Оглавление
Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
Авторы:
Илья Маркелов, руководитель направления развития единой корпоративной платформы, «Лаборатория Касперского»
Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
Владислав Тушканов, руководитель группы Kaspersky MLTech
Тренды существуют независимо от того, как мы к ним относимся, – нравятся они нам или нет, согласны ли мы с ними или остаемся в сомнениях. Вопрос лишь в том, как мы используем это знание.
Именно поэтому важно не просто понимать тренды, но и принимать решения с их учетом: заказчикам нужно выбирать технологические решения, которые напрямую реагируют на современные вызовы, а вендорам, в том числе «Лаборатории Касперского» с SIEM-системой Kaspersky Unified Monitoring and Analysis Platform (KUMA), – разрабатывать продукты, которые упрощают жизнь в условиях новых реалий.
Тренд 1. Сокращение доступности специалистов
Заказчики все чаще сталкиваются с дефицитом квалифицированных специалистов в области информационной безопасности: спрос на профессионалов заметно опережает предложение на рынке труда, и обходятся они дорого [1]. Это стимулирует разработчиков ИБ-систем к созданию решений, которые снимают нагрузку с людей и позволяют эффективно управлять растущей инфраструктурой и новыми угрозами без необходимости увеличивать штат.
Однако этого недостаточно. Вторая важная цель – создать условия, при которых даже сотрудники с ограниченным опытом могли бы решать сложные задачи на уровне профессионалов.
Этот тренд, впрочем, не нов. Проблема нехватки кадров преследует не только сферу информационной безопасности – она встречается в самых разных отраслях. Но в ИБ эта проблема накладывается на растущее количество угроз, – это выводит ее на новый уровень и требует оперативных решений. Нас атакуют уже сейчас, а проблема кадров явно не решится завтра, поэтому необходимо создавать продукты, которые помогают сохранить киберустойчивость в этих условиях. За счет чего это может происходить?
Первый сценарий – создание удобных и интуитивно понятных интерфейсов, в которых специалист сразу получает весь необходимый контекст для принятия решений. Для этого SIEM должны интегрировать данные из других систем, таких как Threat Intelligence Platform (TIP) и Vulnerability Management. Таким образом SIEM начинает перенимать функции, традиционно присущие другим решениям, обеспечивая пользователю более полную картину происходящего.
Второй способ – автоматизация рутинных операций, традиционно выполняемая системами SOAR. Чтобы сократить объем задач, требующих вмешательства человека, SIEM-системы также начинают автоматизировать отдельные процессы.
В результате SIEM-продукты становятся все более комплексными, объединяя в себе функции, которые раньше «принадлежали» другим классам решений, что высвобождает ресурсы ИБ-команды и делает ее работу более продуктивной.
Тренд 2. Рост инфраструктуры и сложности угроз
Информатизация проникает все глубже в бизнес-процессы заказчиков, что сопровождается расширением инфраструктуры и размыванием ее границ. BYOD (Bring your own devices), удаленная работа, облачные сервисы, контейнеры и виртуальные машины, которые постоянно создаются и удаляются, – размывают понятный привычный периметр защиты. Как результат, для обеспечения должного уровня безопасности требуется система, способная собирать и обрабатывать огромное количество данных, поступающих с различных элементов инфраструктуры и сенсоров. Однако рост объема логов и данных может породить новые проблемы: увеличится количество ложных срабатываний, и специалисты столкнутся с потоком алертов, которые будет практически невозможно эффективно обработать. Этот тренд стимулирует разработчиков SIEM-систем не только наращивать способность «переваривать» всё более и более разнородные события, но и активно вкладываться в улучшение архитектуры и контента своих решений. Хотя перед системами, изначально спроектированными грамотно, например KUMA «Лаборатории Касперского», такие проблемы не стоят.
Необходимо создавать систему так, чтобы обработка большего количества данных не вела к линейному увеличению стоимости эксплуатации, как это происходит в системах, архитектура которых закладывалась десятилетие назад и не может быть эффективно изменена.
В связи с этим использующие SIEM заказчики ожидают всесторонней оптимизации: от улучшения интерфейсов и «коробочных» решений до бесшовной интеграции с другими системами и технических улучшений всех компонентов, особенно систем хранения данных.
Тренд 3. Растущая востребованность сервисной модели
Еще один важный аспект – переход к сервисной модели. Традиционный подход в области информационной безопасности требует значительных капитальных вложений: закупка лицензий, оборудования, набор и обучение команды для центра мониторинга. Кроме того, удержание квалифицированных сотрудников требует дополнительных усилий. Все это значительно усложняет жизнь бизнесу, формируя непрофильные основным производственным процессам расходы в условиях ограниченных ресурсов. В такой ситуации возникает естественное желание уйти от крупных капитальных затрат и перевести их в операционные расходы.
Есть два основных сценария, которые позволяют это сделать.
Первый – модель облачного потребления, основанная на подписке. В этом случае компании используют решения из облака, что позволяет гибко масштабировать инфраструктуру и избегать крупных капитальных затрат. Однако на российском рынке этот переход происходит медленно. Причины этого кроются как в объективных, так и в субъективных факторах.
Объективные факторы включают регуляторные ограничения в отдельных отраслях, а также персональную ответственность за безопасность, которая остается на конкретном человеке в компании даже при передаче части функций внешним сервисам. К тому же, делегирование ответственности третьим сторонам, особенно в сфере безопасности, вызывает закономерные опасения.
Субъективные факторы – это недоверие к облачным технологиям, которое еще сильнее тормозит развитие этого тренда, и это особенно заметно на российском рынке.
