Ежегодные потери бизнеса от хакерских атак растут, злоумышленники используют все новые тактики и инструментарий, в том числе технологии искусственного интеллекта и машинного обучения. И потому для среднего и крупного бизнеса, обладающих большим парком ИТ- и ИБ-решений, необходимо в одном месте аккумулировать информацию о возможных инцидентах, анализировать ее и получать рекомендации по предотвращению киберугроз. В этом им помогут cистемы мониторинга информационной безопасности и управления инцидентами (SIEM).
По данным Cybersecurity Ventures, ежегодные потери компаний всего мира от действий киберпреступников составят по итогам 2024 г. 9,5 трлн долларов США, а к концу 2025 г. общемировой размер ущерба увеличится еще на один трлн долларов. В России средний ущерб российского бизнеса от кибератак с июля 2022 г. по июнь 2023 г. составил не менее 20 млн руб., что на треть больше, чем в прошлый аналогичный период. При этом жертвой хакеров может стать практически любая организация. «В последние годы киберпреступники успешно атакуют и малые, средние компании, и гигантов, которые могут быть отраслеобразующими и уже иметь довольно зрелые процессы обеспечения ИБ», ‒ указывает руководитель направления развития продуктов для мониторинга ИБ и управления инцидентами Positive Technologies Павел Гончаров. «На формирование ландшафта киберугроз огромное влияние оказывает всеобщая цифровизация, в частности, развитие криптовалют подтолкнуло хакеров широко использовать программы- вымогатели», ‒ отмечает директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров. Кроме того, по словам эксперта, активно развивается рынок брокеров первоначального доступа, а также теневые маркетплейсы, где можно приобрести аутентификационные данные для получения доступа в корпоративную сеть, растет популярность коммерческого вредоносного ПО, которое можно приобрести на теневых ресурсах буквально за несколько десятков долларов. При этом в ИБ не существует неактуальных угроз, уверена руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова. «Если компания не защищена от тех тактик, которые применялись 10 лет назад, атакующие с удовольствием воспользуются старыми инструментами», ‒ отмечает она. Кроме того, добавляет Хамракулова, преступники используют искусственный интеллект, они могут усложнять атаки с помощью инструментов машинного обучения, автоматизируя вредоносные программы, а также совершенствовать приемы социальный инженерии, используя дипфейки аудио и видео, но в то же время ИИ помогает и бороться с киберугрозами.
Гончаров, в свою очередь, отмечает несколько причин высокого уровня киберпреступности. Например, появление большого количества софта с уязвимостями в коде из-за стремлений разработчиков максимально оперативно выпустить продукт на рынок. Еще одна причина ‒ ошибки бизнеса при построении информационной инфраструктуры и отсутствие контроля за ее развитием. «Возникновение таких серьезных недочетов, как сегментация сети, например, позволит хакерам получить доступ к критически важным элементам, даже взломав компьютер простого клерка», ‒ указывает эксперт. Немаловажен и человеческий фактор, когда сотрудники используют везде одинаковые пароли, готовы открыть любое незнакомое письмо и т. д. Но главная причина, указывает Гончаров, многие компании, потратив серьёзные средства на антивирусы, межсетевые экраны и другие продукты ИБ для защиты от атак, «не выстроили результативную информационную безопасность».
Мнение экспертов подтверждает исследование Positive Technologies, согласно которому 80% опрошенных компаний сообщили, что укрепляют инфраструктуру лишь выборочно, киберучения для сотрудников, тесты на проникновение проводят лишь 28% компаний. Но главное ‒ команды ИБ не уделяют должного внимания контролю инфраструктуры, ее мониторингу, что может привести к запоздалому реагированию или пропуску инцидентов ИБ: постоянство поступления событий ИБ в SIEM отслеживают лишь две трети опрошенных, внимание регулярности сканирования активов уделяет лишь 53% компаний, полноту собираемых событий оценивают меньше половины организаций (44%) .
При этом в ручном режиме мониторить все порой физически невозможно. «Если в компании установлено свыше сотни компьютеров и несколько серверов, то количество событий информационной безопасности, по которым можно обнаружить присутствие хакеров, как правило, достигает более 500 в секунду», ‒ указывает Гончаров. По словам директора SOC «Транстелеком» Михаила Коптенкова, в крупной компании может быть несколько десятков тысяч источников событий безопасности, которые могут генерировать огромное множество событий в секунду времени, ручной разбор и анализ лог-файлов не позволит оперативно выявить инцидент ИБ, тем более в режиме, близком к реальному времени. «Поэтому для компаний, обладающих большим парком ИТ- и ИБ-решений, крайне полезно использовать SIEM для выявления инцидентов ИБ», ‒ указал эксперт. SIEM – это подсистема информационной безопасности, в которой аккумулируется и анализируется информация, поступающая с DLP-систем (отслеживают утечки данных), антивирусных приложений, IDS/IPS-систем (применяются для обнаружения сетевых атак, изменений конфигурации и доступа к устройствам), межсетевых экранов, сканеров уязвимостей, систем фильтрации трафика и т. д. Директор по информационной безопасности компании «Согаз» Георгий Старостин уверен, что SIEM-решения нужны и среднему бизнесу. «По моему мнению, потребность в SIEM возникает при наличии 30-40 серверов и от 100 рабочих станций, что соответствует даже среднему бизнесу, ‒ указал эксперт. – Хотя, конечно, каждая компания сама решает, когда заменить ручной труд автоматизацией».
