскость. Каждое из этих решений видит только отдельный фрагмент инфраструктуры. EDR видит конечную точку, NDR – сеть, облачные сервисы – лишь свою область ответственности. Атаки же давно прохо- дят через множество плоскостей одно- временно. Инцидент в 2025 г. – это не отдельный лог, а цепочка, проходящая через сеть, облако, конечные точки, API, сервисы поставщиков и контейнерные платформы. Механизм, который спосо- бен собрать эту цепочку в связное пове- ствование, в единую картину, по-преж- нему только один – SIEM. При этом меняется и логика корреля- ции. Десять лет назад это были жесткие паттерны: если А и Б – подними тревогу. SIEM тогда работал как система правил. Сегодня корреляция стала куда более гибким механизмом. Она учитывает поведение, временные зависимости, семантику событий, контекст инфра- структуры, состояние объектов, профиль пользователя. Современная корреляция – это не проверка двух условий, а попыт- ка реконструировать намерение. И имен- но SIEM остается той средой, где эта интерпретация возможна. Если сравнить SIEM десятилетней дав- ности и SIEM сегодняшнего дня, кажется, что мы говорим об абсолютно разных сущностях. И мы хорошо это видим на примере нашей платформы RuSIEM 1 . В 2015 г. SIEM функционировал в пред- положении, что данные стабильны, а источники предсказуемы и достоверны. Сейчас все иначе. Потоки данных неоднородны и требуют нормализации. Источники появляются и исчезают с высокой скоростью. Поведение поль- зователей и сервисов стало динамиче- ским и непредсказуемым. Корреляция требует семантического анализа. А тот же ИИ способен работать эффективно только когда получает хорошо структу- рированный и очищенный контекст. SIEM обеспечивает этот кон- текст, превращая разроз- ненную телеметрию в материал, пригодный для анализа и при- нятия решений. Поэтому роль SIEM не уменьшается, а растет. Парадоксально, но чем больше ИИ проникает в SOC, тем сильнее ста- новится зависимость ИИ от SIEM. Моде- ли машинного обучения не могут кор- ректно работать без структурированного контекста, без истории событий, без точного понимания связей между источ- никами. ИИ пытается находить законо- мерности, но только SIEM обеспечивает среду, в которой эти закономерности действительно отражают реальность. Именно поэтому SIEM нельзя заме- нить. Его можно улучшать, можно уси- ливать ИИ, можно облегчать инфра- структурную нагрузку, но сама функция остается уникальной – быть единой точ- кой сборки смыслов. Заключение Ответственность, ИИ, автоматизация, новые роли, эволюция SIEM – все это подводит рынок к главному: SOC станет услугой, продающей результат. Для мно- гих организаций рынка ИБ это будет непривычно, но иначе не получится. Если SOC хочет оставаться актуаль- ным, он должен защищать, а не только реагировать. Он должен брать на себя ответственность, а не только выполнять процедуры. Качество его работы должно измеряться по снижению риска, а не по скорости закрытия тикетов. Ближайшие два года станут водо- разделом. Либо SOC перейдет к модели сервисной ответственности с гарантия- ми, страхованием, контролем качества и глубокой экспертизой, либо останется набором инструментов, которые будут постепенно терять качество по мере усложнения ландшафта угроз. l • 23 SOC + SOAR www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 74 NM Реклама Фото: Гротек 1 https://www.rusiem.com/