Nie tylko dostawcy systemów SIEM (Security Information and Event Management) twierdzą, że wcale nie są one przestarzałe, ale także niezależni eksperci. W 2024 r. wciąż odgrywają kluczową rolę, gdyż zapewniają szeroki wgląd w zdarzenia dotyczące bezpieczeństwa w całym środowisku sieciowym oraz zbieranie i analizowanie logów z różnych źródeł do ich wstępnej oceny. Takie podejście pozwala im na identyfikowanie podejrzanych wzorców i alarmowanie zespołu ds. bezpieczeństwa, który następnie może podjąć niezbędne działania.

W połączeniu z innymi mechanizmami ochronnymi, SIEM-y mogą zwiększyć swoje możliwości, zapewniając bardziej zaawansowane wykrywanie zagrożeń oraz reagowanie na nie. Dlatego są nadal powszechnie stosowane, ponieważ są w stanie ostrzegać zespoły ds. bezpieczeństwa o potencjalnych cyberatakach, co jest kluczowe w obliczu dotychczasowych i nowych regulacji prawnych.

SIEM, SOAR i UEBA na jednej platformie

SIEM to narzędzie, które zbiera i analizuje dane z różnych baz danych w firmowym środowisku IT, w tym z urządzeń sieciowych, serwerów i aplikacji. SIEM koncentruje się na wykrywaniu zagrożeń, centralnym zarządzaniu logami, działaniach typu forensic i raportowaniu oraz proaktywnym poszukiwaniu niebezpieczeństw. W ostatnim roku zaczęto kłaść szczególny nacisk na wsparcie tych wszystkich zadań przez sztuczną inteligencję.

– Rzeczywiście, w systemach SIEM coraz częściej mechanizmy automatycznego wykrywania i reagowania na zagrożenia wspomagane są sztuczną inteligencją. W przypadku systemów SIEM analitycy mogą liczyć na wsparcie w interpretowaniu zdarzeń podczas prowadzonych śledztw dotyczących zaobserwowanych incydentów, a także polowaniu na zagrożenia i reagowaniu na nie. Natomiast generatywna sztuczna inteligencja może być pomocna w szybkim tworzeniu szczegółowych podsumowań zdarzeń, opisywaniu ich potencjalnych skutków oraz zaleceń dotyczących neutralizacji zagrożeń i ich unikania w przyszłości. Takie podejście pomaga też w szybkim identyfikowaniu nieznanych wcześniej ataków i minimalizowaniu ryzyka ich występowania – mówi Maciej Iwanicki, Business Development Manager w polskim oddziale Fortinetu.

W obszarze zarządzania incydentami bezpieczeństwa do obecnych na rynku już blisko 20 lat SIEM-ów dołączyły takie rozwiązania, jak SOAR (Security Orchestration, Automation and Response) oraz UEBA (User and Entity Behavior Analytics). To pierwsze jest rozwiązaniem, które automatyzuje reagowanie na incydenty w obszarze narzędzi bezpieczeństwa, wykorzystując do tego playbooki (zestawy procedur i instrukcji) eliminujące ręczną pracę. Mechanizmy SOAR łączą alerty z całego stosu zabezpieczeń w jednym, zarządzalnym systemie. Także systemy SOAR wspomaga obecnie AI.

– W nowatorskich systemach typu SOAR sztuczna inteligencja zapewnia zwiększenie efektywności operacyjnej zespołów bezpieczeństwa poprzez automatyzację rutynowych zadań i skrócenie czasu reagowania na incydenty. Dzięki temu analitycy mogą skoncentrować się na bardziej strategicznych zadaniach. Rozwiązania te dostarczają mechanizmy zaawansowanej analityki i wizualizacji danych, co pomaga w szybkim zrozumieniu kontekstu występowania zagrożeń, tworzeniu profili atakujących cyberprzestępców oraz podejmowaniu skutecznych działań zaradczych. Integracja z innymi narzędziami umożliwia również wyjście poza „standardowe” przykłady użycia rozwiązań SOAR w środowisku bezpieczeństwa, chociażby poprzez zautomatyzowanie innych procesów w firmach, takich jak przyjmowanie i zwalnianie pracowników – tłumaczy Maciej Iwanicki.

Z kolei UEBA, jako rozwiązanie analizujące wzorce zachowań systemu i/lub użytkowników, wykrywa anomalie mogące wskazywać na potencjalne zagrożenia. Wykorzystuje w tym celu zaawansowane uczenie maszynowe, sztuczną inteligencję oraz algorytmy analizy statystycznej do wykrywania anomalii w zachowaniu użytkowników i jednostek (urządzeń końcowych, serwerów itp.) w firmowej sieci.

Zdaniem Gartnera wskazane jest obecnie połączenie wszystkich trzech rozwiązań na jednej platformie, co może zwiększyć bezpieczeństwo chronionych przedsiębiorstw. SIEM w połączeniu z SOAR oraz UEBA ma „znacząco przyspieszyć wykrywanie zagrożeń, ich analizę oraz reagowanie zespołów ds. bezpieczeństwa”.