Интервью с экспертом: «Будущее SIEM: автоматизация, новый функционал и облачная модель»
Расскажите вкратце об эволюции технологии SIEM за последние несколько лет. Можно ли наметить наиболее важные поворотные моменты в процессе этой эволюции? Как изменились SIEM за последние годы, и что стало причиной этих изменений?
Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции. И традиционно анализ собранных массивов данных ограничивается определением соответствия правил корреляции событий ИБ по матрице MITRE ATT&CK (это такая база знаний с описанием тактик, техник и процедур атак злоумышленников). Однако объемы обрабатываемых данных с каждым годом растут. Все большую актуальность приобретает работа с облаками и в облаках. Вслед за меняющимся ИТ-ландшафтом эволюционируют и системы класса SIEM. А компании-пользователи SIEM-систем все чаще видят в них не только системы сложной обработки больших объемов событий, но и ядро, обеспечивающее функционирование Центра мониторинга и реагирования на инциденты (Security Operations Center, SOC). Такому центру для выполнения бизнес-задач жизненно необходима информация о составе и функционировании внутренней вычислительной инфраструктуры компании, ее связи с непрерывностью операционной составляющей бизнеса, данные о внешних угрозах и так далее. И SIEM-системы неизбежно начинают «заползать» на поле других продуктов ― User and Entity Behavior Analytics (UEBA), Endpoint Detection and Response (EDR), Network Traffic Analysis (NTA), Incident Response Platforms (IRP). Иногда это происходит через интеграцию с внешними решениями, иногда ― через поглощение существующих решений. А иногда и эти решения обзаводятся своей SIEM.
Какие направления развития SIEM станут наиболее актуальными на горизонте следующих трех-пяти лет? Почему именно эти направления станут актуальными?
Мы ожидаем продолжения развития систем в двух глобальных направлениях: повышение качества работы с SIEM и сокращение объема ручной работы операторов при мониторинге и реагировании на инциденты. В частности, наиболее перспективными направлениями, которые помогут SIEM-системам лучше выявлять инциденты ИБ и предотвращать их последствия, в ближайшие годы станут:
- Обогащение экспертизы в части управления системой: сложность эксплуатации систем на фоне дефицита квалифицированной рабочей силы ― проблема, с которой сталкивается множество компаний. Производители будут отвечать на это улучшением «коробочного» контента, повышением удобства использования продуктов, гармонизацией продуктовых возможностей с популярными внешними инициативами, такими как MITRE ATT&CK . В частности, речь идет о создании и поставке правил нормализации, способах настройки источников, пакетах с правилами обнаружения угроз, инструкциях по активации источников, описаниях правил детектирования, рекомендациях о том, что делать, если правило сработало и т. п. В этом же контексте будет вестись и работа с провайдерами (Managed Security Service Provider, MSSP), предлагающими SIEM как сервис.
- Автоматизация реагирования на инциденты: до 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам они относят работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов (58% и 52% соответственно). У почти трети специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок к смещению SIEM-систем в область другого класса продуктов — Security Orchestration, Automation and Response (SOAR).
- Расширение возможностей SIEM-систем за счет инструментов, свойственных другим классам средств защиты (анализа трафика, анализа происходящего на конечных узлах, анализа поведения пользователей и сущностей).
- В тренде на интеграцию наиболее актуальной остается конвергенция технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR). Это ожидаемый ответ на повышение требований к качеству мониторинга, выявления и реагирования на инциденты. Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Стремление получить на одном экране единую картину происходящего в инфраструктуре также будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично, и почему это поведение для них нетипично.
- Использование облаков в качестве источника данных для мониторинга ИБ, и предоставление SIEM в формате облачного сервиса: в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам. С другой стороны, этот подход стимулирует самих вендоров учиться предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru