SIEM для современного ландшафта угроз

Являясь комбинацией управления информацией о безопасности (SIM) и управления событиями безопасности (SEM), развитие SIEM за последние 16 лет было напрямую связано с различными факторами рынка и угрозами в каждый конкретный период времени.

В начале своего существования SIEM формировлась под влиянием новых факторов соответствия нормативным требованиям, которые доминировали в то время, например, PCI. В последние годы SIEM эволюционировала, чтобы справиться с конвергенцией платформ и ускорить обнаружение угроз против сложного вымогательского и вредоносного ПО.

В связи с тем, что удаленная работа, внедрение облачных технологий и другие инициативы по оцифровке ускорились за последний год, внимание снова приковано к SIEM, поскольку организации стремятся к более широкой сети с большей масштабируемостью и автоматизацией. На этот раз задача заключается в том, чтобы пользователи поняли, как собрать подходящее решение SIEM. 

Почему SIEM важна, как никогда раньше 

Программное обеспечение SIEM использует аналитические механизмы для сопоставления событий с политиками организации. Затем оно индексирует данные и события, чтобы обнаружить и проанализировать современные угрозы, используя собранные во всем мире разведданные.

Когда SIEM выявляет угрозу с помощью мониторинга безопасности сети, он генерирует предупреждение и определяет уровень угрозы на основе заранее установленных правил. Например, если кто-то пытается войти в учетную запись 10 раз за 10 минут, это может считаться нормальным, но попытка войти в систему 100 раз в течение 10 минут будет отмечена как попытка атаки.

Поскольку конечные точки теперь разбросаны за пределами корпоративной сети, облачные вычисления растут, а новые приложения удовлетворяют новые потребности удаленных работников, SIEM стала еще более полезным инструментом, поскольку дает командам безопасности централизованный взгляд на действия в ИТ-среде. Она обеспечивает анализ данных, корреляцию событий, агрегацию, отчетность и управление журналами. 

Усталость от оповещений реальна

Несмотря на все преимущества, не все SIEM-решения просты в развертывании, обслуживании и управлении. Автоматизация необходима для внедрения SIEM и поддержания их эффективности.

Согласно исследованию 2020 State of SecOps and Automation, 92 процента организаций согласны с тем, что автоматизация необходима для решения проблемы растущего числа оповещений, а также большого количества ложных срабатываний.

Тем не менее, 65 процентов организаций используют лишь частично автоматизированную обработку оповещений, а 75 процентам потребуется не менее трех дополнительных аналитиков по безопасности, чтобы обработать все оповещения в один день.Это создает много лишнего шума для оперативной группы безопасности.

Именно поэтому ваша организация должна обратить внимание на функции и интеграции SIEM-решения. Чтобы избежать усталости от оповещений, убедитесь, что аналитика, анализ угроз и профилирование поведения являются частью вашего SIEM-комплекса. Это позволит повысить процент успешного обнаружения нарушений и атак.

Сочетание продуктов

Современные угрозы безопасности вызывают потребность в многоуровневой аналитике с платформами безопасности. ИИ, машинное обучение и расширенный анализ позволяют автоматизировать обнаружение аномального поведения и еще больше уменьшить время реакции, пресекая любые потенциальные атаки на организацию в режиме реального времени, проактивно и реактивно. 

Помимо использования ИИ и машинного обучения для улучшения корреляции и оповещений, большинство SIEM-систем также имеют элемент обнаружения угроз, который отслеживает электронную почту, облачные ресурсы, приложения, внешние источники информации об угрозах и конечные точки. Сюда можно отнести аналитику поведения пользователей (UEBA), которая отслеживает аномальное поведение, указывающее на угрозу. Оно также может обнаруживать латеральное перемещение и скомпрометированные учетные записи.

Любое эффективное SIEM-решение всегда требует от организаций управления растущим числом источников данных. Из-за постоянного дефицита специалистов по кибербезопасности важно выбрать решение с поддержкой поставщика в виде постоянных обновлений. 

Наряду с UEBA, расширенное обнаружение и реагирование (XDR) или оркестровка безопасности, автоматизация и реагирование (SOAR) могут помочь обеспечить необходимую видимость и гибкость системы SIEM. SOAR включает в себя три программные возможности - управление угрозами и уязвимостями, реагирование на инциденты безопасности и автоматизацию операций безопасности.