SIEM, SOC и помощь из облака

«Кто предупрежден, тот вооружен», – ставшая клише пословица актуальна и в сфере защиты информационных систем. Чтобы предпринять действия против злоумышленника, его нужно сначала обнаружить, что нелегко, особенно на крупных предприятиях с территориально распределенной инфраструктурой. Защищаться же необходимо – киберугрозы для бизнеса растут, регуляторы требуют практической, а не «бумажной» информационной безопасности. 

Реальную защиту выстроить трудно, а на крупных предприятиях просто невозможно без использования единого центра обеспечения безопасности (Security Operations Center, SOC). Об этом свидетельствуют данные исследования TAdviser и Positive Technologies «Рынок SIEM в России»: 96% опрошенных руководители ИТ- и ИБ-компаний крупного и среднего бизнеса подтверждают использование SOC в своих организациях.

Причем только крупные компании, такие как, например, Сбер, могут позволить себе иметь штат специалистов по информационной безопасности и собственный SOC (инхаус). 32% компаний прибегают к гибридной модели – технологический стек разворачивается инхаус, но управление осуществляет сервисный провайдер (Managed Security Service Provider, MSSP). Треть компаний использует облако, потребляя услуги SOC по сервисной модели (SOCaaS). 

У почти 90% респондентов ядром SOC служит решение SIEM, сочетающее в себе два ключевых компонента: управление информацией о безопасности (SIM) и управление событиями безопасности (SEM). Невозможно, да и не нужно вручную обрабатывать огромные массивы логов и журналов с сетевых устройств, серверов и приложений. Решение обеспечит сбор данных в централизованное хранилище, проведет анализ с использованием статистических методов и ML, выявит закономерности и аномалии, указывающие на нарушение безопасности или вредоносную активность, и учтет при этом актуальную информацию о действиях правонарушителей. SIEM-системы часто готовят отчетность для соответствия нормативным требованиям организаций. А собранные сведения помогают при проведении судебной экспертизы. 

Главное, чего ждут от SIEM-систем опрошенные специалисты, – обнаружение инцидентов, приводящих к недопустимым событиям (97%). На втором месте – получение актуальной обновляемой экспертизы для защиты инфраструктуры (59%), на третьем – видимость инфраструктуры.

Быстрота и простота развертывания, гибкость и масштабируемость обеспечили облачным решениям доминирование на глобальном рынке SIEM. Во многом это объясняется широким использованием бизнесом облачных сервисов и переносом в облако ИТ-инфраструктуры. В этом плане Россия пока отстает, сказывается недоверие к облачным сервисам, прежде всего в плане безопасности. Однако в последнее время облачный рынок демонстрирует взрывной рост, так что ситуация меняется. «SIEM в облаке и для облака – использование облаков как источника данных и формата предоставления сервиса, в том числе развитие MSSP-функционала, – один из основных технологических трендов рынка SIEM», – считает руководитель продукта MaxPatrol SIEM компании Positive Technologies Иван Прохоров.

Среди других технологических трендов эксперт выделил: использование технологий искусственного интеллекта для поведенческого анализа; автоматическую адаптацию «коробочной» экспертизы к инфраструктурным особенностям заказчика, в том числе дообучение на его данных нейронных сетей; автоматизацию взаимодействия со смежными ИБ-системами; cинергию анализа событий с уровня конечных точек, приложений, трафика и средств защиты информации.

По мнению Gartner, функционал SIEM-решений будет расширяться за счет средств обнаружения угроз и реагирования на инциденты (Threat Detection and Incident Response, TDIR), включая платформы реагирования на инциденты (Incident Response Platform, IRP), средства оркестровки (управления) системами безопасности (Security Orchestration, Automation and Response, SOAR) и платформы для работы с данными киберразведки (Threat Intelligence Platform, TIP).

В SIEM-системы также войдут элементы систем поведенческого анализа пользователей и сущностей (User and Entity Behavior Analytics, UEBA), решения для обнаружения и изучения вредоносной активности на конечных точках (Endpoint Detection and Response, EDR) и анализа сетевого трафика (Network Detection and Response, NDR). Будет развиваться и облачный функционал – появятся брокер безопасности доступа к облаку (Cloud Access Security Broker, CASB) и система контроля доступа к облачным ресурсам (Identity and Access Management, IAM).

Уход с российского рынка зарубежных вендоров и новые требования регуляторов стали мощным драйвером импортозамещения SIEM-решений. Доля локальных производителей в совокупных затратах клиентов в 2022 г. превысила 50%. Среди поставщиков SIEM, по данным закупочных площадок и экспертным оценам TAdviser, в 2022 г. лидируют Positive Technologies (57%), Qradar (14%) и ArcSight (12%). 

На процессы импортозамещения сильно влияют требования регуляторов – на этот фактор указали 84% опрошенных. 80% отметили риски, связанные с отсутствием актуальных обновлений из-за ухода с российского рынка вендора используемой системы. Поэтому можно ожидать, что доля зарубежных SIEM-решений – IBM Qradar и Micro Focus ArcSight, занявших в 2022 г. вторе и третье места, – существенно сократится.

Доля российских производителей SIEM-систем, по оценкам экспертов, к 2024 г. превысит 70%. Результат прогнозируемый, если учесть, что у большинства опрошенных компаний имеются объекты КИИ. Больше удивляет, что 10% компаний собираются использовать зарубежные SIEM-решения и после 1 января 2025 г., когда это будет запрещено законодательством.

«Российский рынок SIEM-систем уже достаточно зрелый – и по уровню продуктов этого класса, и по уровню их проникновения в российские компании. В 2022 г. рынок, подстегиваемый требованиями регуляторов по переходу на российские решения и общей необходимостью импортозамещения, в том числе из-за ухода зарубежных вендоров, рос динамично, быстрее общемирового. Указанные драйверы роста продолжат действовать и в текущем году. Поэтому по итогам 2023 г. можно ожидать еще более высокой динамики в сегменте SIEM-систем», – отметила Наталья Лаврентьева, заместитель главного редактора TAdviser.

SIEM-системы часто воспринимаются как дорогие решения для крупного бизнеса. Использование сервисной модели и облачных технологий снизит порог входа для компаний среднего и даже малого бизнеса, что скажется на рынке. 

В 2022 г. объем рынка SIEM-систем в России составил 13,2 млрд руб., увеличившись на 30%. Эксперты TAdviser ожидают, что в ближайшие годы высокая динамика сохранится (в 2023 г. прогнозируется рост на 47%), и в 2026 г. рынок SIEM достигнет 48,8 млрд руб.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!