Стандартных функций SIEM уже недостаточно – рынку нужны Next Generation решения

Компания UserGate разработала SIEM-систему, функциональность которой выходит за рамки стандартных решений. Насколько нужны такие продукты на рынке сегодня? Какие требования предъявляют заказчики? И как будут развиваться SIEM-системы в будущем? Об этом рассказывает Иван Чернов, менеджер по развитию UserGate.\[quote\] Каким актуальным требованиям должна отвечать система класса SIEM? Что чаще интересует заказчиков сегодня?\[/quote\] Чем крупнее организация, тем больше сотрудников пользуются SIEM-системой и тем сложнее задачи она решает. Вот почему крупные заказчики часто предъявляют требования по сквозной кастомизации продукта. Также многие хотят получить максимально гибкую настройку рабочей области. Виджеты, графики, индикаторы, логи, события – все, что выводится на монитор специалиста по ИБ, должно настраиваться индивидуально под процесс, бизнес и конкретного сотрудника. Кроме того, в SIEM-системах обычно работают разные категории специалистов: кто-то отвечает за мониторинг, другие – за расследования, третьи – за принятие экспертных решений и т.д. На каждую группу пользователей нужна своя ролевая модель, с помощью которой заказчики могут разграничить доступ к системе и предоставить сотрудникам только необходимые им функции. Главное – чтобы система адаптировалась под логику любой организации. У всех заказчиков свои задачи, пользовательские роли и разный уровень экспертизы. В том числе в части подготовки правил, по которым система будет настраиваться и работать. Некоторые заказчики пишут их сами, и производитель SEIM должен этот фактор учитывать.\[quote\] А как же традиционные требования? Они изменились?\[/quote\] На самом деле нет. Заказчикам по-прежнему нужны коробочные решения, в которых есть возможность нормализации логов со стороны источников и подключения различных коннекторов. Также многим важна высокая производительность. Хотя здесь все не так однозначно, как кажется. Бывает, что крупные компании с внушительной командой ИБ-специалистов нуждаются в системах с производительностью в 2000-3000 событий в секунду. Хотя со стороны может показаться, что EPS там в десятки раз выше. Тем не менее требование к высокой производительности остается почти у всех заказчиков. Из традиционных ожиданий от SIEM также отмечу возможность горизонтального масштабирования и отказоустойчивости. Я намеренно указываю два требования в одном, потому что обычно они возникают вместе и обе эти задачи решаются одним набором технологий.\[quote\] Какие функции SIEM особенно важны для ваших партнеров?\[/quote\] Как правило, заказчики ждут одного, партнеры – абсолютно другого. Партнеры делятся на две категории. Первая – те, кто только внедряет систему в других организациях. Их запросы совпадают с требованиями заказчиков. Вторая категория – обслуживающие компании, которые используют SIEM для оказания услуг по ИБ. Такие партнеры обычно хотят, чтобы к одной системе можно было подключить сразу несколько клиентов. Что касается наших заказчиков, то часто для них стандартного набора функций SIEM бывает недостаточно. Как правило, система такого класса собирает данные о событиях, анализирует их и выдает вердикт. Однако процесс в компании на этом не заканчивается – на инциденты нужно реагировать. Именно потому данные передаются в IRP-решение. И уже там проводятся дальнейшие мероприятия по инциденту. В разработке своего решения мы исходили от процесса управления ИБ и постарались сделать максимально удобный инструмент, благодаря которому пользователю не придется параллельно работать в нескольких системах. Наш продукт включает в себя функции как SIEM, так и IRP. В итоге весь цикл – от обнаружения инцидента и до реагирования на него – проходит в одном окне. И это принципиальное отличие SIEM-системы UserGate от других решений на рынке. \[quote\] То есть весь процесс по инцидентам ИБ будет в одном продукте? Читатели, наверняка, скажут, что такое невозможно. \[/quote\] Они будут правы. С одной стороны, в MVP нашей системы мы действительно вышли за рамки класса SIEM. И ожидаем, что расширенная функциональность будет очень актуальной для малого и среднего бизнеса. Да и по затратам единое решение для них станет хорошей альтернативой покупке нескольких систем. С другой стороны, крупные компании могут себе позволить набор из разных решений. Здесь действительно уложить весь процесс в один продукт не получится – слишком много задач. Скорее, для крупного бизнеса важны отдельные фичи в каждой из систем, в том числе есть ли гибко настраиваемая ролевая модель, возможность писать правила нормализации логов и т.д. \[quote\] Каким видите будущее SIEM-систем? Как они будут эволюционировать в дальнейшем?\[/quote\] Сегодня многие производители присматриваются к термину Next Generation SIEM. Мы, как производители NGFW (Next Generation Firewall), на него тоже поглядываем. Пока есть две позиции по поводу того, что именно входит в понятие Next Generation SIEM. Одна из них – объединение класса решений с IRP, которое мы поддерживаем и реализуем в своей системе. К слову, UserGate часто опережает тренды. Так было на протяжении всей истории компании. Наша система SIEM может стать очередным тому подтверждением. Другое мнение о термине часто звучит в западном ИБ-сообществе. Согласно ему, Next Generation SIEM – это симбиоз SIEM с UEBA. То есть продукт включает анализ пользовательского поведения. Если говорить про будущее в целом, то многие компании думают про усиление контроля над процессами ИБ и возлагают большие надежды на машинное обучение и искусственный интеллект. UserGate в их числе. Для нас ИИ – это прежде всего помощник, который может давать советы и рекомендации ИБ-специалистам в решении рабочих вопросов. \[quote\] Насколько сложно разрабатывать SIEM? \[/quote\] SIEM-система сложна в своей простоте и проста в своей гениальности. Казалось бы, механизмы, которые нужно разработать, понятны. И создать SIEM несложно – есть opensourse-продукты и неплохой суммарный опыт производителей на рынке. Но суть в другом – нужно разработать хороший продукт с высокой скоростью обработки данных, который при этом должен легко масштабироваться. С этим вызовом сталкиваются все производители SIEM. Еще одна сложность разработки – эргономика продукта, или UI/UX интерфейса. В отличие от истории с NGFW, пользователи SIEM-системы находятся в интерфейсе постоянно. Чтобы он не раздражал их и был удобным, мы проводим исследования и интервью с потенциальными заказчиками. Спрашиваем пользователей о работе в таких системах: на какие кнопки нажимают, где они должны располагаться и т.д. После этого готовим множество прототипов, обсуждаем с заказчиками, вносим изменения. Конечно, можно было пойти другим путем – взять стандартные библиотеки. Но в этом нет смысла, так как тогда продукт получится неудобным для реального пользователя. И третья сложность – это экспертиза. Нужна команда хороших экспертов, которые знают, как работают злоумышленники и как их остановить. Я считаю, что это самый важный момент в разработке SIEM. Потому что система может быть супербыстрой, но если она не видит атаки и злоумышленников, то от нее нет никакого толка. \[quote\] Какова доля opensourse-кода в вашем продукте? \[/quote\] Мы традиционно отдаем приоритет проприетарной разработке. На мой взгляд, в 2023 году уже стыдно использовать открытый код, который всегда можно сделать лучше. Но обойтись без него совсем нельзя. В разработке SIEM мы использовали СУБД ClickHouse. Так же поступают другие производители таких систем. Писать свою базу данных нет смысла. Этим должны заниматься не мы, а компании, которые специализируются на СУБД. Но, кто знает, может быть, в процессе развития нашего SIEM мы поймем, что потенциал ClickHouse исчерпан и нам требуются уже собственные разработки. Кстати, новый продукт родился из нашей внутренней SIEM-системы. Продукт для сбора логов совершенствовался несколько лет и эволюционировал до звания SIEM Light (так называется MVP). Хотя по функциональности это, конечно, скорее Pro. \[quote\] Вы о том, что ваш продукт заменяет несколько систем? \[/quote\] Да, хотя у нас нет такой задачи. Скорее суть в том, что мы предоставляем заказчикам нужные инструменты. Если они не вписываются в определение классической SIEM-системы, то это не страшно. Заказчик сам выбирает, какие задачи он будет решать с помощью нашего набора инструментов. Если заменит ими какую-то систему – это вполне реальный сценарий. Если оставит несколько продуктов со схожими функциями – тоже. Наша задача – вести заказчиков к новому эволюционному этапу развития ИБ и предлагать инструменты, которые им понадобятся в этом пути. И мы рады, что они готовы идти вместе с нами. Ссылка на источник