Сложилось мнение, что SIEM — это только для экспертов, хотя по сути он нужен всем. Но далеко не у всех есть время глубоко разбираться в этой истории. И как раз сложность SIEM-систем до сих пор является одной из ключевых проблем для работы с ними. Все последующие проблемы вытекают из этого. Такого мнения придерживается директор по развитию продуктового направления Positive Technologies Владимир Бенгин.
«Я считаю, что первая проблема современного SIEM — он очень сложный. Так почему-то заведено, что считается, что SIEM для эксперта. Но SIEM как бы нужен всем — есть требования, законодательство, ещё чего-то, но и даже по своей сути вроде как безопасность должна знать, что них происходит в инфраструктуре. И когда ты вдруг делаешь продукт, который требуется чтобы им пользовались только эксперты, ты сразу очень сужаешь круг лиц, которые действительно им будут пользоваться, потому что не у всех есть время глубоко разбираться в этой истории, у них ещё много других задач», — поделился Владимир Бенгин в эфире программы «ИБшник на удалёнке».
По его совам, все последующие проблемы SIEM-систем будут вытекать из сложности использования технологии. Так, чтобы получить какую-то пользу из неё, нужно очень много времени потратить на многие вещи, часть их которых теоретические и до сих пор не имеют решения. Например, SIEM сам по себе ничего не выявляет, только если вы подключили свою инфраструктуру, желательно большую её часть. «Подключить большую часть своей инфраструктуры очень непростая задача. Это теоретическая проблема, не решаемая на текущий момент. 30% инфраструктуры меняется за год — старые сервера уезжают, новые приезжают — для растущей компании это нормальная цифра. И это значит, что безопасности каждый год нужно делать новый проект по внедрению SIEM, потому что 30% изменилось. И это сложная история», — пояснил Владимир Бергин.
Это основные проблемы, которые он видит в первую очередь. И только во вторую — все остальные: про машинное обучение, про облака, про связь с другими решениями, ну и тем более про автоматизацию процессов обработки инцидентов. Это другой пласт вопросов.
«SIEM заставляет тебя строить процессы,которыми раньше ты вообще не занимался. Раньше ты контролировал ИТшников, что они без твоего ведома не развернули на внешнем периметре новое какое-то оборудование или ещё чего-то, и, соответственно, с ними как-то договаривался. А SIEM ты перманентно должен контролировать все новые сервера, во всех сегментах, настройки, единые политики логирования — гораздо больше вопросов, которыми раньше ты просто не занимался», — заключил Владимир Бергин.
