Интервью с экспертом: «Будущее SIEM: автоматизация, новый функционал и облачная модель»
10.11.2020
Теги: интервью SOC SIEM средство защиты ГосСОПКА
Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies, в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал об актуальных направлениях развития решений класса Security Information and Event Management (SIEM) и свойственной им российской специфике.
![]() | ||
Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies |
- Обогащение экспертизы в части управления системой: сложность эксплуатации систем на фоне дефицита квалифицированной рабочей силы ― проблема, с которой сталкивается множество компаний. Производители будут отвечать на это улучшением «коробочного» контента, повышением удобства использования продуктов, гармонизацией продуктовых возможностей с популярными внешними инициативами, такими как MITRE ATT&CK . В частности, речь идет о создании и поставке правил нормализации, способах настройки источников, пакетах с правилами обнаружения угроз, инструкциях по активации источников, описаниях правил детектирования, рекомендациях о том, что делать, если правило сработало и т. п. В этом же контексте будет вестись и работа с провайдерами (Managed Security Service Provider, MSSP), предлагающими SIEM как сервис.
- Автоматизация реагирования на инциденты: до 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам они относят работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов (58% и 52% соответственно). У почти трети специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок к смещению SIEM-систем в область другого класса продуктов — Security Orchestration, Automation and Response (SOAR).
- Расширение возможностей SIEM-систем за счет инструментов, свойственных другим классам средств защиты (анализа трафика, анализа происходящего на конечных узлах, анализа поведения пользователей и сущностей).
- В тренде на интеграцию наиболее актуальной остается конвергенция технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR). Это ожидаемый ответ на повышение требований к качеству мониторинга, выявления и реагирования на инциденты. Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Стремление получить на одном экране единую картину происходящего в инфраструктуре также будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично, и почему это поведение для них нетипично.
- Использование облаков в качестве источника данных для мониторинга ИБ, и предоставление SIEM в формате облачного сервиса: в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам. С другой стороны, этот подход стимулирует самих вендоров учиться предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
