SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
Эксперты:
Даниил Вылегжанин, начальник отдела технического сопровождения продаж, RuSIEM
Александр Дорофеев, генеральный директор АО “Эшелон Технологии”
Екатерина Едемская, инженер-аналитик, компания “Газинформсервис”
Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии”
Денис Лобанов, руководитель продукта MaxPatrol SIEM
Виктор Никуличев, руководитель продукта R-Vision SIEMM
Роман Овчинников, директор департамента внедрения Security Vision
Илья Одинцов, Product Manager Alertix, NGR Softlab
Алексей Павлов, директор по развитию продуктов Positive Technologies
Артем Проничев, руководитель по ML в MaxPatrol SIEM
Иван Прохоров, руководитель продукта MaxPatrol IM/SIEM
Павел Пугач, системный аналитик “СёрчИнформ”
Максим Тумаков, руководитель направления SIEM и SOAR, BI.ZONE
Дмитрий Чеботарев, менеджер по развитию продукта UserGate SIEM
Даниил Вылегжанин, начальник отдела технического сопровождения продаж, RuSIEM
Александр Дорофеев, генеральный директор АО “Эшелон Технологии”
Екатерина Едемская, инженер-аналитик, компания “Газинформсервис”
Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии”
Денис Лобанов, руководитель продукта MaxPatrol SIEM
Виктор Никуличев, руководитель продукта R-Vision SIEMM
Роман Овчинников, директор департамента внедрения Security Vision
Илья Одинцов, Product Manager Alertix, NGR Softlab
Алексей Павлов, директор по развитию продуктов Positive Technologies
Артем Проничев, руководитель по ML в MaxPatrol SIEM
Иван Прохоров, руководитель продукта MaxPatrol IM/SIEM
Павел Пугач, системный аналитик “СёрчИнформ”
Максим Тумаков, руководитель направления SIEM и SOAR, BI.ZONE
Дмитрий Чеботарев, менеджер по развитию продукта UserGate SIEM
Какая самая большая ошибка или иллюзия была в подходах к SIEM в 2019– 2024 гг., и какие уроки сегодня можно из нее извлечь?
Екатерина Едемская, "Газинформсервис"
Самой большой ошибкой было излишнее доверие к автоматическим механизмам и недостаточная интеграция с реальными бизнес-процессами и потребностями безопасности. Многие организации фокусировались на сборе как можно большего объема данных, игнорируя важность качественного анализа и своевременного реагирования. Урок, который следует извлечь, заключается в том, что SIEM должен быть не просто хранилищем данных, но и активным инструментом для улучшения реакций на инциденты, требуя постоянной настройки и адаптации под меняющиеся угрозы.
Самой большой ошибкой было излишнее доверие к автоматическим механизмам и недостаточная интеграция с реальными бизнес-процессами и потребностями безопасности. Многие организации фокусировались на сборе как можно большего объема данных, игнорируя важность качественного анализа и своевременного реагирования. Урок, который следует извлечь, заключается в том, что SIEM должен быть не просто хранилищем данных, но и активным инструментом для улучшения реакций на инциденты, требуя постоянной настройки и адаптации под меняющиеся угрозы.
Иван Прохоров, Positive Technologies
На мой взгляд, иллюзия заключалась в вере, что no-SIEM решения (XDR, обещавшие "всё в одном") полностью вытеснят SIEM. Но практика показала, что они часто ограничены экосистемой вендора и не заменяют возможностей кроссплатформенной корреляции данных от XDR, сетевых источников, облаков и других систем. Главный урок: не заменять, а интегрировать. SIEM остается мозговым центром для расследований, обеспечения целостной картины угроз и контекста происходящего.
На мой взгляд, иллюзия заключалась в вере, что no-SIEM решения (XDR, обещавшие "всё в одном") полностью вытеснят SIEM. Но практика показала, что они часто ограничены экосистемой вендора и не заменяют возможностей кроссплатформенной корреляции данных от XDR, сетевых источников, облаков и других систем. Главный урок: не заменять, а интегрировать. SIEM остается мозговым центром для расследований, обеспечения целостной картины угроз и контекста происходящего.
Николай Лишке, "Эшелон Технологии"
Главная иллюзия – фокус на коробочных решениях для Enterprise без учета реальных условий рынка. Некоторые производители игнорировали необходимость поддержки российских ОС, что сейчас усложняет внедрения в госсекторе и МСБ. Вторая иллюзия – убеждение, что мониторинг необходим только крупным компаниям. На деле и МСБ сталкивается с атаками, но изза сложности настройки и высокой стоимости некоторых решений они вынуждены обходиться шаблонными правилами, пропуская реальные угрозы. Урок прост: SIEM должен быть гибким и доступным. Хороший подход для МСБ – сценарии под российские стандарты, чтобы стартовать с минимальными ресурсами и постепенно расширять возможности мониторинга.
Главная иллюзия – фокус на коробочных решениях для Enterprise без учета реальных условий рынка. Некоторые производители игнорировали необходимость поддержки российских ОС, что сейчас усложняет внедрения в госсекторе и МСБ. Вторая иллюзия – убеждение, что мониторинг необходим только крупным компаниям. На деле и МСБ сталкивается с атаками, но изза сложности настройки и высокой стоимости некоторых решений они вынуждены обходиться шаблонными правилами, пропуская реальные угрозы. Урок прост: SIEM должен быть гибким и доступным. Хороший подход для МСБ – сценарии под российские стандарты, чтобы стартовать с минимальными ресурсами и постепенно расширять возможности мониторинга.
Максим Тумаков, BI.ZONE
Частое заблуждение заключается в том, что команда, развернувшая SIEM-систему, считает, что инфраструктуру защищает сам факт ее наличия. В действительности крайне важно, чтобы SIEM была адаптирована под особенности инфраструктуры конкретной организации. Можно снизить нагрузку на SIEM, подключая только приоритетные источники событий, корректно адаптировать детектирующие правила к ИТ-ландшафту и избежать лишних ложноположительных срабатываний.
Частое заблуждение заключается в том, что команда, развернувшая SIEM-систему, считает, что инфраструктуру защищает сам факт ее наличия. В действительности крайне важно, чтобы SIEM была адаптирована под особенности инфраструктуры конкретной организации. Можно снизить нагрузку на SIEM, подключая только приоритетные источники событий, корректно адаптировать детектирующие правила к ИТ-ландшафту и избежать лишних ложноположительных срабатываний.
Дмитрий Чеботарев, UserGate SIEM
В мире SIEM есть множество мифов, иллюзий и ошибок. Сейчас к заказчикам приходит понимание того, что классическое решение с его базовым набором функциональности не актуально. А вот в чем у них в действительности есть потребность, так это в новом продукте, обладающем большими возможностями. Например, SIEM, включающий функциональность IRP/SOAR, обогащение за счет TI, взаимодействие с EDR, а также поддержку экосистемного подхода.
В мире SIEM есть множество мифов, иллюзий и ошибок. Сейчас к заказчикам приходит понимание того, что классическое решение с его базовым набором функциональности не актуально. А вот в чем у них в действительности есть потребность, так это в новом продукте, обладающем большими возможностями. Например, SIEM, включающий функциональность IRP/SOAR, обогащение за счет TI, взаимодействие с EDR, а также поддержку экосистемного подхода.
Роман Овчинников, Security Vision
Главное заблуждение – это ожидание панацеи, надежда, что с помощью только SIEM будут решены все проблемы. SIEM – это инструмент, который требует настройки, процессов, контроля и развития. Без подобного подхода не будет достигнут желаемый результат. Можно также отметить ложное мнение, что SIEM является признаком наличия в компании SOC. SIEM, конечно, важная система в SOC, но далеко не единственная. Важно помнить, что SOC – это, помимо СЗИ, люди и выстроенные процессы.
Главное заблуждение – это ожидание панацеи, надежда, что с помощью только SIEM будут решены все проблемы. SIEM – это инструмент, который требует настройки, процессов, контроля и развития. Без подобного подхода не будет достигнут желаемый результат. Можно также отметить ложное мнение, что SIEM является признаком наличия в компании SOC. SIEM, конечно, важная система в SOC, но далеко не единственная. Важно помнить, что SOC – это, помимо СЗИ, люди и выстроенные процессы.
Павел Пугач, "СёрчИнформ"
Ключевой ошибкой была недооценка комплексного контроля. Многие компании, особенно МСБ, жили с установкой "мы никому не интересны". Это порождало иллюзию, что точечных средств защиты будет достаточно. Реальность после 2022 г. показала, что частота и изощренность атак требуют не набора разрозненных инструментов, а единого центра управления. SIEM – и есть такой центр. Он объединяет данные из других СЗИ и позволяет комплексно выявлять угрозы, причем на ранней стадии – до наступления реального ущерба. Безопасность не может быть фрагментарной, ей нужно управлять.
Ключевой ошибкой была недооценка комплексного контроля. Многие компании, особенно МСБ, жили с установкой "мы никому не интересны". Это порождало иллюзию, что точечных средств защиты будет достаточно. Реальность после 2022 г. показала, что частота и изощренность атак требуют не набора разрозненных инструментов, а единого центра управления. SIEM – и есть такой центр. Он объединяет данные из других СЗИ и позволяет комплексно выявлять угрозы, причем на ранней стадии – до наступления реального ущерба. Безопасность не может быть фрагментарной, ей нужно управлять.
Виктор Никуличев, R-Vision
Иллюзия, что коробочный SIEM решит все задачи и даже без настройки. К сожалению, каждая организация абсолютно индивидуальна. Если пытаться угодить всем, то методы детектирования становятся либо очень универсальными и одновременно слабыми, либо раздражающими, потому что ругаются на все и генерируют множество срабатываний. Компании необходимо хорошо понимать свою инфраструктуру и фокусировать работу решений ИБ на том, что действительно важно. Для этого SIEM в первую очередь должен обладать всем необходимым функционалом, чтобы решить ключевые задачи бизнеса для обеспечения защищенности, даже самые сложные.
Иллюзия, что коробочный SIEM решит все задачи и даже без настройки. К сожалению, каждая организация абсолютно индивидуальна. Если пытаться угодить всем, то методы детектирования становятся либо очень универсальными и одновременно слабыми, либо раздражающими, потому что ругаются на все и генерируют множество срабатываний. Компании необходимо хорошо понимать свою инфраструктуру и фокусировать работу решений ИБ на том, что действительно важно. Для этого SIEM в первую очередь должен обладать всем необходимым функционалом, чтобы решить ключевые задачи бизнеса для обеспечения защищенности, даже самые сложные.
Даниил Вылегжанин, RuSIEM
Очень часто SIEM воспринимается как волшебная пилюля, купив которую заказчик решит сразу все свои проблемы и увидит все проблемные зоны предприятия. Однако важно понимать, что любая SIEM-система требует тщательной настройки под конкретную инфраструктуру как при внедрении, так и при последующей эксплуатации. Помимо этого, предприятию нужно обладать определенным штатом сотрудников, которые будут непрерывно работать с системой, подключать новые источники, создавать правила корреляции для выявления новых типов угроз, редактировать существующие правила, проводить расследования и реагировать на инциденты и многое другое. Это целый процесс, который должен быть очень четко выстроен. К сожалению, иногда именно к выстраиванию этого процесса заказчики подходят недостаточно серьезно, что приводит к снижению удовлетворенности от приобретенной SIEM.
