Эпоха простого сбора логов уходит в прошлое. Next Generation SIEM — это смена парадигмы: от реактивного мониторинга к проактивной защите. Эксперты отрасли обсудили, в каком направлении идёт развитие SIEM и каковы ключевые приоритеты в работе ИБ.
- Введение
- Что такое NG SIEM?
- Какие функции нужны SIEM?
- Где правильно и эффективно использовать ИИ?
- Блиц: какие функции должны быть в новом поколении SIEM?
- Как снизить стоимость покупки и владения SIEM?
- Прогнозы экспертов: как будет развиваться SIEM?
- Выводы
Введение
Смена поколений в мире управления информацией и событиями безопасности (Security Information and Event Management, SIEM) — это не просто апгрейд, это смена приоритетов. Если первое поколение фокусировалось на сборе и агрегации логов, а второе — на корреляции по правилам, то Next-Gen SIEM кардинально меняет фокус. Во главу угла теперь ставятся не данные сами по себе, а их контекст, не предопределённые правила, а машинное обучение для выявления неизвестных угроз, и не просто обнаружение, а максимальная автоматизация реагирования. Эксперты попытались разобраться, как изменились ключевые векторы развития систем безопасности и что действительно важно при выборе платформы следующего поколения.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Иван Прохоров, руководитель продуктов MaxPatrol SIEM / MaxPatrol IM, Positive Technologies.
- Вячеслав Атласов, технический директор, САВРУС.
- Виктор Никуличев, руководитель продукта R-Vision SIEM, R-Vision.
- Евгения Лагутина, старший менеджер по продукту, «Лаборатория Касперского».
Ведущий и модератор эфира — Лев Палей, директор по информационной безопасности, Вебмониторэкс.
Что такое NG SIEM?
Виктор Никуличев рассказал, что есть поколение зрелых SIEM. Людям удобно видеть развитие рынка крупными периодами. Gartner обозначил поколения SIEM, они делятся на периоды: 2000-е — первое поколение, 2010-е — второе, начало 20-х — третье, и сейчас должно появиться Next Generation SIEM. На западном рынке это понятие уже есть в маркетинговой терминологии, на российском рынке пока таких решений не встречается.
Иван Прохоров считает, что Next Generation SIEM — это следующий эволюционный шаг в развитии SIEM-решений. Они должны нести что-то новое и дополнительное к существующему функциональному набору, что делает решение проще, быстрее, удобнее, и выводит работу SIEM на качественно новый уровень. Например, это может быть внедрение ИИ и использование подходов, которые снижают порог входа и повышают частоту генерации алертов. Благодаря этому работа с SIEM становится проще, а расследование инцидентов — удобнее.
Иван Прохоров, руководитель продуктов MaxPatrol SIEM / MaxPatrol IM, Positive Technologies
Почему появляются новые функции? Плотность атак увеличилась с 2022 года, событий стало больше — SIEM должны с этим справляться. Появление новых функций провоцирует запрос рынка на то, чтобы получить минимальными усилиями максимальный результат.
Евгения Лагутина не видит предпосылок появления качественно новых решений в классе SIEM.
Вячеслав Атласов считает, что с уходом иностранных игроков российские SIEM достигли достаточного уровня зрелости, чтобы конкурировать с западными решениями. Каждое из решений, которое ранее не обеспечивало всех необходимых функций, сейчас может предложить что-то интересное, сильное, и по сути, его можно назвать Next Generation.
Что влияет на изменение запросов рынка? Иван Прохоров уверен, что технологии нужны, чтобы закрывать определённые потребности. Технологии масштабирования нужны, чтобы перерабатывать большие потоки событий. Использование инструментов машинного обучения (Machine Learning, ML) и ИИ нужно, чтобы отвечать вызовам рынка на запрос определения и детектирования в режиме подстройки под конкретные паттерны поведения хакеров в автоматическом режиме, быстро детектировать злоумышленника. Современные требования к SIEM — не просто обрабатывать логи, а обнаружить и остановить хакера.
Какие функции нужны SIEM?
Вячеслав Атласов считает, что у SIEM должны быть ограниченные функции: корреляция, обработка логов, парсинг, нормализация и алертинг. При внедрениях SIEM заказчику легко объяснить, что никаких рисков для информационной системы нет — просто собирая логи, можно покрыть большее число источников, не принося вред инфраструктуре или потенциальную уязвимость. Когда у SIEM появляется возможность реагировать, выполнять команды, приходится расширять его область действия и возможности. В какой-то момент SIEM может стать источником некорректных действий злоумышленников.
Иван Прохоров добавил, что SIEM — это в первую очередь генератор алертов. Но он должен поставлять и генерировать максимально чистые алерты, с минимальным количеством ложных срабатываний, чтобы можно было их удобно использовать в системах управления инцидентами (Incident management). Алерт должен быть насыщен контекстом.
Виктор Никуличев уверен, что SIEM нужен для детектирования. Это прежде всего инструмент для управления логами и выявления критичных сработок. Но задачи клиента этим не ограничиваются. Повседневные операции в SOC включают в себя не только работу с SIEM, но и управление широким контекстом: активами, интеграциями и процессами реагирования. Продуктов, которые он использует, значительно больше — это комплекс решений.
Евгения Лагутина напомнила, что SOC бывают разного масштаба. У некоторых компаний просто нет возможности построить большую инфраструктуру вокруг SIEM, им нужно всё в одной коробке, несмотря на то, что это накладывает определённые ограничения. SIEM — уже не просто коррелятор логов, он должен уметь встраиваться в любую инфраструктуру и иметь свои возможности по выстраиванию воркфлоу (потока работ, workflow), реагированию как минимум в рамках экосистемы одного вендора.
Евгения Лагутина, старший менеджер по продукту, «Лаборатория Касперского»
В первом опросе зрители поделились мнением, нужны ли российскому рынку новые SIEM:
- Нет, нужно закрыть половину из существующих — 37%.
- Да, нужны совершенно новые SIEM, которые изменят рынок — 21%.
- Нет, у нас уже достаточно SIEM, новые не нужны — 14%.
- Жду возвращения зарубежных SIEM — 14%.
- Да, классические SIEM не справляются, нужно новое поколение — 7%.
- Затрудняюсь ответить — 7%.
Рисунок 2. Нужны ли российскому рынку новые SIEM?
Что является хорошими правилами корреляционной логики?
Вячеслав Атласов отмечает, что ключевое требование к современному SIEM — предоставить пользователям максимальную гибкость для анализа и корреляции событий. Именно этот принцип лежит в основе решения САВРУС, где реализована онлайн-корреляция, позволяющая проводить анализ данных в реальном времени. При этом оно также заимствует лучшие идеи рынка, такие как ретроспективный анализ от Splunk, который ранее отсутствовал в классических SIEM. Возможность комбинировать оба подхода — потоковый и ретроспективный — открывает новые горизонты для точного описания и детектирования сложных атак.
Эксперт подчеркивает, что, несмотря на мощный функционал, процесс настройки и использования корреляции должен оставаться простым для пользователя. Если он потребует значительных ресурсов и усилий, это не только отпугнёт потенциальных клиентов, но и существенно затруднит практическую работу по выявлению угроз. Баланс между возможностями и простотой является критически важным для успеха любого SIEM-решения на рынке.
Вячеслав Атласов, технический директор, САВРУС
Где правильно и эффективно использовать ИИ?
Иван Прохоров рассказал про использование ИИ в MaxPatrol SIEM: первая область применения — анализ данных сырых событий и их автоматическая нормализация. Технология сложная, эксплуатирует большие языковые модели (Large language model, LLM) и доступна как сервис. Использование клиентами показало эффективность: силами одного аналитика за 40 минут можно разобрать ненормализованный поток событий, написать правила корреляции. LLM и ML-модели хорошо показывают себя в детектировании, приносят дополнительный контекст к тому, что дают статические правила корреляции. LLM системы используются в расследовании, объяснении сработок, предложении рекомендаций по реагированию.
Полностью заменить статические правила детектирования искусственным интеллектом нельзя, но он помогает улучшить качество детекта. Новый подход к обработке событий: получив алерт, сгенерированный статическими правилами, ML-моделями и ИИ, решение позволяет провести расследование и выдать готовые результаты и рекомендации.
Виктор Никуличев считает, что нельзя отдать ИИ выполнение какой-то задачи полностью и довериться ему на сто процентов. Но его точно можно использовать как помощника, который может разбирать события и приоритизировать. Уровень ошибки низкий, а контекст, который языковые модели могут извлекать из большого объёма информации, резюмировать и складывать — это ценно. ИИ сегодня — это мощный инструмент для обработки данных.
Виктор Никуличев, руководитель продукта R-Vision SIEM, R-Vision
Вячеслав Атласов согласен, что к использованию ИИ стоит подходить с осторожностью, особенно в таком сложном решении, как SIEM. Сейчас ИИ имеет маркетинговую составляющую. Но полностью доверять ему расследование инцидента нельзя, его можно рассматривать как помощника. Есть опасения, что из-за возможностей ИИ многие решат снизить затраты на сотрудников. Но у людей есть обязательства, они отвечают зарплатой за качественное выполнение работы, чего нельзя ожидать от ИИ.
Во втором опросе зрители ответили, что они считают главным преимуществом нового поколения SIEM? (мультивыбор):
- Интеграция смежных функций (TIP, UEBA, XDR, SOAR) — 64%.
- Современная архитектура и масштабируемость — 57%.
- Новые подходы к корреляции на базе ML — 57%.
- Удобный интерфейс и простота эксплуатации — 57%.
- Доступная стоимость покупки и владения — 29%.
Рисунок 3. Что вы считаете главным преимуществом нового поколения SIEM? (мультивыбор)
Блиц: какие функции должны быть в новом поколении SIEM?
Иван Прохоров: «Новое поколение SIEM — то, что может принести дополнительные функции, расширить понимание контекста происходящего, качество детекта, понимание в области того, как реагировать. В первую очередь это могут сделать технологии ИИ, ML и ассистирования».
Вячеслав Атласов: «Чтобы SIEM была востребованной, она должна давать возможность делать быстро и просто для пользователей, выполнять те функции, которые возложены на SIEM, и обеспечивать гибкость».
Виктор Никуличев: «1. Возможность обновления без остановки — Rolling Updates, когда стабильно работает коррелятор, конвейер, обработка. Обновление ставится без сервисного простоя. 2. Интеграция и совместная работа из одного интерфейса SOAR (система оркестрации, автоматизации и реагирования на инциденты безопасности, Security Orchestration, Automation, and Response), SIEM, TIP (специализированная система для сбора, анализа и распространения информации о киберугрозах, Threat Intelligence Platform), UEBA (технология анализа поведения пользователей, User and Entity Behavior Analytics). 3. Горизонтальное масштабирование и распределённая корреляция. 4. Централизованное управление площадками сбора и обработки».
Евгения Лагутина: «Использование ИИ и ML целесообразно, если это действительно нужно бизнесу. В остальных случаях не стоит за это переплачивать. Важна масштабируемость — насколько гибко SIEM будет подстраиваться под изменения инфраструктуры. Нужно дать поработать с SIEM команде, которая сможет применять разные подходы — аналитики, разработчики».
В третьем опросе выяснилось, что больше всего мешает внедрению новых SIEM? (мультивыбор):
- Сложность миграции — 53%.
- Недостаточная зрелость новинок — 33%.
- Нет компетенций — 33%.
- Недоверие к новым продуктам — 27%.
- Отсутствие успешных кейсов — 20%.
Ничего не мешает и всё устраивает в текущей SIEM 47% зрителей.
Рисунок 4. Что больше всего мешает внедрению новых SIEM? (мультивыбор)
Как снизить стоимость покупки и владения SIEM?
Иван Прохоров считает, что нужно смотреть на инфраструктуру и конкретные запросы заказчика. Если ему достаточно собирать и обрабатывать события с трети инфраструктуры, то стоимость SIEM-решения будет меньше, так как оно будет обрабатывать меньшее количество событий и обеспечивать соответствующее качество детекта. Чем большие потоки нужно обрабатывать, тем выше будет стоимость SIEM — она зависит от объёмов обрабатываемых данных. Снизить стоимость поможет грамотно выстроенный процесс инвентаризации — нужно понять, что и зачем защищать, определить ключевые и целевые системы, которые в первую очередь нужно поставить на мониторинг.
