Интервью с экспертом: «Будущее SIEM: автоматизация, новый функционал и облачная модель»

Расскажите вкратце об эволюции технологии SIEM за последние несколько лет. Можно ли наметить наиболее важные поворотные моменты в процессе этой эволюции? Как изменились SIEM за последние годы, и что стало причиной этих изменений?

Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции. И традиционно анализ собранных массивов данных ограничивается определением соответствия правил корреляции событий ИБ по матрице MITRE ATT&CK (это такая база знаний с описанием тактик, техник и процедур атак злоумышленников). Однако объемы обрабатываемых данных с каждым годом растут. Все большую актуальность приобретает работа с облаками и в облаках. Вслед за меняющимся ИТ-ландшафтом эволюционируют и системы класса SIEM. А компании-пользователи SIEM-систем все чаще видят в них не только системы сложной обработки больших объемов событий, но и ядро, обеспечивающее функционирование Центра мониторинга и реагирования на инциденты (Security Operations Center, SOC). Такому центру для выполнения бизнес-задач жизненно необходима информация о составе и функционировании внутренней вычислительной инфраструктуры компании, ее связи с непрерывностью операционной составляющей бизнеса, данные о внешних угрозах и так далее. И SIEM-системы неизбежно начинают «заползать» на поле других продуктов ― User and Entity Behavior Analytics (UEBA), Endpoint Detection and Response (EDR), Network Traffic Analysis (NTA), Incident Response Platforms (IRP). Иногда это происходит через интеграцию с внешними решениями, иногда ― через поглощение существующих решений. А иногда и эти решения обзаводятся своей SIEM.

Какие направления развития SIEM станут наиболее актуальными на горизонте следующих трех-пяти лет? Почему именно эти направления станут актуальными?

Мы ожидаем продолжения развития систем в двух глобальных направлениях: повышение качества работы с SIEM и сокращение объема ручной работы операторов при мониторинге и реагировании на инциденты. В частности, наиболее перспективными направлениями, которые помогут SIEM-системам лучше выявлять инциденты ИБ и предотвращать их последствия, в ближайшие годы станут:

Обогащение экспертизы в части управления системой: сложность эксплуатации систем на фоне дефицита квалифицированной рабочей силы ― проблема, с которой сталкивается множество компаний. Производители будут отвечать на это улучшением «коробочного» контента, повышением удобства использования продуктов, гармонизацией продуктовых возможностей с популярными внешними инициативами, такими как MITRE ATT&CK . В частности, речь идет о создании и поставке правил нормализации, способах настройки источников, пакетах с правилами обнаружения угроз, инструкциях по активации источников, описаниях правил детектирования, рекомендациях о том, что делать, если правило сработало и т. п. В этом же контексте будет вестись и работа с провайдерами (Managed Security Service Provider, MSSP), предлагающими SIEM как сервис.

Автоматизация реагирования на инциденты: до 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам они относят работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов (58% и 52% соответственно). У почти трети специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок к смещению SIEM-систем в область другого класса продуктов — Security Orchestration, Automation and Response (SOAR).

Расширение возможностей SIEM-систем за счет инструментов, свойственных другим классам средств защиты (анализа трафика, анализа происходящего на конечных узлах, анализа поведения пользователей и сущностей).

В тренде на интеграцию наиболее актуальной остается конвергенция технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR). Это ожидаемый ответ на повышение требований к качеству мониторинга, выявления и реагирования на инциденты. Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность.
Стремление получить на одном экране единую картину происходящего в инфраструктуре также будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично, и почему это поведение для них нетипично.

Использование облаков в качестве источника данных для мониторинга ИБ, и предоставление SIEM в формате облачного сервиса: в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам. С другой стороны, этот подход стимулирует самих вендоров учиться предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM.

На этих технологиях акцентируются и ведущие аналитические агентства. Так, к примеру, Gartner считает недостатком современных SIEM-решений отсутствие поддержки анализа трафика, инструментов оркестрации, поведенческого анализа пользователей и сущностей, облачных инфраструктур. А IDC, в свою очередь, рекомендует ориентироваться на поставщиков, у которых есть своя экспертиза в области безопасности, и способных предложить возможности автоматизации и оркестрации управления инцидентами.

Российские технологии SIEM имеют свои специфические черты в части их функционала и подходов к использованию? В чем эта специфика?

