Такую точку зрения высказал бизнес-консультант по информационной безопасности Cisco Systems Алексей Лукацкий в ходе прошедшего в Москве 19-20 ноября SOC Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ».
«По большому счету SIEM – это технология устаревшая, потому что она занимается ретроспективой, мы анализируем что-то, что уже произошло вчера, т.е. бороться с этим достаточно безыдейно, – считает Алексей Лукацкий. – Учитывая, что современные атаки могут носить достаточно деструктивный характер и наносить ущерб очень быстро, то операции на SIEM в построении системы защиты, достаточно плохая идея. Хотя если говорить о функции мониторинга, как о самоцели, то SIEM – это панацея и решение всех проблем. Но если мы начинаем задумываться не о мониторинге как самоцели, а как об обеспечении безопасности и предотвращении угроз, то понятно, что нам нужно переносить и процесс анализа, и корреляции, и принятия решений, как можно ближе к тем точкам, в которых эти инциденты происходят. АSIEM превращается только в генератор красивых отчетов».
Это, действительно, нормальная ситуация, когда поначалу шли дискуссии о то, что SIEM нужен и без него никуда, сейчас эксперты говорят о том, что это устаревшая история и отчасти возможен уже переход в другие формы и форматы.
Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, компании «Ростелеком-Солар» считает, что, исходя из опыта работы, нужна система единого окна, потому что «смотреть одновременно в 20 систем и консолей – это весьма проблемная вещь. Многие SOC в систему единого окна сейчас выводят системы ERP или системы сервис-деск. Но это уже скорее системы обработки. Тем не менее, очень удобно, когда у тебя в едином окне могут сохраняться все данные, которые нужны для принятия решения, – подчеркивает Владимир Дрюков. – Мы у себя многие сервисы перевели в единое окно, потому что мучительно работать с множеством различных источников и пытаться в голове склеивать, что же там происходило. Поэтому детект будет уходить, но без единого окна не обойтись».
Проблема, обозначенная Владимиром Дрюковым, является одной из ключевых проблем вообще security operation – речь идет о размытости процессов и необходимости смотреть в несколько окон одновременно.
Муслим Меджлумов, директор блока управляемых сервисов BI.ZONE, не совсем согласен, что детективные технологии будут уходить, хотя парадигма, конечно, меняется: «Мы придерживаемся подхода, когда невозможно защититься, и это показывает многолетний опыт использования превентивных средств защиты и подходов, поэтому лучше исходить из того, что тебя всегда взломают либо ты уже взломан. Нужно определить, сколько времени требуется, чтобы обнаружить злоумышленника внутри инфраструктуры и не дать ему возможность развить вектор атаки до такого состояния, когда произойдет компрометация данных. Т.е. всегда исходить из того, что тебя взломали и счет идет на минуты и часы, чтобы это обнаружить».
По мнению Муслима Меджлумова, необходим проактивный мониторинг, а классический security-мониторинг осуществляется с помощью детективных средств. И нужно вкладываться в контент, в процесс, чтобы сокращать гэпменткептирования.