Очень часто SIEM воспринимается как волшебная пилюля, купив которую заказчик решит сразу все свои проблемы и увидит все проблемные зоны предприятия. Однако важно понимать, что любая SIEM-система требует тщательной настройки под конкретную инфраструктуру как при внедрении, так и при последующей эксплуатации. Помимо этого, предприятию нужно обладать определенным штатом сотрудников, которые будут непрерывно работать с системой, подключать новые источники, создавать правила корреляции для выявления новых типов угроз, редактировать существующие правила, проводить расследования и реагировать на инциденты и многое другое. Это целый процесс, который должен быть очень четко выстроен. К сожалению, иногда именно к выстраиванию этого процесса заказчики подходят недостаточно серьезно, что приводит к снижению удовлетворенности от приобретенной SIEM.
Илья Одинцов, NGR Softlab
Иллюзия, что SIEM можно сделать простой системой и обеспечить защиту всех активов минимальными трудозатратами. Но стоимость решений выросла, SIEM требует экспертизы для проектирования и сопровождения.
Иллюзия, что SIEM можно сделать простой системой и обеспечить защиту всех активов минимальными трудозатратами. Но стоимость решений выросла, SIEM требует экспертизы для проектирования и сопровождения.
Должен ли SIEM оставаться центральным элементом управления безопасностью в корпоративной инфраструктуре, или рациональнее строить архитектуру вокруг XDR/EDR, оставив SIEM на вспомогательной роли?
Илья Одинцов, NGR Softlab
SIEM – это мощная и гибкая система которая подходит для крупных заказчиков со зрелыми командами. XDR хорошо подойдет небольшим командам в сегменте МСБ.
SIEM – это мощная и гибкая система которая подходит для крупных заказчиков со зрелыми командами. XDR хорошо подойдет небольшим командам в сегменте МСБ.
Павел Пугач, "СёрчИнформ"
На вопрос об архитектуре отвечу как архитектор (пусть и бывший). XDR и EDR – это превосходные, высокотехнологичные кирпичи. Они обеспечивают исключительную защиту на конечных точках. Но нельзя строить здание без плана. Вам нужен проект, который определит, что и где должно быть. Это роль SIEM. XDR/EDR поставляют ей сырые данные и исполняют ее команды. Без централизованного управления даже самые продвинутые инструменты работают разрозненно, оставляя беззащитными слепые зоны для атакующего.
На вопрос об архитектуре отвечу как архитектор (пусть и бывший). XDR и EDR – это превосходные, высокотехнологичные кирпичи. Они обеспечивают исключительную защиту на конечных точках. Но нельзя строить здание без плана. Вам нужен проект, который определит, что и где должно быть. Это роль SIEM. XDR/EDR поставляют ей сырые данные и исполняют ее команды. Без централизованного управления даже самые продвинутые инструменты работают разрозненно, оставляя беззащитными слепые зоны для атакующего.
Иван Прохоров, Positive Technologies
SIEM незаменим как единая платформа для корреляции событий из всех источников, включая XDR/EDR, сеть и другое ПО. Можно сказать, что XDR/EDR – это эксперты по эндпоинтам, а SIEM – стратег, связывающий их данные с угрозами во всей инфраструктуре. Рациональная архитектура обеспечения ИБ должна строиться на синергии продуктов ИБ, где SIEM обеспечивает детект, контекст и помощь в расследовании, а XDR/EDR – скорость реагирования на атаки.
SIEM незаменим как единая платформа для корреляции событий из всех источников, включая XDR/EDR, сеть и другое ПО. Можно сказать, что XDR/EDR – это эксперты по эндпоинтам, а SIEM – стратег, связывающий их данные с угрозами во всей инфраструктуре. Рациональная архитектура обеспечения ИБ должна строиться на синергии продуктов ИБ, где SIEM обеспечивает детект, контекст и помощь в расследовании, а XDR/EDR – скорость реагирования на атаки.
Екатерина Едемская, "Газинформсервис"
SIEM по-прежнему должен оставаться центральным элементом управления безопасностью, поскольку он интегрирует данные из множества источников и предоставляет комплексную картину угроз на уровне всей инфраструктуры. В идеальной архитектуре SIEM и XDR/EDR должны работать в тесной связке, где SIEM выполняет роль централизованного хаба для агрегации данных, а XDR/EDR становятся дополнительными инструментами для детального анализа и быстрого реагирования на инциденты.
SIEM по-прежнему должен оставаться центральным элементом управления безопасностью, поскольку он интегрирует данные из множества источников и предоставляет комплексную картину угроз на уровне всей инфраструктуры. В идеальной архитектуре SIEM и XDR/EDR должны работать в тесной связке, где SIEM выполняет роль централизованного хаба для агрегации данных, а XDR/EDR становятся дополнительными инструментами для детального анализа и быстрого реагирования на инциденты.
Максим Тумаков, BI.ZONE
SIEM и XDR/EDR не конкурируют, а дополняют друг друга. SIEM позволяет работать с широким спектром источников и решает задачу по длительному хранению и корреляции событий от разных источников, в то время как решения класса XDR/EDR сконцентрированы на том, чтобы дать большую глубину детекта на конечных точках, а также предоставить возможности для быстрого реагирования на угрозы через все доступные СЗИ. Поэтому данные решения должны работать в комплексе, а не замещаться друг другом.
SIEM и XDR/EDR не конкурируют, а дополняют друг друга. SIEM позволяет работать с широким спектром источников и решает задачу по длительному хранению и корреляции событий от разных источников, в то время как решения класса XDR/EDR сконцентрированы на том, чтобы дать большую глубину детекта на конечных точках, а также предоставить возможности для быстрого реагирования на угрозы через все доступные СЗИ. Поэтому данные решения должны работать в комплексе, а не замещаться друг другом.
Николай Лишке, "Эшелон Технологии"
Интеграция EDR с SIEM помогает точно детектировать атаки на рабочие станции, но без дополнительной корреляции с логами Active Directory или облачных решений можно остаться слепым к сложным атакам. Можно сказать, что XDR/EDR – глаза и уши, но SIEM – мозг. Не стоит забывать о необходимости хранения логов и инцидентов. Использование исключительно XDR/EDR не позволяет выполнять данные требования.
