Зачем квадраты, когда есть треугольник, или Новый тренд SIEM по Gartner

SIEM-системы существуют уже 15 лет. Впервые термин был придуман и использован Марком Николеттом и Амритом Уильямсом из Gartner в 2005 году. С тем пор SIEM развивается и набирает популярность. Причин множество: от возросшего количества актуальных угроз до желания быть в тренде.

Подпитывая эту тему, почти ежегодно Gartner выпускает квадраты на SIEM. Однако новое время приносит и новые тренды. И как раз о них недавно рассказал директор по развитию продуктового направления Positive Technologies Владимир Бенгин в эфире программы «ИБшник на удалёнке».

«Начнём с мировых трендов. Есть у нас Gartner, который до сих пор выпускает квадраты на SIEM, хотя вроде всё обещает закрыть эту историю. И о чём он говорит, например, о таком мировом тренде как триада Gartner. То есть SIEM теперь не одинок и нужна конвергенция технологий — нужна триада технологий из SIEM (для анализа логов), EDR (для анализа инпоинта), NTA (для анализа сетей). Всё это теперь должно крутиться вместе, всё это должно быть единым технологическим стеком. И вот она основа SOC», — поделился Владимир Бергин.

По его словам, об этом тренде говорят сейчас не только зарубежом, но и в России. И при упоминании Next Generation SOC обязательно называют все эти три блока, как основные столпы, на которых всё базируется.

Также среди трендов облака. В мире сейчас активно обсуждается эта тема, а в привязке к ИБ говорят о том, как осуществлять безопасность в облаке, как SIEM работать в облаках или как SIEM упихивать в облака и делать из этого сервис и так далее.

До сих пор говорят и про machine learning и UEBA. По словам Владимира Бенгина, это старый тренд, который никуда не ушёл. «Он остаётся и про него можно долго говорить, смотреть, куда оно всё вырисовывается», — отметил он.
И конечно же очень большой и взрослый тренд — это история про автоматизацию. Сначала речь шла про автоматизацию расследования инцидентов, построения процессов расследования инцидентов. Сейчас гораздо моднее использовать слово «SOAR». Владимир Бергин заметил, что мало кто понимает, в чём разница и что включается в одно понятие, а что в другое.

«И есть тренд, который про нас и мы здесь основные трендстартеры, потому постоянно про это говорим. И я всё чаще слышу вовне нашей компании и даже у заграничных коллег про экспертность. То есть SIEM перестают быть, уже лет 5 как, просто инструментами, они становятся экспертными продуктами. То есть это уже не механизм, который выдаётся технарям и они должны быть экспертами чтобы что-то выявлять, а сами SIEM уже обладают какой-то экспертизой», — пояснил Владимир Бергин.

Когда компания Positive Technologies начала заниматься темой экспертности SIEM, то они упёрлись в самое начало. Мало кто понимает, как собирать, как настраивать источники, как правильно их нормализовывать, куда это класть. И изначально у них было много разных программ, например, они бесплатно подключали все источники заказчика в рамках технической поддержки. «У любого вендора не вся всегда экспертиза есть, даже в рамках нормализации, всегда есть кастомные источники у себя или просто редкие источники. Как это всё привести к какому-то единому виду, обогатить и вывести себе, чтобы просто безопасность знала, что происходит у них в инфраструктуре. Это прям первый блок. Мы этим занимались прям очень много лет», — поделился Владимир Бергин.

Конечно сейчас под экспертизой SIEM понимают правила корреляции из коробки, но на самом деле эта история намного сложнее, потому что надо поставлять всю жизненную цепочку. И в какой-то момент Positive Technologies поставляли даже скрипты для автонастройки источников, потому что иначе сложно, а у заказчиков нет времени на то, чтобы всё это настроить.

«И это всё: от того, как настроить источник, до собрать его, нормализовать, обогатить, отфильтровать, скоррелировать, собрать какие-то списки, списки исключений (всегда есть табличные списки исключений), практически на любое правило нужно это тоже автоматизировать, тоже добавлять — и это прям длиннющая вся экспертиза.

Я даже не могу разделить, что в ней важнее — нормализация, корреляция или ещё что-то. Она всегда идёт вместе, прям вкупе, чтобы работало», — рассказал Владимир Бергин.

5 августа, 2020