Переход к использованию больших данных в сфере выявления инцидентов и реагирования на них уже произошел

Такую точку зрения высказал Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф Банка в ходе прошедшего в Москве 19-20 ноября SOC-Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ».

Ведущий сессии «АнтиПленарка» Алексей Качалин, исполнительный директор Центра Киберзащиты Сбербанка отметил, что переход к анализу больших данных и скорость анализа больших данных – это, безусловно, «возможность глубоко копать и анализировать. При этом как скоро де-факто станет стандартом переход на большие данные в этой области или этого не случится?», – задал вопрос ведущий

По мнению Дмитрия Гадаря, вице-президента, директора департамента информационной безопасности Тинькофф Банка, такой переход уже произошел: «Мы активно занимаемся анализом больших данных. Если этим не заниматься, не анализировать большие потоки данных, то наверное, очень сложно выявить инциденты и реагировать на них. Более того, мы пытаемся перейти в machine learning и анализировать эти большие данные путем поиска неизвестного, поиска отклонения от нормального поведения. Т.е. фиксировать нормальное поведение и найти что-то аномальное в этом – это будущее всех SOC».

Возникает другой вопрос: может быть тогда анализ аномалий должен быть первичным, а не управление отдельными событиями?

Эксперты считают, что все это нужно сопоставлять. Возможно, SIEM на каком-то этапе станет гораздо меньше системой детектора. Однако место, где события собираются воедино и где можно посмотреть на соседние источники информации, все равно нужно. Наверное, на каком-то этапе, когда будут развиваться детекторы на сеносорах, SIEM все больше будет походить на систему расследований, чем на систему выявления корреляций. Хотя опять-таки, исходя из общей практики, сложные атаки каким-то образом должны выявляться и здесь необходим SIEM.

20 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных