Банковское обозрение

Финансовая сфера


27.07.2020 Аналитика
«Ты помнишь, как все начиналось?»

Банкиры требуют от вендоров SIEM, чтобы их продукт получил больше функций, снижающих требования к ИБ-специалистам, сокращая их трудозатраты


Банковский сектор нашей страны в числе первых принял примерно 10 лет назад на вооружение технологию SIEM (Security Information and Event Management). И до сих пор он остается в составе ключевых потребителей наряду с коллегами из государственного сектора, телекома, ретейла, транспорта и промышленности.

Об этом факте напомнили эксперты компании Positive Technologies (PT), которые в июне 2020 года запустили Positive Tech Press Club — серию онлайн-встреч, на которых предполагается обсуждать эволюцию технологий информационной безопасности, развитие средств защиты, а также выявлять тенденции отечественного рынка ИБ. Первая встреча клуба была посвящена теме развития рынка SIEM в России.

Сначала были логи

Историческую часть встречи начал Максим Филиппов, директор по развитию бизнеса PT в России. По его словам, все начиналось с желания понять в режиме реального времени  времени, что на самом деле происходит в корпоративных сетях, состоящих из множества узлов, генерирующих в зависимости от ситуации те или иные системные сообщения (логи). SIEM стал центральным узлом сбора и анализа этих логов. Тогда казалось, что обрабатывать верхнеуровневую информацию и делать выводы будут операторы системы, т.е. люди. Решения разных вендоров SIEM отличались тем, какой процент многочисленного оборудования поддерживался конкретной системой. Второй важной метрикой был тот объем собранной информации, которую можно было «переварить» за одну секунду (EPS). Понятно, что без аналитиков все это «железо» и софт будут работать вхолостую. Поэтому многое, если не все, зависело от квалификации и мотивации этих людей.

Вторая узловая точка в эволюции SIEM была пройдена, когда технологии, рожденной на стыке IT и ИБ, пришлось выбирать, куда из двух «родительских домов» мигрировать. Выбор оказался быстрым и определенным: в сторону ИБ. Одной из причин такого выбора стала высокая цена инцидентов информационной безопасности в финансовых институтах, которые, как мы помним, были одними из первых потребителей SIEM-систем.

Что касается темпов роста в России SIEM, то он впечатляет (в рублях): в 2015/2014 годах ― 40–50%, 2017/2016 ― 30–40%, 2018-2020 ― 20–25%, и он останется таковым в перспективе трех ― пяти лет. Объем рынка в 2019 году оценивается экспертами в 5 млрд рублей, а темпы его роста превышают среднемировые в два раза. Менеджеры PT заявляют о своей доле рынка в 2019 году 30%, большую ее часть составляют банковские проекты. Но надо признать, что вендорам SIEM-системы обходятся в копеечку. Так, прямые инвестиции в разработку MaxPatrol SIEM составили уже более 1,2 млрд рублей.

Дальше темпы роста рынка в целом (в деньгах) выйдут, как сейчас модно говорить, на плато, зато вследствие удешевления технологии вырастет количество проектов, что поддержит рост объемов рынка. Почему именно рост? Ответ прост: мы пока отстаем от наших западных партнеров по проникновению новых технологий на три ― пять лет. Поэтому понятно, как и что именно предстоит сделать с учетом отечественной специфики. А двигать рынок будут пять основных трендов.

Куда «катится» мир?

В числе технологий, в первую очередь влияющих на развитие, отмечается эволюция экспертизы в области управления системой. Последние 15 лет о SIEM было принято говорить как о средстве для сбора логов с разных систем и средств корреляции, а анализ собранных массивов данных ограничивается маппингом правил корреляции по матрице MITRE ATT&CK. Для повышения качества мониторинга событий безопасности SIEM этого недостаточно: нужны правила нормализации, способы настройки источников, пакеты с правилами обнаружения угроз, инструкции по активации источников, описания правил детектирования, рекомендации о том, что делать, если сработало правило. Доля покрытия этой технологии (глубина проникновения) составляет 50–60%, качество реализации — среднее (три балла).

Объем рынка в 2019 году оценивается в 5 млрд рублей, а темпы его роста превышают среднемировые в два раза

Еще один тренд развития SIEM-систем — автоматизация реагирования на инциденты. Согласно проведенному PT опросу, 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам участники опроса отнесли работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов: их отметили 58 и 52% респондентов соответственно. У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок развитию SIEM-систем в область другого класса продуктов — SOAR. Доля покрытия технологии составляет 60–70%, а качество реализации — три балла из пяти возможных.

Третий тренд связан с конвергенцией технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR). Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Покрытие технологии 60–70%, качество реализации — два балла.

Стремление получить на одном экране единую картину происходящего в инфраструктуре будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA заключается в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение, глубокое обучение и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично и почему это поведение для них нетипично. Это четвертая технология, покрытие которой оценивается в 70–80%, а качество реализации — на четыре балла.

В числе технологий, в первую очередь влияющих на развитие отмечается эволюция экспертизы в области управления SIEM

Пятое направление развития SIEM-систем связано с облаками. Согласно исследованию, проведенному Enterprise Strategy Group по заказу Dell Technologies и Intel, в 2019 году примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход заставляет вендоров, с одной стороны, добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам, а с другой стороны, научиться и самим предоставлять SIEM по модели As a Service — посредством добавления специфических для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM (виртуальных, облачных аплайнсов). По экспертным оценкам PT, доля покрытия этой технологии составляет 60–70%, а качество реализации — три балла.

«Часть этих трендов уже выражена в той или иной степени, часть приобретет актуальность на горизонте одного года ― трех лет. Представленные технологии служат двум целям — повышению качества работы с SIEM и сокращению объема ручной работы операторов при мониторинге и реагировании на инциденты», — отметил в финале встречи Алексей Андреев, управляющий директор департамента исследований и разработки PT. А новую MaxPatrol SIEM 6 представила Наталия Казанькова, менеджер по продуктовому маркетингу PT.






Читайте также

Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