Зачем квадраты, когда есть треугольник, или Новый тренд SIEM по Gartner

SIEM-системы существуют уже 15 лет. Впервые термин был придуман и использован Марком Николеттом и Амритом Уильямсом из Gartner в 2005 году. С тем пор SIEM развивается и набирает популярность. Причин множество: от возросшего количества актуальных угроз до желания быть в тренде.

Подпитывая эту тему, почти ежегодно Gartner выпускает квадраты на SIEM. Однако новое время приносит и новые тренды. И как раз о них недавно рассказал директор по развитию продуктового направления Positive Technologies Владимир Бенгин в эфире программы «ИБшник на удалёнке».

«Начнём с мировых трендов. Есть у нас Gartner, который до сих пор выпускает квадраты на SIEM, хотя вроде всё обещает закрыть эту историю. И о чём он говорит, например, о таком мировом тренде как триада Gartner. То есть SIEM теперь не одинок и нужна конвергенция технологий — нужна триада технологий из SIEM (для анализа логов), EDR (для анализа инпоинта), NTA (для анализа сетей). Всё это теперь должно крутиться вместе, всё это должно быть единым технологическим стеком. И вот она основа SOC», — поделился Владимир Бергин.

По его словам, об этом тренде говорят сейчас не только зарубежом, но и в России. И при упоминании Next Generation SOC обязательно называют все эти три блока, как основные столпы, на которых всё базируется.

Также среди трендов облака. В мире сейчас активно обсуждается эта тема, а в привязке к ИБ говорят о том, как осуществлять безопасность в облаке, как SIEM работать в облаках или как SIEM упихивать в облака и делать из этого сервис и так далее.

До сих пор говорят и про machine learning и UEBA. По словам Владимира Бенгина, это старый тренд, который никуда не ушёл. «Он остаётся и про него можно долго говорить, смотреть, куда оно всё вырисовывается», — отметил он.
И конечно же очень большой и взрослый тренд — это история про автоматизацию. Сначала речь шла про автоматизацию расследования инцидентов, построения процессов расследования инцидентов. Сейчас гораздо моднее использовать слово «SOAR». Владимир Бергин заметил, что мало кто понимает, в чём разница и что включается в одно понятие, а что в другое.

«И есть тренд, который про нас и мы здесь основные трендстартеры, потому постоянно про это говорим. И я всё чаще слышу вовне нашей компании и даже у заграничных коллег про экспертность. То есть SIEM перестают быть, уже лет 5 как, просто инструментами, они становятся экспертными продуктами. То есть это уже не механизм, который выдаётся технарям и они должны быть экспертами чтобы что-то выявлять, а сами SIEM уже обладают какой-то экспертизой», — пояснил Владимир Бергин.

Когда компания Positive Technologies начала заниматься темой экспертности SIEM, то они упёрлись в самое начало. Мало кто понимает, как собирать, как настраивать источники, как правильно их нормализовывать, куда это класть. И изначально у них было много разных программ, например, они бесплатно подключали все источники заказчика в рамках технической поддержки. «У любого вендора не вся всегда экспертиза есть, даже в рамках нормализации, всегда есть кастомные источники у себя или просто редкие источники. Как это всё привести к какому-то единому виду, обогатить и вывести себе, чтобы просто безопасность знала, что происходит у них в инфраструктуре. Это прям первый блок. Мы этим занимались прям очень много лет», — поделился Владимир Бергин.

Конечно сейчас под экспертизой SIEM понимают правила корреляции из коробки, но на самом деле эта история намного сложнее, потому что надо поставлять всю жизненную цепочку. И в какой-то момент Positive Technologies поставляли даже скрипты для автонастройки источников, потому что иначе сложно, а у заказчиков нет времени на то, чтобы всё это настроить.

«И это всё: от того, как настроить источник, до собрать его, нормализовать, обогатить, отфильтровать, скоррелировать, собрать какие-то списки, списки исключений (всегда есть табличные списки исключений), практически на любое правило нужно это тоже автоматизировать, тоже добавлять — и это прям длиннющая вся экспертиза.

Я даже не могу разделить, что в ней важнее — нормализация, корреляция или ещё что-то. Она всегда идёт вместе, прям вкупе, чтобы работало», — рассказал Владимир Бергин.

5 августа, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных