Такую точку зрения высказал бизнес-консультант по информационной безопасности Cisco Systems Алексей Лукацкий в ходе прошедшего в Москве 19-20 ноября SOC Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ».

«По большому счету SIEM – это технология устаревшая, потому что она занимается ретроспективой, мы анализируем что-то, что уже произошло вчера, т.е. бороться с этим достаточно безыдейно, – считает Алексей Лукацкий. – Учитывая, что современные атаки могут носить достаточно деструктивный характер и наносить ущерб очень быстро, то операции на SIEM в построении системы защиты, достаточно плохая идея. Хотя если говорить о функции мониторинга, как о самоцели, то SIEM – это панацея и решение всех проблем. Но если мы начинаем задумываться не о мониторинге как самоцели, а как об обеспечении безопасности и предотвращении угроз, то понятно, что нам нужно переносить и процесс анализа, и корреляции, и принятия решений, как можно ближе к тем точкам, в которых эти инциденты происходят. АSIEM превращается только в генератор красивых отчетов».

Это, действительно, нормальная ситуация, когда поначалу шли дискуссии о то, что SIEM нужен и без него никуда, сейчас эксперты говорят о том, что это устаревшая история и отчасти возможен уже переход в другие формы и форматы.

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, компании «Ростелеком-Солар» считает, что, исходя из опыта работы, нужна система единого окна, потому что «смотреть одновременно в 20 систем и консолей – это весьма проблемная вещь. Многие SOC в систему единого окна сейчас выводят системы ERP или системы сервис-деск. Но это уже скорее системы обработки. Тем не менее, очень удобно, когда у тебя в едином окне могут сохраняться все данные, которые нужны для принятия решения, – подчеркивает Владимир Дрюков. – Мы у себя многие сервисы перевели в единое окно, потому что мучительно работать с множеством различных источников и пытаться в голове склеивать, что же там происходило. Поэтому детект будет уходить, но без единого окна не обойтись».

Проблема, обозначенная Владимиром Дрюковым, является одной из ключевых проблем вообще security operation – речь идет о размытости процессов и необходимости смотреть в несколько окон одновременно.

Муслим Меджлумов, директор блока управляемых сервисов BI.ZONE, не совсем согласен, что детективные технологии будут уходить, хотя парадигма, конечно, меняется: «Мы придерживаемся подхода, когда невозможно защититься, и это показывает многолетний опыт использования превентивных средств защиты и подходов, поэтому лучше исходить из того, что тебя всегда взломают либо ты уже взломан. Нужно определить, сколько времени требуется, чтобы обнаружить злоумышленника внутри инфраструктуры и не дать ему возможность развить вектор атаки до такого состояния, когда произойдет компрометация данных. Т.е. всегда исходить из того, что тебя взломали и счет идет на минуты и часы, чтобы это обнаружить».

По мнению Муслима Меджлумова, необходим проактивный мониторинг, а классический security-мониторинг осуществляется с помощью детективных средств. И нужно вкладываться в контент, в процесс, чтобы сокращать гэпменткептирования.

бизнес-консультант по информационной безопасности Cisco Systems Алексей Лукацкий
20 ноября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.05.2024
На «Госуслугах» теперь можно отозвать сертификат электронной подписи
24.05.2024
Хакеры изменили тактику проведения кибератак на банки и обмана граждан
24.05.2024
DDoS-атака как реклама. Хакеры, обладающие топовым ботнетом, предлагают свои услуги в Telegram
23.05.2024
Звёздный путь. Telegram анонсировал изменения в части внутренних платежей
23.05.2024
«СОГАЗ»: В будущем противостоять киберугрозам без ИИ будет невозможно
23.05.2024
Рынок микроэлектроники в России показывает рост на 40%
23.05.2024
Шадаев: Утильсбор выглядит наиболее рабочим механизмом
23.05.2024
«Вектор, который особенно пугает». Дрюков — о новой форме хактивизма
23.05.2024
Банк России: Риски применения ИИ на финрынке связаны с ИБ
22.05.2024
15-я конференция Школы IT-менеджмента «Экономика данных. Вызовы и перспективы»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных