Предсказания о смерти СИЕМ Платформы циркулировали в течение многих лет, подогреваемые сообщениями об усталости оповещений, заоблачных затратах на передачу данных и блестящих обещаниях расширенного обнаружения и реагирования (ШДР), озера данных безопасности и теперь агентный ИИ. Тем не менее, спустя два десятилетия после своего первого появления технологии SIEM остаются важной частью операций по обеспечению безопасности во многих организациях.
КМИ Консалтинг предсказанный что рынок SIEM вырастет с чуть более 7 миллиардов долларов в 2024 году до почти 18 миллиардов долларов к 2033 году, что обусловлено растущим спросом на возможности обнаружения и поиска угроз, а также расширением нормативных требований. По мнению экспертов, вместо того, чтобы идти по пути динозавра, SIEM переживает кардинальную эволюцию. Вопрос не в том, устарела ли эта концепция, а в том, не увязла ли ее реализация в другой эпохе.
«SIEM — это инструмент безопасности, который люди любят ненавидеть», — сказал Эндрю Браунберг, аналитик Omdia, подразделения Informa TechTarget. «И хотя это правда, что их эксплуатация может быть сложной и дорогостоящей, Omdia продолжает прогнозировать устойчивый рост рынка».
Эволюция SIEM
Технология, которая когда-то предлагала не что иное, как централизованный сбор журналов и корреляцию правил, резко трансформировалась в ответ как на критику, так и на развивающуюся среду угроз. Ранние развертывания SIEM заработали репутацию из-за генерации огромного количества ложных срабатываний, что требовало от армий аналитиков просматривать оповещения и возложение затрат на дробление предприятий.
Эти проблемы с SIEM — реальные и предполагаемые — привели к существенному взрослению. «Сегодняшний [next-generation] SIEM включают в себя расширенную аналитику, такую как анализ поведения пользователей и объектов, улучшенную интеграцию с аналитикой угроз и SOAR. [security orchestration, automation and response] возможности, реализуемые на основе облачных архитектур», — сказал Браунберг.
Джейсон Сороко, старший научный сотрудник Sectigo, поделился взглядом Браунберга на SIEM. По его словам, у этой технологии есть свои проблемы, многие из которых повлияли на взгляды людей на ее будущее. Первоначально SIEM создавались как инструменты обеспечения соответствия требованиям, ориентированные на журналы, которые опирались на правила статической корреляции и монолитную архитектуру, что делало их плохо приспособленными для анализа огромных объемов облачных данных, обнаружения сложных атак в реальном времени или автоматизировать реагирование на угрозы.
Кроме того, многие платформы взимали плату в зависимости от объема данных и использовали жесткие форматы данных, которые с трудом обрабатывали подробную информацию, необходимую для обнаружения современных атак, такую как модели поведения пользователей, активность облачных приложений и данные о рабочей нагрузке. Организации часто сталкивались с невозможным выбором: либо предоставлять своим платформам SIEM обширные данные о безопасности, которые им нужны, а затем наблюдать за стремительным ростом затрат, либо ограничивать поток данных и избегать критических угроз.
«Отчасти это присуще оригинальной конструкции, которая оптимизирована для централизованного хранения журналов, обеспечения соответствия требованиям и базовой отчетности, а не для междоменной аналитики в реальном времени», — сказал Сороко. “Некоторый [of it] — это проблема реализации, когда организации недостаточно инвестируют в разработку контента, разработку вариантов использования и автоматизацию».
Почему организации не откажутся от SIEM
Новые платформы, такие как XDR и Обнаружение на основе искусственного интеллектасосредоточьтесь на высококачественной телеметрии, встроенных обнаружениях, сопоставленных с такие фреймворки, как Mitre ATT&CKповеденческий анализ и анализ аномалий, а также встроенное автоматическое реагирование. Эти платформы во многих отношениях лучше, чем SIEM, особенно когда речь идет о атаках на конечные точки и идентификации, горизонтальном перемещении и быстром сдерживании.
Тем не менее, SIEM остается ведущей системой телеметрии безопасности на многих предприятиях и предоставляет основные возможности, которые трудно заменить, сказал Сороко. Например, традиционные SIEM-системы превосходно справляются с долгосрочным хранением данных для обеспечения соответствия требованиям и криминалистикой, междоменными запросами к разнородным источникам данных, настраиваемой корреляцией для нишевых организационных рисков и обязательной отчетностью по безопасности регулирующим органам и аудиторам.
” [SIEM] Успешными развертываниями обычно являются те, которые сужают область применения до четко определенных вариантов использования», — пояснил Сороко. «[These deployments] относитесь к регистрации данных как к инженерной дисциплине, постоянно настраивайте средства обнаружения и глубоко интегрируйте SIEM с ВЗИТАТЬоформление заявок, управление делами и сбор информации об угрозах, поэтому оповещения становятся структурированными расследованиями и сценариями, а не просто событиями».