Интеграция EDR с SIEM помогает точно детектировать атаки на рабочие станции, но без дополнительной корреляции с логами Active Directory или облачных решений можно остаться слепым к сложным атакам. Можно сказать, что XDR/EDR – глаза и уши, но SIEM – мозг. Не стоит забывать о необходимости хранения логов и инцидентов. Использование исключительно XDR/EDR не позволяет выполнять данные требования.
Виктор Никуличев, R-Vision
Все зависит от задач организации. Если все ваши ключевые активы – это конечные станции, то EDR будет важным для вас решением. Но на деле для большинства бизнесов это не так: критичных систем несоразмерно много. Каждая такая система требует индивидуального подхода к мониторингу. Они закрываются большим числом СЗИ. SIEM же – место агрегации всех событий безопасности для централизованной работы с ИБ компании.
Все зависит от задач организации. Если все ваши ключевые активы – это конечные станции, то EDR будет важным для вас решением. Но на деле для большинства бизнесов это не так: критичных систем несоразмерно много. Каждая такая система требует индивидуального подхода к мониторингу. Они закрываются большим числом СЗИ. SIEM же – место агрегации всех событий безопасности для централизованной работы с ИБ компании.
Даниил Вылегжанин, RuSIEM
Идеальным вариантом было бы использование платформы, сочетающей в себе функции SIEM, UEBA, SOAR, XDR, NDR, ITDR и AI в рамках единого решения. Это позволило бы исключить возможные слепые зоны, сохраняя полный контекст инцидента. К слову, на мировом рынке ИБ такой подход уже используется рядом вендоров, хотя и требует большого количества вычислительных ресурсов, к чему не всегда готовы заказчики. Если же предстоит выбирать только между XDR/EDR и SIEM, то в большинстве случаев именно SIEM будет наиболее предпочтителен за счет более широкого охвата и централизации логов различных источников в едином хранилище. Но лучше всего использовать и то, и другое в связке.
Идеальным вариантом было бы использование платформы, сочетающей в себе функции SIEM, UEBA, SOAR, XDR, NDR, ITDR и AI в рамках единого решения. Это позволило бы исключить возможные слепые зоны, сохраняя полный контекст инцидента. К слову, на мировом рынке ИБ такой подход уже используется рядом вендоров, хотя и требует большого количества вычислительных ресурсов, к чему не всегда готовы заказчики. Если же предстоит выбирать только между XDR/EDR и SIEM, то в большинстве случаев именно SIEM будет наиболее предпочтителен за счет более широкого охвата и централизации логов различных источников в едином хранилище. Но лучше всего использовать и то, и другое в связке.
Роман Овчинников, Security Vision
Управление безопасностью должно включать процессы как мониторинга, так и управления и реагирования на инциденты информационной безопасности. SIEM является основой мониторинга и сбора, обрастая скриптами и инструментарием вокруг этой задачи. Для реализации всех процессов требуются дополнительные инструменты. Поэтому можно сделать вывод, что SIEM не является центральным элементом, но выполняет функции одного из ряда ключевых элементов. К примеру, если в управлении главная задача не наблюдение, а реагирование – нужно выдвигать вперед R (Response) в виде EDR XDR, SOAR.
Управление безопасностью должно включать процессы как мониторинга, так и управления и реагирования на инциденты информационной безопасности. SIEM является основой мониторинга и сбора, обрастая скриптами и инструментарием вокруг этой задачи. Для реализации всех процессов требуются дополнительные инструменты. Поэтому можно сделать вывод, что SIEM не является центральным элементом, но выполняет функции одного из ряда ключевых элементов. К примеру, если в управлении главная задача не наблюдение, а реагирование – нужно выдвигать вперед R (Response) в виде EDR XDR, SOAR.
Дмитрий Чеботарев, UserGate
SIEM Крайне дискуссионный вопрос. Я уверен, что современный, экосистемный SIEM, включающий в себя функциональность IRP/SOAR станет центральным элементом любой корпоративной инфраструктуры. Ведь классический SIEM уже не удовлетворяет требования заказчиков. Именно поэтому мы развиваем свой современный, идущий в ногу со временем продукт. UserGate совершенствует также и свой EDR, который тесно взаимодействует со всей экосистемой, включая SIEM. Именно благодаря этому решению мы готовы предоставлять заказчикам услуги XDR и MDR.
SIEM Крайне дискуссионный вопрос. Я уверен, что современный, экосистемный SIEM, включающий в себя функциональность IRP/SOAR станет центральным элементом любой корпоративной инфраструктуры. Ведь классический SIEM уже не удовлетворяет требования заказчиков. Именно поэтому мы развиваем свой современный, идущий в ногу со временем продукт. UserGate совершенствует также и свой EDR, который тесно взаимодействует со всей экосистемой, включая SIEM. Именно благодаря этому решению мы готовы предоставлять заказчикам услуги XDR и MDR.
Может ли искусственный интеллект в SIEM уже сегодня реально сокращать время реакции на инциденты, или это скорее маркетинговый шум, отвлекающий от настоящих рабочих инструментов?
Александр Дорофеев, "Эшелон Технологии"
Технологии ИИ могут применяться в SIEM для детектирования аномалий, для объяснения логов, для генерации правил, резюмирования данных по инциденту и т. п. Тем не менее классические статистические методы очень хорошо выявляют аномалии, и необходимость включать ИИ-ассистента в состав SIEM – вопрос тоже дискуссионный. Возможно, что имеет смысл использовать уже развернутые в организации LLM либо задействовать облачные, обеспечив, конечно, качественную фильтрацию чувствительных данных, передаваемых через запросы.