Однако на глобальном уровне картина иная: рынок SIEM активно растет именно за счет облачных решений, в то время как традиционные продукты для дата-центров, напротив, теряют позиции.
Второй сценарий – это переход к модели безопасности как услуги (Security as a Service) через партнерство с MSSP-провайдерами. MSSP берут на себя управление безопасностью, предлагая управляемые SIEM-решения или комплексную защиту «под ключ», где SIEM является лишь одним из элементов. Этот тренд заметен и на российском рынке, где многие компании уже видят преимущества сервисного подхода.
Тренд 4. Искусственный интеллект
Искусственный интеллект уже долгое время применяется в сфере кибербезопасности, в том числе в SIEM-системах. Он применяется для самых разных задач и в самых разных частях комплексной системы обеспечения безопасности – от детектирования угроз угроз на конечных устройствах до оценки риск-скора хостов и приоритизации событий безопасности.
Основным трендом, безусловно, является внедрение генеративного искусственного интеллекта (GenAI), в частности больших языковых моделей (LLM). Эти модели, обладая способностью к обработке плохо структурированной информации и генерации текста, могут облегчить аналитикам, работающим с SIEM, целый ряд задач – от помощи в анализе определенных событий до написания детализированных отчетов по обнаруженным инцидентам информационной безопасности.
Грамотное применение технологий генеративного ИИ с учетом их особенностей может помочь снизить когнитивную нагрузку на аналитиков за счет автоматизации рутины и позволит повысить их продуктивность.
Правильная стратегия
Развивать дополнительные функции кажется более логичным в продукте, который накапливает нужные данные, а SIEM как раз аккумулирует огромное количество данных и поэтому может превращаться в инструмент для ИТ-мониторинга, систему по выявлению мошенничества (антифрод) или UBA – все необходимые данные уже доступны.
Неудивительно, что SIEM, обладая уникальной возможностью хранить и обрабатывать большие массивы данных из множества источников, начинает поглощать функционал других классов решений, предлагая все больше возможностей для работы с этой информацией.
К слову, SIEM-системы далеко не всегда использовались строго по своему прямому назначению – с самого начала это была многофункциональная платформа, где сбор, обработка и корреляция данных являлись лишь частью ее возможностей. Безусловно, это важная часть, но функционал SIEM всегда выходил за рамки простой аналитики.
Автоматизация задач, которая сегодня представляется отдельной категорией решений, уже давно была частью SIEM. Просто в какой-то момент возникла необходимость сделать эти процессы более удобными и привлекательными с точки зрения пользовательского опыта – улучшить UX и UI, чтобы облегчить работу специалистам. Так родились новые классы решений, выделившиеся из общей платформы.
Возникает вопрос: остаются ли эти решения самостоятельным направлением, или это все же часть функционала SIEM?
На наш взгляд, задачи, которые решаются с помощью систем управления безопасностью (например, в мониторинге), принципиально не изменились. Те же требования, что предъявлялись к SIEM ранее, актуальны и сегодня. Функциональные элементы этой платформы продолжают перетекать из одного класса решений в другой, то обособляясь, то вновь сливаясь с основой.
С другой стороны, разные уровни данных и технологии их сбора требуют различных подходов и инструментов.
Например, в области обработки сетевого трафика SIEM-системы обычно собирают телеметрию, такую как события NetFlow, SFlow или JFlow с информацией о сетевых пакетах. Однако полный анализ сырых данных трафика не является задачей SIEM, для этого требуются специализированные решения, такие как IDS, IPS, NTA и NDR. Эти системы могут детализировано протоколировать свою работу и передавать глубокую информацию о сессиях и обнаруженных аномалиях.
Для анализа таких специфических данных существуют специализированные системы, а сила SIEM заключается в способности интегрировать данные из различных источников и представлять их пользователю в удобной форме.
Системы SIEM не заменяют все другие решения и не претендуют на звание «универсального инструмента». Их основная задача – объединять данные, коррелировать события и предоставлять более сложные аналитические цепочки. Инфраструктура информационной безопасности остается сложной, и каждое решение имеет свое место в этой экосистеме.
Стремление создать универсальное решение без учета реальных потребностей может оказаться нецелесообразным. Комбайн ради комбайна редко приносит желаемый результат – эффективное решение требует соответствия конкретным задачам и реальным потребностям пользователя.
Архитектура SIEM для развития зрелости команды
Современный подход предполагает, что инфраструктура и уровень зрелости ИБ-команды постоянно эволюционируют, и SIEM должна поддерживать эти изменения, а не ограничивать их. При этом SIEM остается инструментом, который используется для решения задач безопасности, и ее эффективность зависит от того, как она интегрируется и поддерживает развитие команды и инфраструктуры.
Правильная архитектура и тщательно продуманные компоненты – это то, что позволяет SIEM адаптироваться к изменениям и развиваться без значительных затруднений.
Важность выбора правильного архитектурного подхода для SIEM трудно переоценить. Эта основа обеспечивает не только гибкость и масштабируемость системы, но и ее способность эффективно интегрироваться с новыми технологиями и сценариями, будь то автоматизация, искусственный интеллект или новые интеграции. Правильный “костяк” системы позволяет легко наращивать функциональность и адаптироваться к изменениям в угрозах и запросах пользователей.
https://www.cnews.ru/news/top/2024-08-5_nehvatku_kadrov_v_rossijskom
Реклама АО «Лаборатория Касперского». ИНН 7713140469. Erid 2SDnjbrZNMx
ITSec_articles