// Техническая поддержка
// По общим вопросам
© 2024 ООО «Аксель Про». Все права защищены.
// Ресурсы
Клиенты
// Главная
// Наши продукты
// Меню
Нажимая кнопку «Отправить» вы даёте своё согласие с условиями «Политики обработки персональных данных»
Свяжитесь с нами для получения консультации и доступа к демоверсии решения
Поможем выбрать подходящее решение
Сообщение об успешной отправке!
Как улучшить реагирование на инциденты с помощью Security Data Lake
20.06.2025
Кибератаки становятся все более изощренными и частыми, поэтому важность эффективного реагирования на инциденты сложно переоценить. При этом важно внедрять системы, которые помогают не только предотвращать атаки, но и оперативно проводить мониторинг безопасности и реагировать на угрозы.
Одно из таких решений — Security Data Lake (SDL). Это универсальное хранилище данных, которое объединяет информацию о безопасности для анализа, обнаружения угроз и принятия решений. Рассказываем, какие недостатки современных SIEM-систем помогают решать SDL-решения.
Одно из таких решений — Security Data Lake (SDL). Это универсальное хранилище данных, которое объединяет информацию о безопасности для анализа, обнаружения угроз и принятия решений. Рассказываем, какие недостатки современных SIEM-систем помогают решать SDL-решения.
Что не так с современными SIEM-системами
Ядро Security operations center (SOC) — это Security information and event management (SIEM). SIEM-система собирает весь поток событий, поступающий из инфраструктуры компании и выявляет инциденты, сопоставляя события из накопленной информации.
Для повышения точности и результативности работы к SIEM дополнительно подключают смежные решения, например, системы анализа угроз (TI), анализа поведения пользователей (UBA/UEBA) или другие ML-инструменты, после чего данные либо с помощью системы реагирования на инциденты (IRP\SOAR), либо напрямую из SIEM направляются в отраслевые центры мониторинга. Казалось бы, понятная и эффективная схема.
Однако в последнее время традиционные SIEM-системы часто критикуют. Говорят, они выдают слишком много ложных срабатываний, требуют постоянной и сложной ручной настройки, потребляют много вычислительных ресурсов и не справляются с ростом объемов данных.
Эксперты Gartner в своем исследовании Gartner Magic Quadrant For SIEM за 2024 год пишут, что рынок SIEM разрушен внешними факторами, которые заставляют клиентов переосмысливать роль SIEM. Среди причин:
· все больше компаний переходят на облачные сервисы;
· для защиты данных требуется все больше и больше ресурсов;
· необходимо, чтобы инструменты для обнаружения угроз были проще в использовании и понимании.
Выводы аналитиков Gartner дополняют специалисты из российской компании Positive Technologies. Отвечая на вопрос, почему традиционные SOC неэффективны, они указывают на такие проблемы:
· Трудно понять, что происходит в ИТ-системе и где есть уязвимые места, через которые могут атаковать хакеры, потому что система постоянно меняется. Когда происходит что-то подозрительное, сложно понять, что это значит на самом деле, потому что нет полной картины происходящего — не хватает информации, чтобы понять серьезность угрозы и ее причины.
· Защита зависит от того, насколько быстро мы получим или создадим новые инструменты для обнаружения угроз.
· Есть много разных средств и источников телеметрии, которые собирают информацию о безопасности, но не работают вместе.
· Менеджерам трудно договориться и согласовать действия с другими командами внутри ИТ-отдела.
· Необходимо вести подробные журналы всех действий и событий в ИТ-системе для расследования инцидентов.
Для повышения точности и результативности работы к SIEM дополнительно подключают смежные решения, например, системы анализа угроз (TI), анализа поведения пользователей (UBA/UEBA) или другие ML-инструменты, после чего данные либо с помощью системы реагирования на инциденты (IRP\SOAR), либо напрямую из SIEM направляются в отраслевые центры мониторинга. Казалось бы, понятная и эффективная схема.
Однако в последнее время традиционные SIEM-системы часто критикуют. Говорят, они выдают слишком много ложных срабатываний, требуют постоянной и сложной ручной настройки, потребляют много вычислительных ресурсов и не справляются с ростом объемов данных.
Эксперты Gartner в своем исследовании Gartner Magic Quadrant For SIEM за 2024 год пишут, что рынок SIEM разрушен внешними факторами, которые заставляют клиентов переосмысливать роль SIEM. Среди причин:
· все больше компаний переходят на облачные сервисы;
· для защиты данных требуется все больше и больше ресурсов;
· необходимо, чтобы инструменты для обнаружения угроз были проще в использовании и понимании.
Выводы аналитиков Gartner дополняют специалисты из российской компании Positive Technologies. Отвечая на вопрос, почему традиционные SOC неэффективны, они указывают на такие проблемы:
· Трудно понять, что происходит в ИТ-системе и где есть уязвимые места, через которые могут атаковать хакеры, потому что система постоянно меняется. Когда происходит что-то подозрительное, сложно понять, что это значит на самом деле, потому что нет полной картины происходящего — не хватает информации, чтобы понять серьезность угрозы и ее причины.
· Защита зависит от того, насколько быстро мы получим или создадим новые инструменты для обнаружения угроз.
· Есть много разных средств и источников телеметрии, которые собирают информацию о безопасности, но не работают вместе.
· Менеджерам трудно договориться и согласовать действия с другими командами внутри ИТ-отдела.
· Необходимо вести подробные журналы всех действий и событий в ИТ-системе для расследования инцидентов.
Что говорят специалисты
Чтобы усовершенствовать SOC, специалисты предлагают:
· объединять несколько классов решений в одну экосистему;
· расширять функционал обнаружения, расследования и реагирования;
· автоматизировать процессы;
· повсеместно использовать ML-технологии.
Однако исследования не всегда подтверждают эффективность этих предложений. Например, исследование SANS 2024 SOC Survey показало, что количество компаний, так или иначе уже использующих ML-технологии в своей работе, составляет около 80%, при этом удовлетворенность этими технологиями — наименьшая в сравнении со всеми остальными инструментами, которые используются в SOC.
Другие исследования показывают, что «большое количество функционала из коробки», считающееся конкурентным преимуществом, часто становится минусом. Этот функционал невозможно нормально настроить и адаптировать под реальные потребности конкретной инфраструктуры. К тому же при этом происходит огромное количество ложно положительных срабатываний. Это создает дополнительную нагрузку на команду SOC, которая не успевает обрабатывать их качественно и вовремя.
· объединять несколько классов решений в одну экосистему;
· расширять функционал обнаружения, расследования и реагирования;
· автоматизировать процессы;
· повсеместно использовать ML-технологии.
Однако исследования не всегда подтверждают эффективность этих предложений. Например, исследование SANS 2024 SOC Survey показало, что количество компаний, так или иначе уже использующих ML-технологии в своей работе, составляет около 80%, при этом удовлетворенность этими технологиями — наименьшая в сравнении со всеми остальными инструментами, которые используются в SOC.
Другие исследования показывают, что «большое количество функционала из коробки», считающееся конкурентным преимуществом, часто становится минусом. Этот функционал невозможно нормально настроить и адаптировать под реальные потребности конкретной инфраструктуры. К тому же при этом происходит огромное количество ложно положительных срабатываний. Это создает дополнительную нагрузку на команду SOC, которая не успевает обрабатывать их качественно и вовремя.
Как с недостатками современных процессов в SIEM работают SDL-решения
Выделим основные проблемы и посмотрим, как их можно решить с помощью SDL.
1. Централизованное хранение всех данных
Проблема: разрозненность данных о безопасности. Информация о безопасности хранится в разных системах (SIEM, EDR, IDS/IPS, журналы приложений и сетей). Более того, логирование может осуществляться разными департаментами — ИБ, ИТ, разработка.
Решение:
SDL собирает все данные о безопасности в одном централизованном хранилище. Это создает единый надежный источник информации, который позволяет системам безопасности быстро получать доступ к нужным данным, не переключаясь между платформами. SDL способна обеспечить гибкость: при необходимости недостающие данные могут быть легко предоставлены целевым системам для более глубокого анализа.
2. Поддержка исторических данных
Проблема: ограниченное хранение исторических данных. Традиционные системы безопасности обычно хранят данные ограниченное время (от 1 до 6 месяцев) из-за ограничений в ресурсах и\или стоимости.
Решение: Благодаря упрощенной структуре хранения и современным технологиям SDL может хранить большие объемы данных в течение длительного времени. Это важно для анализа атак, которые могут проявиться спустя месяцы после начала. Исторические данные позволяют выявлять долгосрочные закономерности в поведении злоумышленников. Кроме того, стоимость хранения исторических данных в SDL часто ниже, чем в традиционных системах.
3. Гибкость методов обнаружения.
Проблема: ограниченность методов обнаружения угроз. Традиционные системы безопасности часто ограничены предопределенными правилами и сценариями, что делает их менее гибкими при обнаружении новых типов угроз. Кроме того, компании часто сталкиваются с ситуацией, когда они не используют определенные сценарии из-за особенностей своей инфраструктуры, но не могут их отключить.
Решение: SDL может выступать в роли фундамента, позволяющего подключить к нему дополнительные модули, которые можно точечно добавлять по мере необходимости. Это включает в себя расширенные запросы к данным, их обогащение, машинное обучение, визуализацию и создание отчетов. При этом пользователи могут выбирать и использовать только те методы, которые им действительно нужны.
4. Гибкость данных
Проблема: сложность подключения новых источников данных. SIEM обычно требует предварительной подготовки и структурирования данных, что зачастую сильно усложняет подключение новых источников.
Решение: SDL может принимать любые типы данных в любом формате без предварительной обработки. Это могут быть структурированные данные (например, из баз данных), полуструктурированные (сбор логов) и неструктурированные данные (например, текстовые документы).
5. Вендор-независимая интеграция с потребителями данных
Проблема: дублирование сбора данных и перегрузка инфраструктуры. Разные системы безопасности для обнаружения и реагирования требуют разные данные из инфраструктуры. Отсутствие централизованного сбора и распределения журналов приводит к тому, что необходимые данные либо невозможно предоставить, либо инфраструктура перегружается, поскольку одну и ту же информацию приходится собирать многократно для каждой системы.
Решение:
Целевые системы получают только те данные, которые им необходимы. Это устраняет необходимость в многократных прямых интеграциях между источниками данных и системами, которые их используют.
6. Менеджмент «шума» в SIEM-системах
Проблема: перегрузка SIEM и ложные срабатывания. Большой поток данных, огромное количество правил детектирования и технологий обнаружения в SIEM создают слишком много ложных срабатываний, что сильно затрудняет работу SOC-команд.
Решение: Предварительная фильтрация входящего потока данных до их передачи в SIEM может позволить значительно снизить нагрузку на сами SIEM-системы, а также уменьшить количество ложных срабатываний.
7. Коллаборация команд
Проблема: изолированная работа разных команд.
Разные команды (аналитики SOC, IR-команды, DevSecOps) часто работают независимо друг от друга, что замедляет процесс реагирования.
Решение: SDL предоставляет единое пространство для совместной работы и позволяет обеспечивать гибкую модель доступа к данным с помощью встроенной многопользовательской поддержки и системы ролей. Команды и менеджмент могут делиться данными и анализом в реальном времени, создавать общие дашборды и отчеты, улучшать координацию действий, избегая конфликтов безопасности данных, обеспечивая контроль и управление процессами.
1. Централизованное хранение всех данных
Проблема: разрозненность данных о безопасности. Информация о безопасности хранится в разных системах (SIEM, EDR, IDS/IPS, журналы приложений и сетей). Более того, логирование может осуществляться разными департаментами — ИБ, ИТ, разработка.
Решение:
SDL собирает все данные о безопасности в одном централизованном хранилище. Это создает единый надежный источник информации, который позволяет системам безопасности быстро получать доступ к нужным данным, не переключаясь между платформами. SDL способна обеспечить гибкость: при необходимости недостающие данные могут быть легко предоставлены целевым системам для более глубокого анализа.
2. Поддержка исторических данных
Проблема: ограниченное хранение исторических данных. Традиционные системы безопасности обычно хранят данные ограниченное время (от 1 до 6 месяцев) из-за ограничений в ресурсах и\или стоимости.
Решение: Благодаря упрощенной структуре хранения и современным технологиям SDL может хранить большие объемы данных в течение длительного времени. Это важно для анализа атак, которые могут проявиться спустя месяцы после начала. Исторические данные позволяют выявлять долгосрочные закономерности в поведении злоумышленников. Кроме того, стоимость хранения исторических данных в SDL часто ниже, чем в традиционных системах.
3. Гибкость методов обнаружения.
Проблема: ограниченность методов обнаружения угроз. Традиционные системы безопасности часто ограничены предопределенными правилами и сценариями, что делает их менее гибкими при обнаружении новых типов угроз. Кроме того, компании часто сталкиваются с ситуацией, когда они не используют определенные сценарии из-за особенностей своей инфраструктуры, но не могут их отключить.
Решение: SDL может выступать в роли фундамента, позволяющего подключить к нему дополнительные модули, которые можно точечно добавлять по мере необходимости. Это включает в себя расширенные запросы к данным, их обогащение, машинное обучение, визуализацию и создание отчетов. При этом пользователи могут выбирать и использовать только те методы, которые им действительно нужны.
4. Гибкость данных
Проблема: сложность подключения новых источников данных. SIEM обычно требует предварительной подготовки и структурирования данных, что зачастую сильно усложняет подключение новых источников.
Решение: SDL может принимать любые типы данных в любом формате без предварительной обработки. Это могут быть структурированные данные (например, из баз данных), полуструктурированные (сбор логов) и неструктурированные данные (например, текстовые документы).
5. Вендор-независимая интеграция с потребителями данных
Проблема: дублирование сбора данных и перегрузка инфраструктуры. Разные системы безопасности для обнаружения и реагирования требуют разные данные из инфраструктуры. Отсутствие централизованного сбора и распределения журналов приводит к тому, что необходимые данные либо невозможно предоставить, либо инфраструктура перегружается, поскольку одну и ту же информацию приходится собирать многократно для каждой системы.
Решение:
Целевые системы получают только те данные, которые им необходимы. Это устраняет необходимость в многократных прямых интеграциях между источниками данных и системами, которые их используют.
6. Менеджмент «шума» в SIEM-системах
Проблема: перегрузка SIEM и ложные срабатывания. Большой поток данных, огромное количество правил детектирования и технологий обнаружения в SIEM создают слишком много ложных срабатываний, что сильно затрудняет работу SOC-команд.
Решение: Предварительная фильтрация входящего потока данных до их передачи в SIEM может позволить значительно снизить нагрузку на сами SIEM-системы, а также уменьшить количество ложных срабатываний.
7. Коллаборация команд
Проблема: изолированная работа разных команд.
Разные команды (аналитики SOC, IR-команды, DevSecOps) часто работают независимо друг от друга, что замедляет процесс реагирования.
Решение: SDL предоставляет единое пространство для совместной работы и позволяет обеспечивать гибкую модель доступа к данным с помощью встроенной многопользовательской поддержки и системы ролей. Команды и менеджмент могут делиться данными и анализом в реальном времени, создавать общие дашборды и отчеты, улучшать координацию действий, избегая конфликтов безопасности данных, обеспечивая контроль и управление процессами.
Подводя итоги
У нынешних подходов к использованию SIEM-Систем в качестве ядра SOC есть большое количество сложностей и минусов, которые зачастую могут скорее вредить процессу, чем приносить пользу.
При этом, использование SDL позволяет быстрее обнаруживать угрозы и реагировать на них, а также сокращает общие затраты на безопасность. Стоит отметить, что многие современные SIEM-решения начинают включать в себя функции SDL, пытаясь совместить преимущества обоих подходов. Выбор между отдельным решением SDL, расширенной SIEM-системой или комбинацией обоих решений всегда будет зависеть от конкретных потребностей компании и уровня развития ее системы информационной безопасности.
При этом, использование SDL позволяет быстрее обнаруживать угрозы и реагировать на них, а также сокращает общие затраты на безопасность. Стоит отметить, что многие современные SIEM-решения начинают включать в себя функции SDL, пытаясь совместить преимущества обоих подходов. Выбор между отдельным решением SDL, расширенной SIEM-системой или комбинацией обоих решений всегда будет зависеть от конкретных потребностей компании и уровня развития ее системы информационной безопасности.
Axel PRO — продуктовая студия, фокусирующаяся на создании и продвижении решений по кибербезопасности. Компания предлагает уникальные продукты в различных сферах, начиная от инфраструктурной безопасности и заканчивая аналитическими системами поддержки принятия решения для профильных экспертов. Ключевые направления деятельности: защита от кибератак, разработка и запуск решений в области кибербезопасности по России и СНГ, внедрение и сопровождение продуктов enterprise-уровня, акселерация стартапов и молодых команд. В условиях постоянно растущих цифровых угроз Axel PRO стремится обеспечить надежную защиту информации и инфраструктуры клиентов, предоставляя передовые технологии и экспертные знания для противодействия современным вызовам в сфере кибербезопасности.