Технологии ИИ могут применяться в SIEM для детектирования аномалий, для объяснения логов, для генерации правил, резюмирования данных по инциденту и т. п. Тем не менее классические статистические методы очень хорошо выявляют аномалии, и необходимость включать ИИ-ассистента в состав SIEM – вопрос тоже дискуссионный. Возможно, что имеет смысл использовать уже развернутые в организации LLM либо задействовать облачные, обеспечив, конечно, качественную фильтрацию чувствительных данных, передаваемых через запросы.
Даниил Вылегжанин, RuSIEM
Однозначно может. Уже сейчас ИИ может использоваться для автоматизации процесса анализа событий, выявления поведенческих аномалий методами машинного обучения, которые классическими правилами корреляции достаточно трудно описать, помогать в приоритизации и расследовании инцидентов, снижать нагрузку на аналитиков, уменьшая количество ложных срабатываний и т. д.
Однозначно может. Уже сейчас ИИ может использоваться для автоматизации процесса анализа событий, выявления поведенческих аномалий методами машинного обучения, которые классическими правилами корреляции достаточно трудно описать, помогать в приоритизации и расследовании инцидентов, снижать нагрузку на аналитиков, уменьшая количество ложных срабатываний и т. д.
Павел Пугач, "СёрчИнформ"
Потенциал у технологии огромный, однако всегда есть "но". Все могущество ИИ упирается в качество и достоверность данных, с которыми он работает. В этом и заключается главная проблема: злоумышленник целенаправленно искажает исходные данные, маскируя свою активность под легитимную. В такой ситуации обманутый ИИ начинает давать катастрофически высокий процент ложных срабатываний или, что хуже, пропусков. В момент, когда требуется максимальная точность, инструмент может дезориентировать аналитиков.
Потенциал у технологии огромный, однако всегда есть "но". Все могущество ИИ упирается в качество и достоверность данных, с которыми он работает. В этом и заключается главная проблема: злоумышленник целенаправленно искажает исходные данные, маскируя свою активность под легитимную. В такой ситуации обманутый ИИ начинает давать катастрофически высокий процент ложных срабатываний или, что хуже, пропусков. В момент, когда требуется максимальная точность, инструмент может дезориентировать аналитиков.
Артем Проничев, Positive Technologies
ИИ в SIEM уже сокращает время реакции на киберугрозы. Машинное обучение анализирует огромные объемы данных, выявляя сложные кибератаки, которые ускользают от традиционных способов обнаружения. Ключевое преимущество – автоматизация рутины и приоритизация инцидентов, что позволяет аналитикам SOC фокусироваться на реальных угрозах, а не на шумных сработках. Однако эффективность ML-решений зависит от качества и полноты данных и грамотной интеграции в процессы SOC. ИИ – это мощный мультипликатор, а не замена фундаментальных практик.
ИИ в SIEM уже сокращает время реакции на киберугрозы. Машинное обучение анализирует огромные объемы данных, выявляя сложные кибератаки, которые ускользают от традиционных способов обнаружения. Ключевое преимущество – автоматизация рутины и приоритизация инцидентов, что позволяет аналитикам SOC фокусироваться на реальных угрозах, а не на шумных сработках. Однако эффективность ML-решений зависит от качества и полноты данных и грамотной интеграции в процессы SOC. ИИ – это мощный мультипликатор, а не замена фундаментальных практик.
Максим Тумаков, BI.ZONE
На опыте нашего SOC мы убедились, что при правильном использовании GenAI-инструменты могут давать существенный прирост в производительности команды. В хранилище телеметрии, которое используется в BI.ZONE SIEM и BI.ZONE EDR, мы уже сделали ассистента: он понимает запросы на обычном языке и сам превращает их в SQLзапросы для поиска нужных событий. Теперь можно быстрее находить вредоносную активность.
На опыте нашего SOC мы убедились, что при правильном использовании GenAI-инструменты могут давать существенный прирост в производительности команды. В хранилище телеметрии, которое используется в BI.ZONE SIEM и BI.ZONE EDR, мы уже сделали ассистента: он понимает запросы на обычном языке и сам превращает их в SQLзапросы для поиска нужных событий. Теперь можно быстрее находить вредоносную активность.
Дмитрий Чеботарев, UserGate
SIEM Важно понимать, что ИИ не является панацеей. По сути, сегодня ИИ – это помощник, к услугам которого иногда можно обратиться. Каждый вендор имеет собственный модуль ИИ, а то и несколько, но ни один из них пока не произвел фурор на рынке отечественных SIEM. Остаются также и вопросы к практическому применению. UserGate работает над собственными решениями и пишет свой модуль ИИ, который мы планируем представить рынку уже в следующем году.
SIEM Важно понимать, что ИИ не является панацеей. По сути, сегодня ИИ – это помощник, к услугам которого иногда можно обратиться. Каждый вендор имеет собственный модуль ИИ, а то и несколько, но ни один из них пока не произвел фурор на рынке отечественных SIEM. Остаются также и вопросы к практическому применению. UserGate работает над собственными решениями и пишет свой модуль ИИ, который мы планируем представить рынку уже в следующем году.
Виктор Никуличев, R-Vision
Реальных исследований по домену ИБ пока нет. Однако исследования в смежных областях однозначно говорят, что, например, разработчик с ИИ работает медленнее, чем без него. Гарантий в скорости и качестве решения задач ИИ не может дать. Но при этом ИИ является очень удобным инструментом для погружения и изучения предметной области. Он здорово справляется с суммаризацией информации, обогащением контекстом, классификацией сработок и выделением важного.
Реальных исследований по домену ИБ пока нет. Однако исследования в смежных областях однозначно говорят, что, например, разработчик с ИИ работает медленнее, чем без него. Гарантий в скорости и качестве решения задач ИИ не может дать. Но при этом ИИ является очень удобным инструментом для погружения и изучения предметной области. Он здорово справляется с суммаризацией информации, обогащением контекстом, классификацией сработок и выделением важного.
Илья Одинцов, NGR Softlab
Надо разделять команды. Для небольших команд и компаний с низкой зрелостью ИБ – ИИ может помогать, но не стоит забывать о передаче информации третьим лицам. Для зрелых команд встроенный ИИ скорее мешает, для консультации можно использовать сторонние более новые решения, например: описать логику детектирования.
Надо разделять команды. Для небольших команд и компаний с низкой зрелостью ИБ – ИИ может помогать, но не стоит забывать о передаче информации третьим лицам. Для зрелых команд встроенный ИИ скорее мешает, для консультации можно использовать сторонние более новые решения, например: описать логику детектирования.
Екатерина Едемская, "Газинформсервис"
Искусственный интеллект в SIEM имеет реальный потенциал для сокращения времени реакции на инциденты. Алгоритмы ИИ могут эффективно анализировать огромные объемы данных и выявлять паттерны, которые человеку было бы сложно заметить. Но важно понимать, что ИИ пока не заменяет полностью человеческий интеллект и не может гарантировать идеальную точность. Поэтому он должен использоваться в качестве инструмента для усиления рабочих процессов, а не как единственная опора в реагировании на инциденты.
Искусственный интеллект в SIEM имеет реальный потенциал для сокращения времени реакции на инциденты. Алгоритмы ИИ могут эффективно анализировать огромные объемы данных и выявлять паттерны, которые человеку было бы сложно заметить. Но важно понимать, что ИИ пока не заменяет полностью человеческий интеллект и не может гарантировать идеальную точность. Поэтому он должен использоваться в качестве инструмента для усиления рабочих процессов, а не как единственная опора в реагировании на инциденты.
Что правильнее в ближайшие годы для повышения эффективности SOC: инвестировать в подготовку аналитиков или вложиться в максимальную автоматизацию расследований и реагирования в SIEM?
Екатерина Едемская, "Газинформсервис"
Для повышения эффективности SOC в ближайшие годы правильным подходом будет сбалансированное инвестирование как в подготовку аналитиков, так и в автоматизацию процессов расследования и реагирования. Обучение аналитиков критически важно, поскольку человеческий опыт и интуиция остаются необходимыми для адекватного понимания контекста инцидента. В то же время автоматизация в SIEM позволяет ускорить и улучшить точность реагирования, снизить нагрузку на специалистов и обеспечить быстрые действия в рутинных ситуациях. Комбинированный подход позволит эффективно использовать как человеческие, так и технологические ресурсы.
Для повышения эффективности SOC в ближайшие годы правильным подходом будет сбалансированное инвестирование как в подготовку аналитиков, так и в автоматизацию процессов расследования и реагирования. Обучение аналитиков критически важно, поскольку человеческий опыт и интуиция остаются необходимыми для адекватного понимания контекста инцидента. В то же время автоматизация в SIEM позволяет ускорить и улучшить точность реагирования, снизить нагрузку на специалистов и обеспечить быстрые действия в рутинных ситуациях. Комбинированный подход позволит эффективно использовать как человеческие, так и технологические ресурсы.
Максим Тумаков, BI.ZONE
Сегодня нет решений, которые могут работать полностью автономно и при этом обеспечивать высокий уровень защиты. От команды кибербезопасности и ее квалификации зависят корректность эксплуатации и правильность настройки СЗИ, а также скорость обработки алертов. Оптимальным для организации будет соблюдать баланс между инвестициями в новые СЗИ, повышением квалификации команды и выстраиванием процессов внутри SOC. В перспективе мы закладываем в продукты возможность создания автономной системы выявления и реагирования на инциденты, работающей под контролем человека.
Сегодня нет решений, которые могут работать полностью автономно и при этом обеспечивать высокий уровень защиты. От команды кибербезопасности и ее квалификации зависят корректность эксплуатации и правильность настройки СЗИ, а также скорость обработки алертов. Оптимальным для организации будет соблюдать баланс между инвестициями в новые СЗИ, повышением квалификации команды и выстраиванием процессов внутри SOC. В перспективе мы закладываем в продукты возможность создания автономной системы выявления и реагирования на инциденты, работающей под контролем человека.
Александр Дорофеев, "Эшелон Технологии"
Имеет смысл вкладываться и в развитие экспертов, и в используемые технологии.
Имеет смысл вкладываться и в развитие экспертов, и в используемые технологии.
Роман Овчинников, Security Vision
Правильное вложение – в команду. Если собрать грамотную команду с необходимым набором компетенций, она сможет организовать эффективный процесс реагирования и расследования инцидентов ИБ, в том числе его автоматизацию при наличии гибких современных инструментов на базе Low Code/No Code.
Правильное вложение – в команду. Если собрать грамотную команду с необходимым набором компетенций, она сможет организовать эффективный процесс реагирования и расследования инцидентов ИБ, в том числе его автоматизацию при наличии гибких современных инструментов на базе Low Code/No Code.
Илья Одинцов, NGR Softlab
Люди, процессы, технологии – такова формула SOC, именно в таком порядке. Поэтому подготовка кадров важнее.
Люди, процессы, технологии – такова формула SOC, именно в таком порядке. Поэтому подготовка кадров важнее.
Даниил Вылегжанин, RuSIEM
В большинстве случаев оптимальным вариантом будет использование сбалансированного подхода при развитии SOC, когда с повышением собственной экспертизы одновременно повышается уровень и объемы автоматизации. Если же SOC только создается, то однозначно приоритет следует отдать развитию собственной экспертизы, а уже потом идти в автоматизацию, чтобы снизить нагрузку на аналитиков.
В большинстве случаев оптимальным вариантом будет использование сбалансированного подхода при развитии SOC, когда с повышением собственной экспертизы одновременно повышается уровень и объемы автоматизации. Если же SOC только создается, то однозначно приоритет следует отдать развитию собственной экспертизы, а уже потом идти в автоматизацию, чтобы снизить нагрузку на аналитиков.
