Positive Technologies: пять основных технологических трендов развития SIEM-систем

Дата: 29.06.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности.

Специалисты компании Positive Technologies выделили пять основных направлений, с помощью которых SIEM-системы будут эффективнее обнаруживать инциденты кибербезопасности, бороться с их последствиями. Соответствующий доклад прозвучал во время презентации MaxPatrol SIEM 6.

  1. Экспертиза в сфере управления системой. Для многих людей SIEM представляется в качестве программного средства, собирающего логи с различных систем и корреляционных средств, в то время как собранная информация анализируется только с помощью маппинга правил корреляции по матрице Mitre Att&ck. Чтобы увеличить эффективность мониторинга инцидентов, SIEM подобного недостаточно – необходимы регламенты нормализации, методики настройки источников, описания правил обнаружения и многое другое.
  2. Автоматизация реагирования на киберинциденты. Судя по недавнему опросу, более четверти ИБ-специалистов работает в SIEM около 2-4 часов каждый день. Большее время они тратят на работу с ложными срабатывания, на разбор киберинцидентов, настройку источников информации, поддержку их функционирования.
  3. Конвергенция технология анализа трафика, логов и происходящего на конечных узлах. Если глубоко не анализировать сеть и не пользоваться возможностями EDR, мониторинг видится неполноценным. Через 2-3 года анализа трафика станет неотъемлемой частью SIEM, а анализ событий на конечных узлах – вспомогательной функцией.
  4. Добавление инструментов UEBA. Они необходимы для получения на экране общей картины происходящего в инфраструктуре. С помощью UEBA могут быть выстроены поведенческие модели.
  5. Добавление облачных сервисов в перечень поддерживаемых SIEM-источников. В соответствии с проведенным исследованием, около 66% в 2019 г. увеличили расходную часть на облачные сервисы, в сравнении с показателями 2018 г. За счет этого крупные вендоры добавляют распространённые облачные сервисы в перечень поддерживаемых SIEM-источников.

Алексей Андреев, руководитель отделка исследований и разработки PT, отметил: «Описанные выше тренды частично уже сейчас реализуются, а полностью они будут задействованы в ближайшие один-три года. С их помощью преследуются следующие цели – увеличение эффективности работы с SIEM и снижение количества действий, которые выполняются ИБ-специалистами вручную при отслеживании и реагировании на киберинциденты.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

одиннадцать − 4 =