Примерно каждые 10 лет идёт стократное увеличение количества данных. И вообще за последние 20 лет изменений больше, чем за последние 100 лет. Уже сейчас есть все предпосылки к тому, что к концу этого десятилетия всё измениться настолько сильно, что нам сейчас это сложно даже вообразить.
Эти изменения коснуться и SIEM-систем, которые на протяжении 15 лет непрерывно меняются и подстраиваются под новые реалии. О том, каким будет SIEM в перспективе 5 лет, порассуждали руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев и заместитель руководителя отдела отдела продвижения и развития продуктов Positive Technologies Дмитрий Ким в эфире программы «ИБшник на удалёнке».
Так, Алексей Мальнев считает, что с увеличением количества данных для обработки даже в небольших организациях появятся технологии Big Data. И тогда задачи SOC и SIEM сместятся с парадигмы мониторинга событий на парадигму мониторинга так называемой телеметрии, то есть в сторону поведенческого анализа.
«То есть настолько будут большие инфраструктуры, настолько будет в них много данных, что человеческого ресурса в принципе не будет хватать, чтобы в реальном времени модифицировать и исправлять какие-то корреляционные правила, а тем более расследовать, фильтровать ложные срабатывания. Поэтому скорее всего мы увидим историю, что постепенно все известные продукты начнут становиться Big Data SIEM. При этом будут развиваться поведенческие модели, когда мы, например, будем по изменению профиля состава событий от источника уже фиксировать какие-то аномалии и работать с этими аномалиями, и далее приводить их к формату события», — пояснил он.
Конечно стоит отметить, что уже сейчас SIEM имеют те или иные зачатки поведенческого анализа. Однако, по словам Алексея Мальнева, «в связке с большими данными, чтобы это не фолзило дико, чтобы работало в единой концепции — пока таких продуктов нет». Он также уверен, что 5 лет — это тот срок, когда мы к этому подойдём.
Дмитрий Ким же отметил, что уже сейчас видит постепенное стирание границ между SIEM и другими средствами защиты. «Потому что, например, если мы хотим нормальное юзабилити с точки зрения управления инцидентом и вообще некий воркфлоу, который будет идти через все службы, например, через службу безопасности и ИТ-службу. Все эти вещи недоступны, если ты не стягиваешь на себя, внутрь SIEM, функционал из SOAR. То есть так или иначе в эту сторону тоже движение будет и границы скорее всего стираться будут очень сильно. То есть здесь будет непонятно: SOAR станут SIEM или SIEM станут SOAR. Тут прям сложная история», — поделился он.
По словам Дмитрия Кима, эта тенденция видна сейчас и на рынке: SOARовские вендоры потихоньку начинают скупать какие-то маленькие стартапы, которые разрабатывают SIEM, а SIEMные вендоры потихоньку скупают кучу всяких разных маленьких оркестраторов, которые владеют теми технологиями, которые им нужны для развития SIEM.
Вместе с тем оба эксперта сошлись на том, что через 5 лет SIEM станет более открытой платформой. Алексей Мальнев упомянул сообщество open SOC, развивавшееся до 2015 года, а потом перешедшее «под крыло» компании CISCO. «Пока это в полноценном формате не работает, то есть обрабатывать огромные данные мы можем, собирать события мы можем, но реально работать с инцидентами на таких данных мы не умеем. Это требует изменения самой архитектуры SIEM с точки зрения не только возможностей по мощности, по обработке и хранению данных, но и по изменению логики обработки этих данных в сторону поведенческого анализа», — сказал он.
«Если думать совсем футуристично, то здесь я думаю, что SIEM через 5 лет станут более открытой платформой. Алексей правильно заметил в сторону того, что были SOC-сообщества, которые к этому стремились. Я считаю, что и вендоры в какой-то момент должны к этому прийти.
В том плане, что вокруг SIEM появится экосистема разработчиков, которые будут помогать допиливать разные модули, которые будут решать либо атомарные задачи, либо где-то улучшать юзабилити, либо будут технологически помогать SIEM идти к тому будущему, которое позволит нам с большими данными работать без фолзов. Супер, конечно, фантастично. Поэтому я считаю, что через 5 лет, скорее всего, у нас появится некое коммьюнити разработчиков, которые будут контрибьютить в ту SIEM-систему, в которую они верят. И это очень поможет самой SIEM-системе развиваться и с точки зрения технологий, и с точки зрения экспертизы, и вообще в целом это будет захватывать всё сообщество, не только фокус на ИБшников или частично ИТшников, но и уже сторонних разработчиков», — заключил Дмитрий Ким.
.jpg)
.jpg)