Co dalej z SIEM?

Zbieranie oraz analiza w czasie rzeczywistym informacji o incydentach, błędach czy anomaliach nie jest nowym zjawiskiem, od dość dawna takie zadanie realizują systemy SIEM (Security Information and Event Management). Czy wraz z pojawieniem się nowych rozwiązań, takich jak NDR czy XDR, SIEM zniknie? Opinie na ten temat są podzielone nawet wśród samych dostawców produktów bezpieczeństwa. Zdaniem Macieja Iwanickiego, Business Development Managera w polskim oddziale Fortinetu, NDR oraz SIEM rozwiązują różne, specyficzne problemy i współpracują ze sobą. NDR może na przykład wysyłać informacje o znalezionych zagrożeniach i anomaliach do SIEM. Zupełnie inaczej postrzega to Christian Borst, EMEA CTO w Vectra AI, który sceptycznie ocenia rozwiązania typu SIEM. W jego przekonaniu jak dotąd nie sprostały one oczekiwaniom użytkowników.

– W przypadku większości organizacji obietnica uzyskania odpowiednich informacji ze zbioru ścieżek audytu z różnych systemów nigdy nie została spełniona. Wysiłki zmierzające do zdefiniowania i utrzymania tak zwanych reguł korelacji stanowiły największe obciążenie ze względu na brak czasu, a często umiejętności. Nowoczesne systemy, takie jak NDR-y, odciążają i tak już przeciążone zespoły analityków cybernetycznych i wykorzystują modele uczenia maszynowego w celu dostarczania odpowiednich informacji o ataku – tłumaczy Christian Borst.

Jednak analitycy przychylnym okiem patrzą na dalsze losy SIEM. Na przykład Insight Partners przewiduje, że ten segment rynku w latach 2019–2027 będzie rosnąć w tempie 10,4 proc. rocznie. Przy czym dużo zależy od tego, jak klienci przyjmą rozwiązania SOAR (Security Orchestration, Automation and Response). To stosunkowo nowa grupa produktów, których debiut miał miejsce w 2015 r., a Gartner uznał tę technologię za rewolucyjną. Od tego czasu upłynęło kilka lat, a SOAR znacznie się rozwinął i odgrywa ważną rolę w każdym nowoczesnym SOC. Według Gartnera w przyszłym roku przychody ze sprzedaży tej grupy produktów osiągną wartość 550 mln dol., czyli siedem razy mniej niż wynosi wartość rynku SIEM. Analitycy tej firmy badawczej zauważają, że użytkownicy SIEM implementują rozwiązania SOAR do swoich środowisk głównie jako narzędzia premium.

Czas na triadę?  

Anton Chuvakin, analityk Gartnera, jest autorem koncepcji SOC Visibility Triad, czyli Triady Widoczności SOC. W skład zestawu wchodzą SIEM lub czasami UEBA (User and Entity Behaviour Analytics), EDR oraz NDR. Według Chuvakina taki właśnie zestaw elementów zwiększa widoczność środowiska sieciowego. Na szczególną uwagę zasługuje obecność w tym zestawieniu NDR-u, który szybko zyskuje na popularności. Według danych Gartnera oraz IDC wartość globalnego rynku NDR przekroczyła 1 mld dol. i jest drugim pod względem dynamiki wzrostu segmentem cyberbezpieczeństwa po CASB (Cloud Access Security Broker).

Zdaniem analityków z największych firm badawczych w najbliższych trzech latach tempo wzrostu NDR wyniesie co najmniej 17 proc. Katarzyna Dzidt, Chief Marketing Officer w Cryptomage, wylicza, że to rozwiązanie oferuje aż 22 producentów. Jej zdaniem NDR stanowi bardzo dobrą odpowiedź na zmieniające się trendy w architekturze sieciowej.

– NDR analizuje ruch sieciowy, niezależnie od wykorzystywanej architektury. Działanie systemu bazuje na uczeniu maszynowym i sztucznej inteligencji, a najlepsze rozwiązania w tej klasie są niesygnaturowe, co oznacza, że nie potrzebują predefiniowanej wiedzy o środowisku w jakim będą pracować. NDR uczy się i działa od pierwszego pakietu przeanalizowanego po podłączeniu – tłumaczy Katarzyna Dzidt.

Jeszcze do niedawna bardzo istotnym elementem chroniącym sieć był IDS (Intrusion Detection System) stosujący programowalne sygnatury. Jednak wiele wskazuje na to, że to rozwiązanie będzie wypierane przez NDR. Przyczyną takiego stanu rzeczy jest między innymi rosnąca złożoność ataków, które wykorzystują komunikację wewnętrzną.

– NDR wykrywa wczesne incydenty naruszenia bezpieczeństwa w sieci, dostarcza szczegółowe dowody do analizy kryminalistycznej i ułatwia polowanie na zagrożenia. Cyberprzestępcy zawsze modyfikują złośliwy kod, aby uniknąć wykrycia, aczkolwiek pozostawiają po sobie ślady w sieci. NDR potrafi wykryć te ślady, a tym samym uruchomić procedury wczesnego ostrzegania – mówi Zuzana Cerbakova, Field Marketing Manager w Progressie.

NDR znajduje zastosowanie w praktycznie każdej średniej i dużej organizacji. Niemniej pełnię możliwości tego produktu mogą wykorzystać te firmy, które zatrudniają wysokiej klasy specjalistów od bezpieczeństwa.

Zdaniem integratora

Grzegorz Świtkowski, CEO, Net Complex  

W Polsce mamy do czynienia ze stopniowym przenoszeniem zasobów firmowych do chmury. Coraz więcej przedsiębiorstw w Polsce działa już w modelu hybrydowym. W związku z tym zabezpieczenia muszą obejmować coraz to bardziej rozproszone środowiska. Oferowane rozwiązania bezpieczeństwa powinny zatem być w stanie rozpoznawać się wzajemnie i współpracować niezależnie od miejsca wystąpienia zagrożenia. Systemy klasy NDR najczęściej bez problemu integrują się z innymi rozwiązaniami. Ponadto, wobec ogromnego rozproszenia firmowych sieci, agresorzy mogą w łatwy sposób przenikać do niej i skutecznie ukrywać swoją obecność. W tej sytuacji bardzo ważne jest automatyczne reagowanie na podejrzane zachowania. Przy wykorzystaniu AI i uczenia maszynowego NDR jest w stanie skutecznie wykryć zagrożenie i odpowiednio szybko na nie zareagować.