Такую точку зрения высказал бизнес-консультант по информационной безопасности Cisco Systems Алексей Лукацкий в ходе прошедшего в Москве 19-20 ноября SOC Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ».

«По большому счету SIEM – это технология устаревшая, потому что она занимается ретроспективой, мы анализируем что-то, что уже произошло вчера, т.е. бороться с этим достаточно безыдейно, – считает Алексей Лукацкий. – Учитывая, что современные атаки могут носить достаточно деструктивный характер и наносить ущерб очень быстро, то операции на SIEM в построении системы защиты, достаточно плохая идея. Хотя если говорить о функции мониторинга, как о самоцели, то SIEM – это панацея и решение всех проблем. Но если мы начинаем задумываться не о мониторинге как самоцели, а как об обеспечении безопасности и предотвращении угроз, то понятно, что нам нужно переносить и процесс анализа, и корреляции, и принятия решений, как можно ближе к тем точкам, в которых эти инциденты происходят. АSIEM превращается только в генератор красивых отчетов».

Это, действительно, нормальная ситуация, когда поначалу шли дискуссии о то, что SIEM нужен и без него никуда, сейчас эксперты говорят о том, что это устаревшая история и отчасти возможен уже переход в другие формы и форматы.

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, компании «Ростелеком-Солар» считает, что, исходя из опыта работы, нужна система единого окна, потому что «смотреть одновременно в 20 систем и консолей – это весьма проблемная вещь. Многие SOC в систему единого окна сейчас выводят системы ERP или системы сервис-деск. Но это уже скорее системы обработки. Тем не менее, очень удобно, когда у тебя в едином окне могут сохраняться все данные, которые нужны для принятия решения, – подчеркивает Владимир Дрюков. – Мы у себя многие сервисы перевели в единое окно, потому что мучительно работать с множеством различных источников и пытаться в голове склеивать, что же там происходило. Поэтому детект будет уходить, но без единого окна не обойтись».

Проблема, обозначенная Владимиром Дрюковым, является одной из ключевых проблем вообще security operation – речь идет о размытости процессов и необходимости смотреть в несколько окон одновременно.

Муслим Меджлумов, директор блока управляемых сервисов BI.ZONE, не совсем согласен, что детективные технологии будут уходить, хотя парадигма, конечно, меняется: «Мы придерживаемся подхода, когда невозможно защититься, и это показывает многолетний опыт использования превентивных средств защиты и подходов, поэтому лучше исходить из того, что тебя всегда взломают либо ты уже взломан. Нужно определить, сколько времени требуется, чтобы обнаружить злоумышленника внутри инфраструктуры и не дать ему возможность развить вектор атаки до такого состояния, когда произойдет компрометация данных. Т.е. всегда исходить из того, что тебя взломали и счет идет на минуты и часы, чтобы это обнаружить».

По мнению Муслима Меджлумова, необходим проактивный мониторинг, а классический security-мониторинг осуществляется с помощью детективных средств. И нужно вкладываться в контент, в процесс, чтобы сокращать гэпменткептирования.

бизнес-консультант по информационной безопасности Cisco Systems Алексей Лукацкий
20 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных