Такую точку зрения высказал Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф Банка в ходе прошедшего в Москве 19-20 ноября SOC-Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ».
Ведущий сессии «АнтиПленарка» Алексей Качалин, исполнительный директор Центра Киберзащиты Сбербанка отметил, что переход к анализу больших данных и скорость анализа больших данных – это, безусловно, «возможность глубоко копать и анализировать. При этом как скоро де-факто станет стандартом переход на большие данные в этой области или этого не случится?», – задал вопрос ведущий
По мнению Дмитрия Гадаря, вице-президента, директора департамента информационной безопасности Тинькофф Банка, такой переход уже произошел: «Мы активно занимаемся анализом больших данных. Если этим не заниматься, не анализировать большие потоки данных, то наверное, очень сложно выявить инциденты и реагировать на них. Более того, мы пытаемся перейти в machine learning и анализировать эти большие данные путем поиска неизвестного, поиска отклонения от нормального поведения. Т.е. фиксировать нормальное поведение и найти что-то аномальное в этом – это будущее всех SOC».
Возникает другой вопрос: может быть тогда анализ аномалий должен быть первичным, а не управление отдельными событиями?
Эксперты считают, что все это нужно сопоставлять. Возможно, SIEM на каком-то этапе станет гораздо меньше системой детектора. Однако место, где события собираются воедино и где можно посмотреть на соседние источники информации, все равно нужно. Наверное, на каком-то этапе, когда будут развиваться детекторы на сеносорах, SIEM все больше будет походить на систему расследований, чем на систему выявления корреляций. Хотя опять-таки, исходя из общей практики, сложные атаки каким-то образом должны выявляться и здесь необходим SIEM.