В числе технологий, влияющих на развитие SIEM-систем, специалисты Positive Technologies отметили развитие экспертизы в области управления системой. Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции, а анализ собранных массивов данных ограничивается маппингом правил корреляции по матрице MITRE ATT&CK ². Для повышения качества мониторинга событий безопасности SIEM этого недостаточно: нужны правила нормализации, способы настройки источников, пакеты с правилами обнаружения угроз, инструкции по активации источников, описания правил детектирования, рекомендации о том, что делать, если сработало правило. Доля покрытия этой технологии (глубина проникновения) составляет 50―60% ³, качество реализации — среднее (3 балла) 4.
Еще один тренд развития SIEM-систем ― это автоматизация реагирования на инциденты. Согласно проведенному Positive Technologies опросу, 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам участники опроса отнесли работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов: их отметили 58% и 52% респондентов соответственно. У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок развитию SIEM-систем в область другого класса продуктов — SOAR 5. Доля покрытия технологии составляет 60–70%, а качество реализации — 3.
Третий тренд связан с конвергенцией технологий анализа трафика (NTA-систем 6), логов (SIEM) и происходящего на конечных узлах (EDR 7). Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Покрытие технологии 60–70%, качество реализации — 2 балла.
Стремление получить на одном экране единую картину происходящего в инфраструктуре будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA 8 в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично и почему это поведение для них нетипично. Это четвертая технология, покрытие которой оценивается в 70―80%, а качество реализации на 4 балла.
Пятое направление развития SIEM-систем связано с облаками. Согласно исследованию, проведенному Enterprise Strategy Group по заказу Dell Technologies и Intel, в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам а с другой, научиться и самим предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM (виртуальных, облачных аплайнсов 9). По экспертным оценкам Positive Technologies, доля покрытия этой технологии составляет 60―70%, а качество реализации — 3 балла.
«Часть этих трендов уже выражены в той или иной степени, часть приобретет актуальность на горизонте 1―3 лет. Представленные технологии служат двум целям — повышению качества работы с SIEM и сокращению объема ручной работы операторов при мониторинге и реагировании на инциденты», — отмечает Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies.
- Security information and event management (SIEM) — управление событиями информационной безопасности.
- Общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT. Она представляет собой структурированный набор тактик и техник, используемых злоумышленниками. Это позволяет специалистам по информационной безопасности со всего мира разговаривать на одном языке. База постоянно расширяется и дополняется новыми знаниями.
- Экспертная оценка Positive Technologies. Тренды актуальны для лидеров рынка SIEM, и в определении числа лидеров мы руководствовались данными IDC.
- Качество реализации оценивается экспертами Positive Technologies по шкале от 1 до 5, где 1 — плохо реализовано, 2 — качество реализации ниже среднего, 3 — среднее качество реализации, 4 — качество реализации выше среднего, 5 — хорошо реализовано.
- Security orchestration and automated response — оркестрация событий безопасности и автоматическое реагирование.
- Network traffic analysis, NTA — анализ сетевого трафика.
- Endpoint detection response, EDR — анализ происходящего на конечных узлах.
- User and entity behavioral analytics, UEBA — поведенческий анализ пользователей и сущностей.
- Виртуальное устройство — готовый образ виртуальной машины, предназначенный для работы в среде виртуализации (на облачной платформе).