Top.Mail.Ru
  • USD Бирж 1.06 +8239.37
  • EUR Бирж 13.78 +81.53
  • CNY Бирж 29.46 --15.62
  • АЛРОСА ао 51.41 -0.86
  • СевСт-ао 1170 -23
  • ГАЗПРОМ ао 126.54 -1.84
  • ГМКНорНик 113.08 -3.06
  • ЛУКОЙЛ 6891 -56
  • НЛМК ао 127.78 -1.84
  • Роснефть 461.4 -3.95
  • Сбербанк 243.74 -3.29
  • Сургнфгз 24.75 -0.59
  • Татнфт 3ао 551.6 -10.3
  • USD ЦБ 100.03 99.94
  • EUR ЦБ 105.73 105.46
Илья Маркелов
Руководитель направления развития единой корпоративной платформы, «Лаборатория Касперского»
Развитие SIEM:
искусственный интеллект, автоматизация и ориентация на сервисы
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Расскажем о главных трендах в эволюции SIEM-решений: расширенное применение искусственного интеллекта (детектирование, рекомендации, приоритизация), усиление возможностей автоматизации (встроенная SOAR-функциональность), ориентация на сервисное предложение (SaaS и Managed SIEM). А также поговорим о том, какое влияние эти тренды окажут на роль аналитика безопасности.
Хотя класс решений SIEM был выделен международными аналитиками уже давно, почти 20 лет назад, его востребованность только возрастает. Это связано с тем, что SIEM занимает центральное место среди инструментов, используемых командами центров мониторинга безопасности, и играет одну из основных ролей в процессе построения эффективной системы ИБ.
Уход иностранных поставщиков SIEM придал импульс развитию и усилению отечественных продуктов этого класса
При этом некоторые производители не смогли устоять перед соблазном переиспользовать и воспроизвести устоявшиеся подходы мировых лидеров с целью сделать «российский Splunk» или «российский ArcSight». Вместе с тем глобальный рынок SIEM переживает серьезную трансформацию. На смену недавним лидерам рынка приходят производители, у которых SIEM является одним из элементов комплексного подхода к информационной безопасности. Об этом свидетельствуют запуск собственных SIEM-продуктов компаниями Microsoft и CrowdStrike, приобретение Splunk компанией Cisco и покупка QRadar компанией PaloAlto. В условиях общей нестабильности и постоянных изменений производителям SIEM важно не пытаться повторить опыт западных вендоров, а определять собственную стратегию развития на основе запросов заказчиков и следовать ей.
«Лаборатория Касперского» выпустила SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) в 2019 году и усиленно развивает ее, ориентируясь на реальные потребности рынка и собственную экспертизу, чтобы не просто соответствовать формальным требованиям, а решать актуальные задачи ИБ. Кроме того, компания выпустила решение гораздо позже своих конкурентов, что позволило учесть ошибки коллег по цеху, построить более высокопроизводительную и более современную систему с возможностями расширенного расследования и реагирования, учитывающую новые ИБ-реалии.
Ключевые направления развития продукта, на которых мы делаем акцент, не меняются и отражают наше видение глобальных трендов и потребностей команд ИБ в комплексном решении.
Выделим основные прогнозы развития технологий SIEM на краткосрочную (1 год) и среднесрочную (3 года) перспективу, ориентируясь на которые мы планируем разработку KUMA.
Три глобальных тренда, определяющих развитие SIEM
  • Необходимость агрегировать все больше данных без линейного увеличения стоимости владения для противодействия растущему количеству и сложности угроз.
  • Включение в состав SIEM средств для снижения требования к опыту и квалификации аналитика и уменьшения операционной нагрузки на него.
  • Постепенный переход к сервисной модели для повышения устойчивости бизнеса и улучшения возможностей масштабируемости.
Первые два тренда уже проявляются довольно ярко и станут ключевыми для развития SIEM в ближайший год, в то время как третий пока менее заметен, но мы прогнозируем, что в перспективе нескольких лет его роль будет возрастать. Рассмотрим каждый из трех трендов в отдельности.
Больше данных — ниже стоимость
IT-инфраструктуры постоянно усложняются и никогда не стоят на месте. В таких условиях для поддержания высокого качества мониторинга безопасности становится важно анализировать в SIEM все больше событий безопасности. Однако сегодня пользователи классических SIEM-решений могут столкнуться при этом с заметным ростом стоимости решения — речь не только про цену лицензии, которая обычно зависит от объема обрабатываемых данных, а про общие расходы на подключение новых источников.
Необходимо учесть трудозатраты на настройку системы для сбора нового типа событий, в том числе:
  • разработку правил парсинга;
  • обновление правил детектирования;
  • настройку ролевой модели для контроля доступа к этим событиям;
  • настройку политик мониторинга потока и хранения событий от нового источника;
  • разворачивание новых компонентов SIEM для сбора событий;
  • донастройку правил сетевого оборудова­ния для обеспечения связи между SIEM и источником событий;
  • донастройку хранилища событий и компонентов корреляции в связи с возросшим объемом данных (в случае добавления новых узлов).
К этому надо добавить дополнительные расходы на оборудование, которые потребуются чтобы SIEM-система справлялась с возросшей нагрузкой.
В результате, если представить график изменения совокупной стоимости владения SIEM-системой относительно объема и разнообразия анализируемой информации, то можно получить линию, похожую на серию наклонных ступеней (см. оранжевую линию на картинке ниже). «Ступени» на графике отражают всплески стоимости, связанные с необходимостью модернизации имеющейся инсталляции — например, могут потребоваться дозакупка оборудования и перенастройка правил.