Российские SIEM-технологии относительно молоды. В частности, наш MaxPatrol, ставший первым отечественным решением такого класса, присутствует на рынке с 2015 года. Особенности российских SIEM связаны со спецификой «домашнего» рынка: у нас много внутренних производителей программного обеспечения, которое желательно или обязательно к использованию, и является источником данных для SIEM. Еще один (не менее важный) нюанс ― наличие локальных регуляторов, оказывающих влияние на рынок средств защиты информации (СЗИ). Также нужно отметить, что готовность отечественных компаний малого и среднего бизнеса к инвестициям в SOC и SIEM на сегодняшний день низка, а основная доля пользователей такого рода технологий сосредоточена в крупном бизнесе. При этом отечественный крупный бизнес крайне осторожно относится к облачным решениям и, как следствие, не формирует соответствующего давления на производителей SIEM в части развития облачных технологий. Отдельная большая проблема состоит и в острейшей нехватке квалифицированных сотрудников для эксплуатации SIEM-систем.

Различаются ли реальные требования к SIEM российских заказчиков в зависимости от их отраслевой принадлежности? Как в современных технологиях SIEM учитывается отраслевая специфика?

В основном, безусловно, все хотят примерно одного и того же, так как следуют общим принципам и практикам организации вычислительной инфраструктуры. Но там, где общее заканчивается, начинаются, как обычно, частности. Сбор данных из технологических сегментов, работа со специфическим уникальным оборудованием через стандартные протоколы, работа через диоды данных, офлайн-сбор. Зрелое решение должно предлагать способы решения подобных задач на этапе внедрения SIEM силами партнера, осуществляющего такое внедрение.

Как в России проводится оценка соответствия (сертификация) SIEM-продуктов?

Продукты класса SIEM для ФСТЭК России являются средствами управления информационной безопасностью и средствами контроля (анализа) защищенности информации, реализующими функции регистрации событий безопасности, выявления и анализа уязвимостей информационных систем. Сейчас специальных требований к SIEM-системам у ФСТЭК России нет. Но они с высокой долей вероятности будут установлены: проект таких требований уже рассылался в 2020 году вендорам для ознакомления и комментирования. На сегодняшний день оценка соответствия в форме обязательной сертификации осуществляется на соответствие техническим условиям (ТУ) и Требованиям доверия. У ФСБ России также отдельных требований к SIEM нет, но есть требования к средствам ГосСОПКА (Приказ ФСБ России № 196 от 06.05.2019 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»), в которых есть, в числе прочего, и функционал SIEM-систем. Тем не менее обязательной сертификации на соответствие Требованиям к средствам ГосСОПКА нет.

Планируется ли проведение оценки соответствия вашего продукта требованиям Приказа ФСБ России № 196 от 06.05.2020 г.?

Да, конечно. Сейчас проводится согласование Программы и методик испытаний комплексов средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак, на соответствие требованиям Приказа ФСБ России № 196. После согласования их с ФСБ России мы планируем провести испытания, задокументировать результаты соответствующим образом и отправить их на согласование в ФСБ России. Рассчитываем, что согласование Программы и методики испытаний, а также проведение испытаний, как отдельные последовательные этапы, мы завершим до конца этого года.

Насколько продукт Positive Technologies зависим от санкций? Применяются ли в вашем продукте решения, поставка которых в Российскую Федерацию может быть ограничена?

Прямо сейчас мы завершаем переход продукта на Linux и open-source стек внешних технологий. В конечном счете это должно ослабить подобные (санкционные) риски.

Обращаются ли вендоры СЗИ или ПО в Positive Technologies для включения своих продуктов в список продуктов, поддерживаемых SIEM, или это по-прежнему разовая настройка для конкретного набора ПО клиента? Существуют ли какие-нибудь требования к подключаемому ПО (интерфейс/API, разметка событий и др.)?

Обращаются. Это скорее даже перманентный процесс, в котором участвуют несколько сторон. Инициатива может исходить от самого производителя того или иного средства защиты информации, а также непосредственно от компании-пользователя СЗИ или ПО. Инициатива возможна и стороны компании-партнера, поставляющего наш продукт конечному пользователю. Для распространенных источников поддержка переносится «в коробку». При этом отмечу, что поддержать можно в прямом смысле что угодно, однако соответствие набору готовых инструментов (транспорты, адекватность форматов данных) влияет на скорость реализации поддержки конкретного продукта.

Существует ли тенденция к переводу SIEM на продукт с открытым исходным кодом, который может дорабатываться сообществом?

Пока open-source решения слабо сказываются на расстановке сил среди основных рыночных игроков. Возможно, что в будущем это изменится. Построить решение на базе open-source технологий можно и сейчас, но это непростой и дорогой процесс, требующий весьма специфических компетенций.

Интервью с экспертом: «Автоматизация в информационной безопасности: подходы, обоснованные практикой» Технология блокчейн с точки зрения информационной безопасности. Часть 1

Все статьи

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Будущее SIEM: автоматизация, новый функционал и облачная модель»

Интервью с экспертом: «Будущее SIEM: автоматизация, новый функционал и облачная модель»

Другие материалы