Sber privacy journal [Автор Неизвестен] (pdf) читать постранично, страница - 2

используют SIEM (Security information and
event management) – систему управления
информацией о безопасности и событиями
безопасности, которая позволяет централизованно обрабатывать данные журналов
регистрации событий, поступающих из различных информационных систем, тем самым
повышая уровень защиты персональных данных в компании. SIEM-системы используются
для построения центров мониторинга информационной безопасности (SOC, Security
Operations Center)4.

Разберем подробнее,
что такое SIEM
SIEM – это технология, предназначенная для сбора и анализа информации о событиях безопасности. Аббревиатура SIEM5
объединяет в себе две концепции: управление информацией о безопасности (SIM) и
управление событиями безопасности (SEM).
Под первой понимается сбор, хранение и
анализ исторических данных, относящихся
к безопасности, под второй – процесс мониторинга и анализа событий безопасности
в режиме реального времени, позволяющий
устранить угрозы, выявить закономерности
и реагировать на инциденты. SEM-система
тщательно следит за определенными событиями, которые могут требовать незамедлительного реагирования.

Роскомнадзор подтвердил почти 70 сигналов об утечках персональных данных. Интерфакс. URL: https://www.interfax.ru/russia/904565 (дата обращения
27.09.2023).
1

2
В открытом доступе находится 340 млн. учетных записей россиян. RSpectr.
URL: https://rspectr.com/novosti/v-otkrytom-dostupe-nahoditsya-340-mlnuchetnyh-zapisej-rossiyan; РТК «Солар». Отчет о ключевых внешних цифровых
угрозах для российских компаний в январе-апреле 2023 года. URl: https://rtsolar.ru/analytics/reports/3452/ (дата обращения 27.09.2023).

«Пробив» – это противозаконная услуга, с помощью которой злоумышленники получают из имеющихся источников информацию о конкретных
людях. Подробнее про анализ теневого рынка персональных данных читайте
в 4-м выпуске Sber Privacy Journal. URL: http://www.sberbank.ru/common/img/
uploaded/kibrary/dpo/sbp_journal_vol4.pdf (дата обращения 27.09.2023).
3

ВЫП. 06 | СЕНТЯБРЬ 2023

SBER PRIVACY JOURNAL

Таким образом, решение SIEM объединяет возможности этих двух подходов в одну
централизованную систему.

4
В частности, SIEM используется SOC СберБанка и иными компаниями, которые предоставляют услуги обеспечения информационной безопасности.
5
Что такое SIEM? Microsoft Security. URL: https://www.microsoft.com/ru-ru/
security/business/security-101/what-is-siem (дата обращения 27.09.2023).

5

Технологии
Путь развития SIEM
Эволюция SIEM происходила благодаря крупным компаниям, которые нуждались в автоматизированном и комплексном инструменте обнаружения
угроз информационной безопасности в режиме реального времени. Из-за стремительного увеличения
объемов данных, обрабатываемых системой, SIEM с
течением времени совершенствовались. Для того,
чтобы понять всю «мощь» данного решения, проследим как оно развивалась.
Появление первого поколения 6 SIEM-систем
в 2005 году открыло новые возможности в области
защиты данных. Впервые объединив в себе управление событиями безопасности с управлением информацией о безопасности, которые ранее были
разделены, SIEM-система позволила специалистам
кибербезопасности стать более эффективными при
работе в сложных ИТ-инфраструктурах. Однако
первые системы имели ряд недостатков. Они плохо
масштабировались, были ограничены в сложности
создаваемых ими оповещений и страдали плохой
визуализацией. Также каждый этап процесса мониторинга и реагирования требовал ручного вмешательства специалистов.
Главным отличием SIEM-систем второго поколения стала возможность масштабирования. Также
были улучшены отчеты и информационные панели
мониторинга. Хранение данных длительное время
в SIEM первого поколения было не востребовано,
поскольку система не могла эффективно запрашивать данные архивных событий (от нескольких

6
Поколения SIEM. URL: https://www.exabeam.com/explainers/siem-security/asiem-security-primer/ (дата обращения 27.09.2023).

6

недель). Появление масштабируемых систем хранения данных позволило SIEM второго поколения
использовать анализ больших данных. Это означало,
что теперь данные могли запрашиваться за гораздо
более длительный период. Следовательно, система
имела больше данных для формирования событий
по инцидентам, что повысило вероятность их обнаружения и возможности реагирования на них.
Соответственно, первое поколение SIEM-систем предоставило специалистам кибербезопасности возможность быть эффективными, однако
второе поколение отняло эту возможность, предоставив больше данных, чем они могли обработать.
В развитие третьего поколения SIEM-систем
внес свой вклад анализ поведения пользователей и
объектов (UEBA, User and Entity Behavior Analytics).
UEBA7 использует инновационные аналитические
технологии, включая алгоритмы машинного обучения, что позволяет выявлять потенциально опасное
поведение пользователей и устройств. UEBA расширил видимость SIEM-систем с помощью своих возможностей обнаружения инцидентов. Данная технология способна определять события безопасности,
которые другими средствами защиты не определяются в силу их несоответствия