В то же время целевая картина, которую ожидают заказчики, может быть изображена как постоянно замедляющийся рост стоимости при росте объема данных (см. синюю линию на картинке ниже). Поэтому важной тенденцией развития SIEM будет постепенное приближение реального графика к желаемому.
В свою очередь, чтобы SIEM могла обеспечить такие возможности, она должна обладать определенными характеристиками, которые многие производители развивают в последнее время и продолжат развивать в ближайшем будущем:
  • Гибкая масштабируемая архитектура, чтобы «сгладить» всплески стоимости и упростить развитие системы.
  • Оптимизация всех компонентов (и особенно подсистемы хранения), чтобы снизить прямые расходы на анализ возрастающего потока данных.
  • Обширный контент из коробки и простые удобные интерфейсы пользователя SIEM для его доработки, чтобы сократить трудозатраты на подключение новых источников данных.
Снижение требований к пользователю и сокращение нагрузки на него
Можно выделить два основных запроса, отражающих глобальные мировые тренды на сокращение доступности квалифицированных кадров:
  • Необходимость снижения требований к квалификации аналитика SIEM. Современные SIEM-системы должны предоставлять возможность эффективно работать и не допускать ошибок не только экспертам, но и тем, кто только начинает свой путь в ИБ.
  • Необходимость снижения операционной нагрузки на аналитика. Как уже было описано выше, количество кибератак растет, и для противодействия им необходимо повышать эффективность команд ИБ — чтобы за то же время аналитики могли проанализировать больше срабатываний, расследовать больше инцидентов. Важную роль в этом играют SIEM-системы — ожидается, что в них будут инструменты, которые помогут аналитику принимать решения быстрее и с меньшим количеством ошибок.
С технологической точки зрения есть всего три способа для достижения поставленных выше целей, и можно ожидать активного развития SIEM в этом направлении.
1
Формирование наиболее полной картины по срабатываниям в SIEM, расширение контекста
Необходимо предоставить аналитику максимально полную картину по каждому срабатыванию, чтобы он не тратил дополнительное время и усилия на сбор контекстной информации, необходимой для принятия решения.
Среди типов контекста следует выделить сведения о хостах (инвентаризация активов), об учетных записях и об угрозах (киберразведка), а также всю ранее накопленную экспертизу — историю ранее обнаруженных инцидентов, базу знаний с рекомендациями по реагированию на подобные инциденты. На данный момент карточки SIEM уже содержат часть подобной информации, и в следующие годы развитие будет продолжаться.
2
Стандартные возможности оркестрации и авто­матизации
Если проанализировать глобальный рынок зрелых SIEM- и SOAR-продуктов, то можно заметить, что уже несколько лет назад почти все они объединились, и возможности оркестрации и автоматизации стали предлагаться всем пользователям SIEM. Например, Micro Focus приобрел ATAR Labs в 2020 году, Splunk приобрел Phantom в 2018 году, IBM Qradar приобрел SOAR Resilient в 2016 году.
Эта тенденция продиктована объективной необходимостью целостного решения. Заказчики отталкиваются от процесса работы, а не от набора функций, описанных в отчетах агентства Gartner, и разделение возможностей обнаружения и реагирования в несколько отдельных продуктов противоестественно с точки зрения использования. Можно ожидать дальнейшего взаимопроникновения SOAR и SIEM, что приведет к развитию функций оркестрации и автоматизации в рамках SIEM-продуктов.
3
Применение технологий искусственного интеллекта (машинное обучение, генеративный ИИ) для помощи аналитику SIEM
Рост популярности ChatGPT, развитие автономных автомобилей и подобных технологий, которые могут вести себя почти как человек, формирует ожидания по все большей и большей автономности систем ИБ и, в частности, SIEM-решений. Однако здесь важно проявлять сдержанный оптимизм, учитывая высокую критичность роли ИБ. Не стоит ожидать, что в обозримой перспективе ИИ сможет заменить аналитика SIEM. Но определенно аналитик SIEM, применяющий такие средства, получает множество преимуществ перед теми, кто их не использует.
На глобальном рынке уже есть удачные примеры применения ИИ в SIEM для помощи в приоритизации, составления описаний алертов и рекомендаций по реагированию. В ближайшее время подобные технологии все шире начнут применяться в SIEM.
Сервисная модель
Последний тренд можно считать более стратегическим, но его влияние станет все более и более заметным.
Классический подход к работе с SIEM требует существенных инвестиций со стороны заказчика на покупку длительных лицензий и внедрение продукта. Причем эти инвестиции необходимо повторять регулярно при изменениях системы. В то же время компании стремятся повышать свою устойчивость и адаптируемость к изменениям, что характеризуется следующими запросами:
  • ориентация на оплату за фактическое потребление;
  • делегирование все большего объема работ подрядчикам для фокусирования на основном бизнесе;
  • возможность динамически менять потребление;
  • масштабируемость без дополнительных расходов.
Технологически эти потребности могут быть реализованы как через полноценный сервис по безопасности (MSSP — Managed Security Service Provider) формата «управляемый SIEM» или «центр мониторинга под ключ», так и посредством изменения способа потребления — например, переход на подписочное лицензирование и облачные сервисы.
Первое направление уже довольно активно развивается, а развития второго можно ожидать в средне­срочной перспективе.