SIEM станет наиболее широко используемым из инструментов безопасности в 2021 году. К такому выводу пришли исследователи в отчёте «Состояние безопасности в 2020 году», опубликованном осенью компанией CyberEdge Croup при спонсорстве Micro Focus.
Согласно опросу 410 специалистов из США, Великобритании, Германии, Индии и Японии, SIEM уже используется или будет приобретаться в ближайшие 12 месяцев более чем 92% опрошенными компаниями. «Когда мы продлили срок привлечения до 12 месяцев, мы обнаружили, что это число выросло до 95,1%! SIEM станет наиболее широко используемым из инструментов безопасности в 2021 году», — говорится в отчёте.
А зачем компаниям SIEM? Этот вопрос задавали и в исследовании. Наиболее распространены два варианта использования: исследования безопасности важны для 69,5% респондентов, а мониторинг безопасности/расширенное обнаружение угроз — для 68,7%.
На другом конце спектра — менее половины организаций называют отчётность о соответствии (46,0%) или управление журналами (46,5%) одним из своих основных вариантов использования технологии SIEM, а 54,5% выбирают реагирование на инциденты.
«Эти варианты использования показывают, что большинство организаций сосредоточены на использовании SIEM для целей, связанных с угрозами, таких как обнаружение угроз, расследование угроз и реагирование на успешные атаки. Цели, не связанные с угрозами, такие как создание отчётов о соответствии и управление журналами, как правило, не являются основными причинами использования SIEM», — подводится итог в отчёте.
Вместе с тем, если посмотреть вообще, какие именно инструменты используются сейчас для обеспечения безопасности, мы увидим 11 наиболее распространённых инструментов: SCM, SIEM, NTA, Threat intelligencr playform (TIP) or service, Patch management, Log management (без продвинутых возможностей SIEM), VA/VM, Security data lake, SOAR, Threat hunting tool, UEBA.
«Все 11 категорий средств обеспечения безопасности в настоящее время используются более чем половиной организаций. Сюда входят новые технологии, такие как аналитика поведения пользователей и организаций (UEBA) (52,6%) и инструменты поиска угроз (54,2%), которые, как мы ожидали, не будут так широко использоваться, как более известные технологии», — говорится в отчёте.
Конечно, наиболее широко используемыми инструментами являются SCM (71,1%) и SIEM (65,7%). «Что нас удивило, так это то, что некоторые инструменты оказались в середине. Традиционно считается, что инструменты для управления исправлениями, управления журналами и оценки/управления уязвимостями являются фундаментальными и широко используются, но на самом деле их используют менее 60% организаций», — сказано в исследовании.
Наконец, многие организации планируют добавить инструменты безопасности в ближайшие 12 месяцев, наиболее популярными из которых являются SOAR (34,0%), инструменты поиска угроз (31,2%) и оценка уязвимостей/управление уязвимостями. (31,0%). «Ожидается, что даже наименее популярные категории инструментов будут использоваться или приобретаться более 80% организаций в течение следующего года. Это много инструментов!», — заключили аналитики.
Если вам интересно узнать, как обстоят дела на российском рынке SOC, послушать выступление Дмитрия Гадаря о том, почему SIEM не нужен, а также выступления других экспертов, поучаствовать в интерактивах и играх, получить ценные и крутые призы, пообщаться с единомышленниками и хорошо провести время — присоединяйтесь к SOC-Форум Live, который пройдёт 1 декабря в режиме онлайн.