Positive Technologies: топ-5 технологических трендов развития SIEM-систем в ближайшие три года

Наиболее перспективными направлениями, которые помогут SIEM-системам лучше выявлять киберинциденты и предотвращать их последствия, эксперты Positive Technologies назвали развитие экспертизы в области управления системой, автоматизацию реагирования на инциденты, расширение возможностей SIEM за счет технологий анализа трафика, анализа происходящего на конечных узлах, мониторинга поведения пользователей и сущностей, а также использование облачных вычислений как источника данных и предоставления SIEM по модели as a service. Экспертная оценка была представлена на презентации шестой версии MaxPatrol SIEM.

В числе технологий, влияющих на развитие SIEM-систем, специалисты Positive Technologies отметили развитие экспертизы в области управления системой. Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции, а анализ собранных массивов данных ограничивается маппингом правил корреляции по матрице MITRE ATT&CK. Для повышения качества мониторинга событий безопасности SIEM этого недостаточно: нужны правила нормализации, способы настройки источников, пакеты с правилами обнаружения угроз, инструкции по активации источников, описания правил детектирования, рекомендации о том, что делать, если сработало правило. Доля покрытия этой технологии (глубина проникновения) составляет 50―60%, качество реализации — среднее (3 балла).

Еще один тренд развития SIEM-систем ― это автоматизация реагирования на инциденты. Согласно проведенному Positive Technologies опросу, 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам участники опроса отнесли работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов: их отметили 58% и 52% респондентов соответственно. У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок развитию SIEM-систем в область другого класса продуктов — SOAR. Доля покрытия технологии составляет 60–70%, а качество реализации — 3.

Третий тренд связан с конвергенцией технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR7). Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Покрытие технологии 60–70%, качество реализации — 2 балла.

Стремление получить на одном экране единую картину происходящего в инфраструктуре будет способствовать добавлению к возможностям SIEM инструментов UEBA8 — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично и почему это поведение для них нетипично. Это четвертая технология, покрытие которой оценивается в 70―80%, а качество реализации на 4 балла.

Пятое направление развития SIEM-систем связано с облаками. Согласно исследованию, проведенному Enterprise Strategy Group по заказу Dell Technologies и Intel, в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам а с другой, научиться и самим предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM (виртуальных, облачных аплайнсов9). По экспертным оценкам Positive Technologies, доля покрытия этой технологии составляет 60―70%, а качество реализации — 3 балла.

"Часть этих трендов уже выражены в той или иной степени, часть приобретет актуальность на горизонте 1―3 лет. Представленные технологии служат двум целям — повышению качества работы с SIEM и сокращению объема ручной работы операторов при мониторинге и реагировании на инциденты", — отмечает Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies.