Компании Positive Technologies провела опрос о повседневной работе с SIEM-системами и на днях
Респонденты отметили традиционную для отрасли нехватку ответственных ресурсов — в компаниях крупного и среднего бизнеса команды специалистов, работающих с SIEM-системами, в половине случаев не превышают 2 человек, либо вообще сложно определяемы. Это говорит об отсутствии четкого центра координации. Редко встречаются крупные подразделения более 20 человек. Скорее всего эти ресурсы относятся к внутренним корпоративным или коммерческим MSS-сервисам. Это предположение подтверждает корреляция трудозатрат численности персонала SIEM.
Для оценки общей картины информационной безопасности (ИБ) в компаниях преобладают разбор и расследование инцидентов, мониторинг дашбордов и событий. Высокая доля деятельности приходится на написание новых и корректировку действующих правил и исключений, что говорит об активном использовании SIEM-систем и повышении уровня зрелости компаний.
В результатах опроса выделены основные потребности компаний — обогащение SIEM-систем внешними данными об актуальных атаках, построение векторов атак, ретроспективный анализ показателей компрометации и автоматизация части деятельности в расследовании инцидентов. Эксперты группы компаний Angara рекомендуют SIEM-специалистам три класса решений для таких задач:
- Автоматизировать процессы расследования и реагирования на ИБ-инциденты и другие рутинные операции помогут системы класса SOAR (State Operator And Result). Например, решения Demisto от Palo Alto Networks, Swimlane.
- Выстроить векторы атак могут системы класса Risk Management and Compliance of Network Security Policy, например, Skybox или RedSeal.
- Обогатить SIEM-систему данными об атаках возможно через подключение Threat Intelligence сервиса. Например, для промышленных сред «Лаборатория Касперского» выпустила сервис Kaspersky ICS Vulnerabilities Database.
