Главные технологические тренды развития SIEM-систем в ближайшие три года

Главные технологические тренды развития SIEM-систем в ближайшие три года
73ed2249d39139662e8ff67f3eeab6a4.jpg

Необходимость в качественном мониторинге и расследовании инцидентов понимает каждый эксперт ИБ. Но как надо развивать центр мониторинга для того, чтобы он успевал за ростом числа кибератак и инструментов злоумышленников?
Для начала выделим, какие проблемы в результате опроса, проведенного компанией Positive Technologies, указали пользователи и владельцы SEIM-систем:
  • 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно, основное время занимает поиск информации и расследование инцидентов.
  • Второй по трудоемкости является задача донастройки правил корреляции.
  • У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности.
Таким образом, эксперты компании Positive Technologies выделяют следующие тренды развития SIEM-систем:
  • развитие в области управления системой,
  • автоматизацию реагирования на инциденты и интеграцию с SOAR (Security Orchestration, Automation and Response) системами,
  • расширение глубины данных в SIEM за счет:
o  анализа трафика через NTA (Network Traffic Analyzing) решения,
               o  анализа происходящего на конечных узлах с помощью данных с EDR (Endpoint detection and Response) решений,
  • мониторинг поведения пользователей и сущностей, развитие UEBA (User and Entity Behavioral Analytics) систем,
  • использование облачных вычислений как источника данных и предоставление SIEM по модели As-A-Service.
Компания Angara Professional Assistance (входит в группу компаний Angara) разделяет с коллегами из Positive Technologies данные тренды, что прозрачно прослеживается в пути развития сервиса и платформы ACRC (SOC). В частности, сервис ACRС интегрируется и расширяется другими сервисами портфеля компании: ACR Services EDR и AntiAPT, ACR Service WAF и др. Эксперты Angara Professional Assistance применяют лучшие мировые практики в построении процессов управления инцидентами (SANS, MITRE, ITIL, ISO), а также алгоритмы UEBA.
Кроме того, Angara Professional Assistance развивает платформу ACRC для предоставления сервисов SOC MSS собственными разработками, что позволяет двигаться в сторону замещения подплатформенных продуктов для независимости от изменений прайс-листа вендоров и их политик, в том числе санкционных. Также в ближайшей «дорожной карте» (RoadMap) включена разработка таких функций, как:
  • Реализация полноценной интеграции со сканерами уязвимостей для учета и обогащения событий и воркспейсов, привязки к инвентаризационной информации.
  • Разработка собственного API для интеграции с IRPSDSOARСMDB клиента.
  • Мониторинг технических метрик оборудования.
  • Разработка подсистемы База знаний и ее интеграция с подсистемой учета инцидентов.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group