В то же время выбрать в сегодняшних реалиях правильную SIEM компаниям не так просто. Согласно исследованию Positive Technologies, по состоянию на конец 2023 г. лишь 56% российских игроков, внедривших SIEM, использовали отечественное решение, у остальных стояли продукты иностранцев, ушедших с российского рынка. То есть в 2022 г. освободилась достаточно серьезная ниша. «И многие российские ИБ-компании решили: если у них есть пул заказчиков, которые берут их продукт, то почему бы не сделать еще и SIEM. В итоге сейчас продукты этого класса предлагают очень многие, однако далеко не все эти продукты способны детектировать атаки на должном уровне», ‒ указывает Гончаров. Кроме того, отдельные крупные ИТ- игроки разработали SIEM для собственных нужд, способные качественно работать лишь в инфраструктуре конкретной организации.
Какой же должна быть «правильная» SIEM? Этот вопрос «Ведомости» задали ведущим экспертам ИБ-отрасли и представителям реального сектора. По мнению Старостина, при внедрении SIEM-системы следует обращать внимание на поддержку необходимых источников событий, чтобы можно было подключить все интересующие серверы и приложения, а также индикаторы угроз. Не менее важно, по словам эксперта, удобство настройки, качество техподдержки, насколько правила срабатывания покрывают текущий ландшафт угроз и применимы к существующей инфраструктуре. По мнению Коптенкова, современный SIEM должен уметь стабильно работать, без сбоев и отказов, предоставлять удобный инструментарий для создания правил корреляции событий безопасности, ретроспективного анализа и расследования инцидентов. «Добавление функций Machine Learning (машинного обучения) будет очень полезным и позволит эффективно реализовать процессы создания правил корреляции и, как следствие, выявления инцидентов ИБ», ‒ отметил эксперт. Гончаров согласен, что машинное обучение в SIEM позволяет решить очень многие задачи. Например, такие, как агрегация, нормализация и обогащение данных. Система, пояснил эксперт, должна не просто собирать информацию, а преобразовывать необработанные данные в единый формат, и именно ML способствует автоматизации этих процессов. Используя машинное обучение, SIEM может быстрее сортировать данные, интеллектуально агрегировать и нормализовать их. «Например, в MaxPatrol SIEM от Positive Technologies (18+) содержится более 9000 правил нормализации», ‒ указал эксперт. Обогащение данных ‒ это процесс повышения их точности и надежности, что помогает аналитику SOC (Security Operation Center, центр мониторинга информационной безопасности) принимать решение. Так, изначальное сообщение: «c адреса 192.168.1.15 зафиксировано обращение к внешнему адресу 102.130.113.42» в результате должно превратиться для ИБ-специалиста компании в «с рабочего места сотрудника лаборатории №12, лаборанта Петрова П.А. зафиксировано обращение к TOR-node», поясняет эксперт. Кроме того, продолжил Гончаров, современная SIEM должна учиться на прошлых данных и шаблонах безопасности, позволяя обнаруживать аномалии и потенциальные угрозы, которые традиционные SIEM не увидят. В этом помогает модуль для выявления поведенческих аномалий, который позволяет обнаруживать как известные, так и малоизученные атаки и оперативно принимать точные решения по реагированию на инциденты ИБ. «Например, в MaxPatrol SIEM ‒ порядка 50 моделей машинного обучения, разработанных на основе двадцатилетнего опыта Positive Technologies в расследовании инцидентов», ‒ указывает эксперт.
«В «правильной SIEM» аналитик оперирует не исходными событиями, а правильными категориями с подсвеченными признаками инцидента и максимально обогащенными данными для быстрого и качественного анализа инцидента», ‒ соглашается Хармакулова. И именно ML дает возможность автоматизировать процесс анализа ситуации и выдачи рекомендаций по реагированию, резюмирует Гончаров.
По мнению Старостина, правильная SIEM должна «для младших инженеров упрощать работу, а для старшего инженерного состава – повышать эффективность». Помогает в упрощении в том числе обработка естественного языка, когда запрос ИБ-специалиста «покажи мне всех пользователей, кто заходил на сервер домена ночью, находясь в Тайланде,» система преобразовывает в формат, который понимают машины.
Кроме того, опрошенные эксперты сошлись во мнении, что у SIEM должна быть не только локальная версия («on-prem»), но и облачная версия. Она актуальна для тех компаний, кто передает информационную безопасность на аутсорсинг, не наращивая штат ИБ-специалистов, а покупая услуги SOC, где также используется SIEM. По словам Хеирхабарова, для крупных SOC и сервис-провайдеров, которые как раз работают с облачными SIEM, крайне важно наличие у системы развитого API, позволяющего встраивать SIEM-систему в любой технологический стек, интегрировать с различными сторонними системами, а также оркестрировать множество разрозненных инсталляций SIEM с использованием классических DevOps-инструментов. Кроме того, нужны возможности бесконечного масштабирования, встроенная организация холодного хранения, позволяющая реализовать долгосрочное хранение событий без сторонних решений, а также гибкая настройка политик хранения.
Так как SIEM используют в том числе и субъекты критической инфраструктуры, также необходимо наличие сертификата ФСТЭК у версии системы, рассчитанной на защиту субъектов КИИ.
В исследовании отечественных SIEM по состоянию на 2024 г., подготовленных Anti-malware.ru, эксперты выделили 12 продуктов российских разработчиков. При этом есть лишь один российский продукт, MaxPatrol SIEM, который вошел в топ-20 лучших SIEM на мировом рынке. На российском рынке MaxPatrol SIEM используют более 50% компаний, внедривших систему, она первой среди других продуктов этого класса была отмечена в Реестре российского ПО как решение, использующее технологии искусственного интеллекта.
Узнать больше про использование технологий машинного обучения для мониторинга кибербезопасности можно на онлайн-запуске новой версии MaxPatrol SIEM (18+) 27 июня 2024 г. в 14:00.