Вячеслав Атласов: «Стоимость решения зависит от количества EPS («событий в секунду», Events Per Second). Мы в своём решении старались обеспечить простоту при достижении нужного уровня функциональности. За счёт этого смогли добиться чуть меньших показателей по ресурсоёмкости (железа, необходимого количества серверов). Если заказчик понимает, какие он хочет собирать данные, он может пересчитать уровень EPS, который ему нужен, чтобы купить лицензию».
Виктор Никуличев добавил, что можно экономить на используемых ресурсах, на стоимости лицензии и на людях. Если учитывать технологические различия решений, можно экономить на количестве необходимого оборудования.
Лев Палей дополнил, что есть поиск в потоке и отложенный. Если есть определённые требования к скорости получения обратной связи, то стоит рассмотреть классические хранилки, перемещение между которыми даёт серьёзный прирост или отток денежных средств.
Лев Палей, директор по информационной безопасности, Вебмониторэкс
Евгения Лагутина предложила использовать этапность внедрения — такой подход часто встречается. Большой поток не будет сразу хорошо обрабатываться. Можно подключаться по частям — людям проще это внедрять, а компания экономит за счёт поэтапной оплаты.
Прогнозы экспертов: как будет развиваться SIEM?
Вячеслав Атласов: «Мы идём в правильном направлении. Есть одна технология, которая тоже могла бы развиваться и активно использоваться — In-memory database. Если бы она была более развита на отечественном рынке и были бы российские аналоги, они помогли бы в развитии SIEM, так как в памяти идёт много обработки данных, практически вся корреляция. Нужно удобное решение, как ClickHouse, который был идеален для таких задач и помог продвинуть скорость обработки событий на новый уровень».
Евгения Лагутина: «Мы все идём в сторону NG SIEM. Сейчас происходит накопление изменений, которые постфактум покажут, что это уже было новое поколение. Стоит посмотреть в прошлое, чтобы понять, как далеко мы продвинулись с точки зрения технологий и возможностей. Использование ИИ приведёт к полезному результату, но пока неизвестно, когда».
Виктор Никуличев: «Мы недалеко от той грани, перейдя которую будет понятно, что SIEM изменился».
Иван Прохоров: «Стоит переходить в сторону масштабирования, нужно использовать новые технологии для обработки больших объёмов данных. Роль человека останется ведущей, но набор рутинных операций потребителя SIEM-решений постепенно будет уменьшаться. Набор решений, которые нужно принимать оператору или аналитику, будет становиться более точечным, зрелым».
Лев Палей считает, что технологии остаются теми же, но масштабируются в каких-то определённых областях. Мир меняется, увеличивая скорость, наращивая потребности.
Финальный опрос показал, как изменилось мнение зрителей о российских NG SIEM после эфира: будут наблюдать за их развитием — 42%, считают, что участники не смогли доказать их пользу — 25%, планируют тестировать / внедрять — 17%, убедились, что в них будущее — 8%, пока сомневаются в их необходимости — 8%.
Рисунок 5. Как изменилось ваше мнение о российских NG SIEM после эфира?
Выводы
Обсуждение Next Generation SIEM показало, что отрасль переживает не столько революционный разрыв с прошлым, сколько интенсивную эволюцию. Ключевым выводом является смена акцентов: ценность современной платформы определяется уже не просто объёмом собранных логов, а её способностью превращать сырые данные в чистые, контекстные алерты. На первый план выходят такие качества, как гибкость и масштабируемость архитектуры, интеллектуальная аналитика с помощью ML и ИИ, действующая как помощник специалиста, и глубокая интеграция в экосистему безопасности для автоматизации реагирования.
При этом эксперты сошлись во мнении, что не существует единственно верного пути. Российский рынок демонстрирует зрелость, предлагая решения, которые уже сейчас соответствуют вызовам времени, будь то потоковая корреляция, снижение порога входа или комбинирование различных аналитических подходов. Однако успех внедрения по-прежнему зависит от трезвой оценки собственных потребностей и инфраструктуры.
В конечном счёте Next-Gen SIEM — это не просто новый продукт, а стратегический партнёр, который, эволюционируя вместе с угрозами, позволяет командам безопасности сосредоточиться на главном — не на сборе данных, а на активном противодействии атакам. Будущее за теми решениями, которые смогут обеспечить скорость и простоту, не теряя при этом надёжности и предсказуемости.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
