Найти тему
CISOCLUB - информационная безопасность
8121 подписчик

Positive Technologies: пять основных технологических трендов развития SIEM-систем

1 минута
6 прочтений

Специалисты компании Positive Technologies выделили пять основных направлений, с помощью которых SIEM-системы будут эффективнее обнаруживать инциденты кибербезопасности, бороться с их последствиями. Соответствующий доклад прозвучал во время презентации MaxPatrol SIEM 6.

  • Экспертиза в сфере управления системой. Для многих людей SIEM представляется в качестве программного средства, собирающего логи с различных систем и корреляционных средств, в то время как собранная информация анализируется только с помощью маппинга правил корреляции по матрице Mitre Att&ck. Чтобы увеличить эффективность мониторинга инцидентов, SIEM подобного недостаточно – необходимы регламенты нормализации, методики настройки источников, описания правил обнаружения и многое другое.
  • Автоматизация реагирования на киберинциденты. Судя по недавнему опросу, более четверти ИБ-специалистов работает в SIEM около 2-4 часов каждый день. Большее время они тратят на работу с ложными срабатывания, на разбор киберинцидентов, настройку источников информации, поддержку их функционирования.
  • Конвергенция технология анализа трафика, логов и происходящего на конечных узлах. Если глубоко не анализировать сеть и не пользоваться возможностями EDR, мониторинг видится неполноценным. Через 2-3 года анализа трафика станет неотъемлемой частью SIEM, а анализ событий на конечных узлах – вспомогательной функцией.
  • Добавление инструментов UEBA. Они необходимы для получения на экране общей картины происходящего в инфраструктуре. С помощью UEBA могут быть выстроены поведенческие модели.
  • Добавление облачных сервисов в перечень поддерживаемых SIEM-источников. В соответствии с проведенным исследованием, около 66% в 2019 г. увеличили расходную часть на облачные сервисы, в сравнении с показателями 2018 г. За счет этого крупные вендоры добавляют распространённые облачные сервисы в перечень поддерживаемых SIEM-источников.

Алексей Андреев, руководитель отделка исследований и разработки PT, отметил: «Описанные выше тренды частично уже сейчас реализуются, а полностью они будут задействованы в ближайшие один-три года. С их помощью преследуются следующие цели – увеличение эффективности работы с SIEM и снижение количества действий, которые выполняются ИБ-специалистами вручную при отслеживании и реагировании на киберинциденты.