Виктор Никуличев, R-Vision
Придется соблюдать баланс. Только на одной из этой составляющих далеко не уедешь. Аналитики необходимы для здоровой работы SOC. Обстановка и набор задач постоянно меняется, растет. Хорошо проверенные механизмы – переносятся на автоматизированные сценарии и процессы, снимая рутину. А аналитики погружаются и растут, решая новые более сложные и комплексные задачи, тем самым развивая SOC.
Придется соблюдать баланс. Только на одной из этой составляющих далеко не уедешь. Аналитики необходимы для здоровой работы SOC. Обстановка и набор задач постоянно меняется, растет. Хорошо проверенные механизмы – переносятся на автоматизированные сценарии и процессы, снимая рутину. А аналитики погружаются и растут, решая новые более сложные и комплексные задачи, тем самым развивая SOC.
Дмитрий Чеботарев, UserGate
SIEM Истина находится между двумя этими утверждениями. Необходимо развивать собственную аналитику, но важно понимать, что чем больше нагрузка на экспертов, тем больше вероятность пропустить инцидент. По статистике внимания аналитика хватает примерно на двадцать минут. И тут как раз поможет автоматизация. Чем больше компания инвестирует в автоматизацию, в том числе в реагирование на уровне SIEM, тем эффективнее будут работать аналитики.
SIEM Истина находится между двумя этими утверждениями. Необходимо развивать собственную аналитику, но важно понимать, что чем больше нагрузка на экспертов, тем больше вероятность пропустить инцидент. По статистике внимания аналитика хватает примерно на двадцать минут. И тут как раз поможет автоматизация. Чем больше компания инвестирует в автоматизацию, в том числе в реагирование на уровне SIEM, тем эффективнее будут работать аналитики.
Алексей Павлов, Positive Technologies
Уже лет десять компании в России говорят о дефиците кадров в кибербезопасности. Стажировки, обучение, повышение квалификации – все эти меры применяются, но ситуация принципиально не меняется: специалистов по-прежнему не хватает, а дефицит только растет. Решить проблему поможет внедрение новых технологий в продукты, использование AI/ML в качестве помощников и снижение порога входа для операторов СЗИ путем упрощения интерфейса с одновременным сохранением гибкости продуктов. ML-изация технологий ИБ, автоматизация рутинных операций способны сократить потребности в квалифицированных кадрах в разы, но полностью заменить человека в ближайшие несколько лет точно не получится, поэтому усилия по выращиванию кадров сводить на ноль нельзя.
Уже лет десять компании в России говорят о дефиците кадров в кибербезопасности. Стажировки, обучение, повышение квалификации – все эти меры применяются, но ситуация принципиально не меняется: специалистов по-прежнему не хватает, а дефицит только растет. Решить проблему поможет внедрение новых технологий в продукты, использование AI/ML в качестве помощников и снижение порога входа для операторов СЗИ путем упрощения интерфейса с одновременным сохранением гибкости продуктов. ML-изация технологий ИБ, автоматизация рутинных операций способны сократить потребности в квалифицированных кадрах в разы, но полностью заменить человека в ближайшие несколько лет точно не получится, поэтому усилия по выращиванию кадров сводить на ноль нельзя.
Павел Пугач, "СёрчИнформ"
Максимальная автоматизация – верная стратегия. Она позволяет снизить риски, связанные с текучкой кадров. Инвестируя только в подготовку аналитиков, компания зачастую просто повышает их рыночную стоимость. Но при этом подготовленный специалист остается главным активом. Автоматизация, идеальная вчера, сегодня может оказаться бесполезной против нового типа атак. Лучше не выбирать что-то одно, а выстраивать систему, где технологии усиливают людей, а люди постоянно совершенствуют автоматизацию.
Максимальная автоматизация – верная стратегия. Она позволяет снизить риски, связанные с текучкой кадров. Инвестируя только в подготовку аналитиков, компания зачастую просто повышает их рыночную стоимость. Но при этом подготовленный специалист остается главным активом. Автоматизация, идеальная вчера, сегодня может оказаться бесполезной против нового типа атак. Лучше не выбирать что-то одно, а выстраивать систему, где технологии усиливают людей, а люди постоянно совершенствуют автоматизацию.
Если бы у вашего SIEM была сверхсила, какой функционал вы бы добави- ли первым и зачем?
Екатерина Едемская, "Газинформсервис"
Я бы добавила функцию предсказания атак с использованием машинного обучения и анализа больших данных. Эта способность позволила бы системе не только реагировать на инциденты, но и предсказать возможные угрозы до их возникновения, на основе исторических данных и текущих тенденций. Это дало бы возможность заранее подготовиться и предпринять меры для предотвращения атак, значительно снижая риски и минимизируя ущерб от инцидентов.
Я бы добавила функцию предсказания атак с использованием машинного обучения и анализа больших данных. Эта способность позволила бы системе не только реагировать на инциденты, но и предсказать возможные угрозы до их возникновения, на основе исторических данных и текущих тенденций. Это дало бы возможность заранее подготовиться и предпринять меры для предотвращения атак, значительно снижая риски и минимизируя ущерб от инцидентов.
Илья Одинцов, NGR Softlab
Мой выбор – автоматизированное обучение сотрудников: как повышение осведомленности, так и повышение квалификации операторов системы.
Мой выбор – автоматизированное обучение сотрудников: как повышение осведомленности, так и повышение квалификации операторов системы.
Роман Овчинников, Security Vision
Во-первых – возможность обрабатывать бесконечный поток событий, в том числе телеметрии с инфраструктуры, и при этом не требовать значительных вычислительных ресурсов или лицензий. Во-вторых – функционал полностью автоматической интеграции в любую ИТ-инфраструктуру с последующей адаптацией контента детектирования и обработки событий. То есть чтобы конечный потребитель мог просто установить и указать некие учетные записи, и далее SIEM в полностью автоматическом режиме выполняла бы изучение ИТ-инфраструктуры с последующим подключением доступных по сети источников, а также адаптировала весь свой экспертный контент для повышения качества и эффективности своей работы (снижение FP и т.п.).
