Positive Technologies
Новости

Positive Technologies: топ-5 технологических трендов развития SIEM-систем в ближайшие три года

Наиболее перспективными направлениями, которые помогут SIEM-системам¹ лучше выявлять киберинциденты и предотвращать их последствия, эксперты Positive Technologies назвали развитие экспертизы в области управления системой, автоматизацию реагирования на инциденты, расширение возможностей SIEM за счет технологий анализа трафика, анализа происходящего на конечных узлах, мониторинга поведения пользователей и сущностей, а также использование облачных вычислений как источника данных и предоставления SIEM по модели as a service. Экспертная оценка была представлена на презентации шестой версии MaxPatrol SIEM.

В числе технологий, влияющих на развитие SIEM-систем, специалисты Positive Technologies отметили развитие экспертизы в области управления системой. Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции, а анализ собранных массивов данных ограничивается маппингом правил корреляции по матрице MITRE ATT&CK ². Для повышения качества мониторинга событий безопасности SIEM этого недостаточно: нужны правила нормализации, способы настройки источников, пакеты с правилами обнаружения угроз, инструкции по активации источников, описания правил детектирования, рекомендации о том, что делать, если сработало правило. Доля покрытия этой технологии (глубина проникновения) составляет 50―60% ³, качество реализации — среднее (3 балла) 4.

Еще один тренд развития SIEM-систем ― это автоматизация реагирования на инциденты. Согласно проведенному Positive Technologies опросу, 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам участники опроса отнесли работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов: их отметили 58% и 52% респондентов соответственно. У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок развитию SIEM-систем в область другого класса продуктов — SOAR 5. Доля покрытия технологии составляет 60–70%, а качество реализации — 3.

Третий тренд связан с конвергенцией технологий анализа трафика (NTA-систем 6), логов (SIEM) и происходящего на конечных узлах (EDR 7). Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Покрытие технологии 60–70%, качество реализации — 2 балла.

Стремление получить на одном экране единую картину происходящего в инфраструктуре будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA 8 в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично и почему это поведение для них нетипично. Это четвертая технология, покрытие которой оценивается в 70―80%, а качество реализации на 4 балла.

Пятое направление развития SIEM-систем связано с облаками. Согласно исследованию, проведенному Enterprise Strategy Group по заказу Dell Technologies и Intel, в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам а с другой, научиться и самим предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM (виртуальных, облачных аплайнсов 9). По экспертным оценкам Positive Technologies, доля покрытия этой технологии составляет 60―70%, а качество реализации — 3 балла.

«Часть этих трендов уже выражены в той или иной степени, часть приобретет актуальность на горизонте 1―3 лет. Представленные технологии служат двум целям — повышению качества работы с SIEM и сокращению объема ручной работы операторов при мониторинге и реагировании на инциденты», — отмечает Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies.

Процент покрытия

Данные являются экспертной оценкой Positive Technologies. Тренды актуальны для лидеров рынка SIEM (в определении числа лидеров специалисты руководствовались данными IDC).

Качество реализации

Данные являются экспертной оценкой Positive Technologies. Тренды актуальны для лидеров рынка SIEM, в определении их числа специалисты руководствовались данными IDC. Качество реализации оценивается по шкале от 1 до 5, где 1 — плохо реализовано, 2 — качество реализации ниже среднего, 3 — среднее качество реализации, 4 — качество реализации выше среднего, 5 — хорошо реализовано.

 

  1. Security information and event management (SIEM) — управление событиями информационной безопасности.
  2. Общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT. Она представляет собой структурированный набор тактик и техник, используемых злоумышленниками. Это позволяет специалистам по информационной безопасности со всего мира разговаривать на одном языке. База постоянно расширяется и дополняется новыми знаниями.
  3. Экспертная оценка Positive Technologies. Тренды актуальны для лидеров рынка SIEM, и в определении числа лидеров мы руководствовались данными IDC.
  4. Качество реализации оценивается экспертами Positive Technologies по шкале от 1 до 5, где 1 — плохо реализовано, 2 — качество реализации ниже среднего, 3 — среднее качество реализации, 4 — качество реализации выше среднего, 5 — хорошо реализовано.
  5. Security orchestration and automated response — оркестрация событий безопасности и автоматическое реагирование.
  6. Network traffic analysis, NTA — анализ сетевого трафика.
  7. Endpoint detection response, EDR — анализ происходящего на конечных узлах.
  8. User and entity behavioral analytics, UEBA — поведенческий анализ пользователей и сущностей.
  9. Виртуальное устройство — готовый образ виртуальной машины, предназначенный для работы в среде виртуализации (на облачной платформе).