Системы управления информацией и событиями безопасности (SIEM) предназначены для нормализации ИБ-логов разрозненных информационных и ИБ-систем и отдельных устройств, с тем чтобы максимально быстро обнаруживать корреляции между ними и адекватно реагировать на выявленные ИБ-события.
Инструментарий SIEM, выстроенный в систему, обязательно должен включать постоянную поддержку со стороны ИБ-персонала, суть которой сводится к обновлению данных и настроек. Однако, это является проблемой для большинства компаний, особенно с учетом использования облачных технологий и виртуализации. Даже крупным компаниям трудно без внешней поддержки со стороны специализированных ИБ-компаний поддерживать в актуальном состоянии, например, черные и белые списки IP и URL адресов.
Среди новых технологий, которые востребованы в SIEM, выделяют анализ больших данных, распознавание угроз (threat intelligence) и машинное обучение (machine learning). Именно их реализацию ищут заказчики, впервые внедряющие SIEM, и недовольные первыми внедрениями.
Основными драйверами, побуждающими компании приобретать инструменты SIEM, как показал опрос, являются потребность в анализе в реальном времени тревожных сообщений и безопасности данных (71%), более быстрое реагирование на угрозы и атаки (49%), соответствие требованиям регуляторов (48%) и повышение операционной эффективности компании (43%).
Из этих данных опроса можно сделать вывод, что первоначальный драйвер внедрения SIEM сместился с соответствия регулятивным требованиям на реальную защиту от современных угроз, среди которых прежде всего называются таргетированные атаки. Так, в июльском отчете компании Gartner утверждается, что 92% компаний не в состоянии сегодня детектировать взломы на ранних стадиях, а именно таргетированные атаки отличаются высокой скрытностью.
Интересно, что 78% опрошенных предполагают развертывать системы SIEM внутри компаний, 33% планируют использовать услуги провайдеров управляемых ИБ-услуг (MSSP) и 27% (!) будут полагаться на облачные Software as a Service. Именно вот этим 27% в системах SIEM важен функционал реального времени, чтобы мониторить виртуальные и облачные среды, хотя, как показал опрос, о потребности в таком функционале заявило несколько больше участников 36% - по-видимому, в расчете на рассматриваемые облачные перспективы.
Складывается странная ситуация: чем больше средств защиты внедряет организация, тем труднее ей своевременно и комплексно осмыслить поступающую от них информацию. Данных становится больше, а степень их использования фактически сокращается. Сегодня становится просто невозможно без применения специальных технических средств самостоятельно провести анализ и категорирование по степени критичности огромного числа регистрируемых событий ИБ, а уж тем более — провести ретроспективный анализ или выявлять паттерны событий в режиме реального времени. А это создает идеальные условия для успешной реализации различного рода атак, в особенности APT-атак. Именно нацеленность на решение указанных проблем мотивирует компании все больше обращать внимание на современные SIEM-решения.
Однако и в этом сегменте, как это уже не раз бывало при решении других задач ИБ и ИТ, сами по себе технические средства могут создавать у организации ложное чувство защищенности, если не отлажены регламенты и процессы, связывающие новые технические средства с компетенциями специалистов. Учитывая новизну и высокую сложность постоянного просеивания потока событий и выявления ложных срабатываний и истинных случаев атак, становится ясно, что по-настоящему эффективные SIEM-решения потребуют участия специализированных аутсорсинговых компаний, которые создадут своего рода ситуационные центры для комплексного анализа событий ИБ или пойдут еще дальше, превратив работу своих специалистов в таких центрах в коммерческую услугу.