Во-первых – возможность обрабатывать бесконечный поток событий, в том числе телеметрии с инфраструктуры, и при этом не требовать значительных вычислительных ресурсов или лицензий. Во-вторых – функционал полностью автоматической интеграции в любую ИТ-инфраструктуру с последующей адаптацией контента детектирования и обработки событий. То есть чтобы конечный потребитель мог просто установить и указать некие учетные записи, и далее SIEM в полностью автоматическом режиме выполняла бы изучение ИТ-инфраструктуры с последующим подключением доступных по сети источников, а также адаптировала весь свой экспертный контент для повышения качества и эффективности своей работы (снижение FP и т.п.).
Максим Тумаков, BI.ZONE
Одной из самых сложных проблем, с которой сталкивается и наш SOC, и наши клиенты при эксплуатации SIEM, являются возрастающее количество алертов и необходимость ручного профилирования для снижения количества ложноположительных срабатываний. В качестве суперсилы в BI.ZONE SIEM мы бы хотели в перспективе добавить модуль для автоматизированного профилирования детектирующего контента. Тогда аналитики SOC смогли бы тратить меньше времени на добавление исключений и переключиться на другие задачи.
Одной из самых сложных проблем, с которой сталкивается и наш SOC, и наши клиенты при эксплуатации SIEM, являются возрастающее количество алертов и необходимость ручного профилирования для снижения количества ложноположительных срабатываний. В качестве суперсилы в BI.ZONE SIEM мы бы хотели в перспективе добавить модуль для автоматизированного профилирования детектирующего контента. Тогда аналитики SOC смогли бы тратить меньше времени на добавление исключений и переключиться на другие задачи.
Виктор Никуличев, R-Vision
Было бы здорово если бы SIEM по кнопке мог сделать компанию невзламываемой. Но это не выглядит как сверхсила. Представьте себе бессмертный SIEM – SIEM который не победит ни один баг, атака, сетевой разрыв или выход дисков из строя, пик нагрузки или горе-инженер. SIEM не способный умереть – вечный и надежный товарищ в работе SOC.
Было бы здорово если бы SIEM по кнопке мог сделать компанию невзламываемой. Но это не выглядит как сверхсила. Представьте себе бессмертный SIEM – SIEM который не победит ни один баг, атака, сетевой разрыв или выход дисков из строя, пик нагрузки или горе-инженер. SIEM не способный умереть – вечный и надежный товарищ в работе SOC.
Дмитрий Чеботарев, UserGate
SIEM В первую очередь мы бы добавили функциональность, о которой мечтательно (хотя и в шутку) говорят заказчики при личных встречах. Это волшебная красная кнопка, при нажатии на которую компания будет полностью защищена. К сожалению, наделить продукт такой сверхсилой вряд ли кто-то сможет, поэтому приходится надеяться только на собственную экспертизу и заказчиков, готовых дать обратную связь для улучшения SIEM.
SIEM В первую очередь мы бы добавили функциональность, о которой мечтательно (хотя и в шутку) говорят заказчики при личных встречах. Это волшебная красная кнопка, при нажатии на которую компания будет полностью защищена. К сожалению, наделить продукт такой сверхсилой вряд ли кто-то сможет, поэтому приходится надеяться только на собственную экспертизу и заказчиков, готовых дать обратную связь для улучшения SIEM.
Денис Лобанов, Positive Technologies
Выбрал бы киллер-фичу, которая сделает атаки хакеров на инфраструктуру, где установлена SIEM-система MaxPatrol SIEM, бессмысленными. MaxPatrol SIEM – и хакер не пройдет! Кстати, мы активно движемся в этом направлении. Использование AI/ML-модуля MaxPatrol BAD вместе с MaxPatrol SIEM уже позволяет оператору SOC приоритизировать работу с наиболее критичными алертами, а новые пакеты экспертизы расширяют возможности по детектированию активности вредоносного ПО и подозрительной сетевой активности.
Выбрал бы киллер-фичу, которая сделает атаки хакеров на инфраструктуру, где установлена SIEM-система MaxPatrol SIEM, бессмысленными. MaxPatrol SIEM – и хакер не пройдет! Кстати, мы активно движемся в этом направлении. Использование AI/ML-модуля MaxPatrol BAD вместе с MaxPatrol SIEM уже позволяет оператору SOC приоритизировать работу с наиболее критичными алертами, а новые пакеты экспертизы расширяют возможности по детектированию активности вредоносного ПО и подозрительной сетевой активности.
Павел Пугач, "СёрчИнформ"
Моей идеальной сверхспособностью для SIEM стали бы моментальный предикт и реагирование. Чтобы система предугадывала инцидент по малейшим признакам настолько заранее, что защита сразу адаптировалась бы и ни один контролируемый ресурс – будь то сетевое устройство, сервер или конечная точка – не мог быть скомпрометирован ни при каких обстоятельствах: ни удаленно, ни при прямом физическом доступе.
Моей идеальной сверхспособностью для SIEM стали бы моментальный предикт и реагирование. Чтобы система предугадывала инцидент по малейшим признакам настолько заранее, что защита сразу адаптировалась бы и ни один контролируемый ресурс – будь то сетевое устройство, сервер или конечная точка – не мог быть скомпрометирован ни при каких обстоятельствах: ни удаленно, ни при прямом физическом доступе.
Александр Дорофеев, "Эшелон Технологии"
У KOMRAD Enterprise SIEM 4.5 уже есть такая сверхсила. Она заключается в способности работать в рамках таких аппаратных ограничений, где конкуренты даже не смогут стартовать десятки сервисов своих SIEM.
У KOMRAD Enterprise SIEM 4.5 уже есть такая сверхсила. Она заключается в способности работать в рамках таких аппаратных ограничений, где конкуренты даже не смогут стартовать десятки сервисов своих SIEM.