По его словам, SIEM не справляется с задачей высокоточного обнаружения в режиме реального времени для облачных сред и насыщенных SaaS-сред, а также в автоматизированном реагировании с обратной связью. Это ситуации, когда пакеты XDR, озера данных безопасности и платформы, оптимизированные для искусственного интеллекта, обеспечивают более полную телеметрию, более масштабируемую аналитику и более дешевое хранилище, сказал он.
Эксперты, в том числе Сороко, говорят, что организациям не следует отказываться от своих SIEM, а вместо этого трансформировать их. В современной настройке SIEM должен стать облачным уровнем управления и корреляции, который располагается поверх озера данных безопасности и получает высококачественные оповещения от таких инструментов, как XDR, обнаружение сети и реагирование и аналитика личности. Затем система SOAR занимается ответной стороной, одновременно обеспечивая тесную двустороннюю интеграцию с обнаружением обновлений аналитики угроз, охотничьими запросами и автоматизированными сценариями с новейшими индикаторами и поведением злоумышленников.
Постоянное ценностное предложение
По словам Дэниела Кеннеди, аналитика S&P Global Market Intelligence, SIEM остается единственным наиболее часто упоминаемым «важным» инструментом в центре управления безопасностью (SOC). По его словам, фундаментальная проблема, для решения которой он был изобретен – слишком много предупреждений, недостаточно людей – не исчезла. Недавнее исследование S&P Global показало, что 45% полученных предупреждений до сих пор остаются нерассмотренными, в основном из-за нехватки персонала.
Он сказал, что отделяет философскую концепцию SIEM от реализаций поставщиков. «Когда люди кричат: «SIEM мертв», они обычно имеют в виду плохие, старые реализации или конкретных поставщиков, которые отстают, а не основную идею центрального места для сбора, сопоставления и обработки данных безопасности», — объяснил Кеннеди. «Тот факт, что таблица лидеров поставщиков SIEM полностью изменилась за последние 10–15 лет, является признаком того, как рынок развивался, а не индикатором его неизбежного упадка. Новые подходы, улучшенный поиск, более интуитивно понятные интерфейсы, более экономически эффективные предложения и даже лучший маркетинг уже давно сделали SIEM динамичным рынком, на котором поставщики достигают позиций лидера рынка».
Когда люди кричат «SIEM мертв», они обычно имеют в виду плохие, старые реализации или конкретных поставщиков, которые отстают, а не основную идею центрального места для сбора, сопоставления и обработки данных безопасности.
Дэниел Кеннеди, аналитик S&P Global Market Intelligence
Агентский ИИ-джокер
Браунберг сказал, что он воспринимает новые инструменты агентного искусственного интеллекта как величайшую потенциальную угрозу для SIEM. «Агентные стартапы обещают организациям возможность вырваться из ловушки масштабируемости, которая преследует SOC, и особенно SIEMS, в течение десятилетия или более», — сказал он.
«Хотя поставщики SIEM вполне могут воспользоваться агентной волной за счет агрессивного внедрения этой технологии, мы уже видим примеры стартапов с агентным SOC, создающих многоагентные решения, которые обходят SIEM и переходят непосредственно к источнику телеметрии при выполнении анализа предупреждений, например сортировки предупреждений».
В конце концов, дебаты о будущем SIEM часто упускают из виду фундаментальный момент: почему организации вообще приняли эту технологию и для чего они на самом деле используют ее сегодня. У SIEM всегда было два различных ценностных предложения, и понимание этого разделения является ключом к пониманию того, почему технология сохраняется, несмотря на неоднократные предсказания ее гибели, объяснил Джон Пескаторе, директор по новым тенденциям безопасности в Институте SANS.
Для организаций, обязанных соблюдать правила мониторинга журналов, SIEM уже давно предлагает относительно экономичный способ поставить этот флажок. Второе предложение, с которым организациям пришлось столкнуться гораздо труднее, заключается в сокращении время для обнаружения, реагирования и восстановления после угроз.
По оценкам Пескаторе, около 40% организаций, использующих SIEM, делают это для обеспечения требуемого соответствия отчетности, а еще 40% — для базовой корреляции событий с использованием сигнатур или шаблонов поставщиков для обнаружения и определения приоритетности распознанных событий. Остальные 20% используют его для обнаружения новых сложных атак.
«Я думаю, что SIEM по более низким ценам по-прежнему имеет смысл для большинства организаций», — сказал Пескаторе, добавив, что «дополнительные инструменты типа SOAR и XDR имеют смысл для высококлассных, продвинутых команд безопасности».
Джайкумар Виджаян — независимый технологический журналист с более чем 20-летним отмеченным наградами опытом в сфере ИТ-журналистики, специализирующийся на темах информационной безопасности, конфиденциальности данных и кибербезопасности.
