SIEM и SOAR в 2023 году: Ключевые тенденции и новые изменения
Системы управления информацией и событиями безопасности (SIEM) остаются ключевым компонентом оперативных центров информационной безопасности (ОЦИБ). В то же время системы оркестровки, автоматизации и реагирования на события безопасности (SOAR) появились для того, чтобы заполнить пробел в этих возможностях, оставленный многими SIEM-системами.
Но поскольку за последние несколько лет многие компании начали исчерпывать возможности систем SIEM и SOAR, они стали обращаться к другим решениям, таким как расширенные системы обнаружения и реагирования (XDR). Но означает ли этот переход конец SIEM и SOAR? Или будущее за компонентным взаимодействием?
Вот как выглядят SOAR и SIEM в 2023 году и что ждет корпоративную безопасность в будущем.
SIEM и SOAR: что изменилось с 2020 года?
В 2020 году в статье Security Intelligence* говорилось о росте числа быстрых, гибких и настраиваемых облачных SIEM-решений. В статье также подчеркивалась необходимость развертывания SOAR для автоматизации ключевых операций и реагирования на возникающие угрозы.
Прошло три года, и рынок изменился. Хотя большинство ОЦИБ по-прежнему полагаются на инструменты SIEM, ИБ-специалисты с болью осознают их ограниченность. Подобно устаревшим технологиям, которые мешают переходу к облачным технологиям, устаревшие SIEM-решения могут препятствовать эффективному реагированию на инциденты.
Причина проста. Хотя протоколирование и управление событиями необходимы для понимания текущей ситуации в области безопасности, сами по себе они недостаточны для решения проблем по мере их возникновения. Объединение их с SOAR позволяет продлить срок их службы, но не устраняет основной проблемы. По своей сути эти инструменты являются реактивными, а не проактивными, а значит, их польза для безопасности ограничена.
Современные тенденции в области SIEM и SOAR
Несмотря на свои ограничения, и SIEM, и SOAR демонстрируют значительный рост рынка. В этом есть смысл: В то время как компании признают необходимость новых подходов к устранению эволюционирующих угроз безопасности, решения SIEM и SOAR стали фундаментальными аспектами систем кибербезопасности. В 2022 году объем рынка SIEM составлял 5,2 млрд. долл. и в ближайшие пять лет достигнет 8,5 млрд. долл. В то же время объем рынка SOAR в прошлом году составил 1,32 млрд. долл. с прогнозируемым среднегодовым темпом роста 16,4%.
Хотя масштабы внедрения SIEM и SOAR способствуют росту их стоимости, определенную роль играют и тенденции развития рынка. К основным тенденциям 2023 года относятся:
Изменение характера атак – Злоумышленники меняют свой подход. В результате перехода на удаленную и гибридную работу злоумышленники сместились как вперед, так и назад: Вперед – в том смысле, что они находят новые способы использования уязвимостей сторонних производителей и уязвимостей “нулевого дня”. Назад – в том, что они активизировали фишинговые атаки на удаленных сотрудников, поскольку эти атаки все еще работают.
В ответ на это SIEM- и SOAR-инструменты возвращаются к базовым принципам, помогая компаниям обнаруживать потенциальные фишинговые атаки, а также интегрируют новые данные об угрозах, чтобы помочь определить возможные точки компрометации.
Автоматизация процессов – Автоматизация сегодня играет ключевую роль в эффективной защите. По данным недавнего исследования IBM, 87% членов групп SOC утверждают, что автоматизация позволила бы сэкономить некоторое или значительное количество времени при реагировании на угрозы. Однако только 55% команд используют автоматизацию для поиска угроз, и только 53% – для улучшения логики и оповещений.
В результате в 2023 году началась активная работа по переносу решений SIEM и SOAR в облако, где масштабируемые ресурсы смогут лучше поддерживать возможности автоматизации.
Вдохнуть новую жизнь в SIEM
Прочитайте несколько статей о SIEM, и вы обнаружите общую тему – Управление информацией и событиями в области безопасности “мертво”.
Так ли это? Не совсем. Это неверно? Не совсем. Вот почему: SIEM отлично справляется со своей задачей – сбором данных о безопасности и информированием ИТ-команд. Но то, что начиналось как регулярные отчеты о состоянии безопасности, быстро переросло в так называемую “усталость от оповещений” – огромное количество потенциальных инцидентов и возможных проблем, связанных с настольными, мобильными и персональными устройствами, наводнило команды оповещениями. Несмотря на все усилия, эти оповещения со временем начинают сливаться воедино и теряют смысл. Если добавить к этому несколько ложных срабатываний, то командам зачастую становится проще игнорировать повторяющиеся предупреждения.
Рассмотрим данные недавнего опроса*, в ходе которого выяснилось, что члены группы реагирования ОЦИБ ежедневно просматривают только половину предупреждений. Еще хуже? Треть своего рабочего дня сотрудники тратят на проверку инцидентов, не представляющих реальной угрозы. Поэтому неудивительно, что наступает усталость от оповещений.
В результате и SIEM, и SOAR начинают пользоваться преимуществами искусственного интеллекта. В обоих случаях применение средств искусственного интеллекта позволяет сузить окна оповещений и автоматизировать ответные меры по обеспечению безопасности, чтобы ИТ-персонал не был перегружен оповещениями. Вместо того чтобы ежедневно получать сотни легко устранимых оповещений, команды получают только те оповещения, которые требуют немедленного реагирования. Все остальные проблемы могут быть решены с помощью порталов самообслуживания для сотрудников, столкнувшихся с проблемами входа в систему или получения учетных данных, или завершением сеанса с помощью ИИ при обнаружении подозрительного поведения.
Что ждет решения в области безопасности?
Хотя большинство компаний не планируют отказываться от SIEM или SOAR – в конце концов, зачем чинить то, что (в основном) не сломано, – они признают необходимость решений, которые помогут восполнить пробелы.
Такую роль играет расширенное обнаружение и реагирование (XDR). XDR – это сочетание средств обнаружения и реагирования на сетевые и конечные точки (NDR и EDR), позволяющее компаниям как выявлять угрозы, так и реагировать на них в режиме реального времени. Это очень важно в условиях гибридной и удаленной работы. Огромное количество конечных точек во все более сложных сетевых средах делает их видимость главным приоритетом для организаций, однако достижение этой видимости становится непростой задачей. XDR отслеживает поведение приложений и сервисов в сложных сетях, помогая компаниям определить места потенциальных проблем и принять меры по устранению угроз.
Решения XDR, считающиеся сейчас наиболее эффективным инструментом поиска угроз, две трети компаний планируют инвестировать в них в течение ближайших 6-12 месяцев. Однако, как и SOAR и SIEM, даже средства XDR не являются “волшебной пулей” для обеспечения безопасности. Напротив, они являются частью взаимосвязанного, целостного подхода к кибербезопасности, который обеспечивает проактивные процессы, отсутствующие в настоящее время в большинстве корпоративных SOC.
Проще говоря в 2023 году SOAR и SIEM, станут частью более широкого ландшафта управления угрозами, в котором компании перейдут к проактивным моделям, накладывая решения для обнаружения и реагирования в режиме реального времени на существующие системы безопасности.
Источник:
https://securityintelligence.com/articles/soar-and-siem-in-2023-key-trends-and-new-changes/
https://securityintelligence.com/posts/siem-trends-what-to-look-for-security-analytics-provider/
https://www.ibm.com/downloads/cas/5AEDAOJN
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-siem/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-soar/
https://icore.kz/upravlenie-inczidentami/
Автор:
Doug Bonderud
Перевод и дополнения:
Лебедев А.В.