Антон Фишман, технический директор компании RuSIEM
В прошлой статье мой коллега Александр Булатов говорил о том, как понять, что вам нужна SIEM и как убедить в этом несговорчивых руководителей (см. статью «БОРОТЬСЯ И ИСКАТЬ, ДОГНАТЬ И ОБЕЗВРЕДИТЬ» в № 9, Сентябрь). Получилось неплохо, но в статье намеренно был пропущен один принципиально важный смысловой блок, а именно – прогноз. Куда движется развитие SIEM, каким функционалом обрастают эти решения по мере усложнения ИТ-инфраструктуры компаний и ландшафта киберугроз, какие новые задачи обучаются решать. Вопросы настолько интересные, что мы решили вынести их в отдельный материал.
Последние годы SIEM непрерывно меняются, причем, все больше и чаще – до неузнаваемости. Разработчики обвешивают свои решения новым функционалом и весьма глубоко и качественно перерабатывают традиционный. Почему так происходит, кого и чем не устраивали скромные SIEMки, практически не отличимые от систем лог-менеджмента? Очевидно, что ветер перемен подул с рынка: инициаторами изменений были как новые заказчики, так и текущие пользователи систем. Первым делом их перестало устраивать количество источников данных (оно действительно было изначально небольшим и включало только ИБ-решения), а также отсутствие возможности архивировать и хранить события информационной безопасности. Затем начали расти требования к количеству обрабатываемых событий. По мере того, как делать это вручную становилось все сложнее и затем – практически невозможно, возникли SIEM в современном понимании этого слова. Их сутью, ключевой функцией стала корреляция событий информационной безопасности, поступающих из различных источников. Дальнейшие требования росли – в ответ на постоянно увеличивающееся количество источников и числа самих событий, изменения «рынка» киберпреступности и появление новых угроз. Точнее, их новых видов.