Большие данные в информационной безопасности: предостережения Gartner для рынка SIEM.

Аналитика больших данных все чаще упоминается как возможный следующий шаг в развитии классических средств обеспечения информационной безопасности. Системы мониторинга событий и выявления инцидентов (SIEM) стали, пожалуй, одними из первых направлений ИБ, куда большие данные пришли в виде готовых технологий. Речь идет о переходе к нереляционным базам данных при хранении в SIEM-системе событий и логов получаемых от источников. Такой переход позволил существенно увеличить мощность систем (количество обрабатываемых событий) и скорость их корреляции для выявления инцидентов. Между тем SIEM-системы все так же в виде поступающих данных принимают классические логи, файлы и отчеты.

Возможность применения уже не просто хранения, а аналитики больших данных и сбора всей доступной информации становится новым витком в развитии SIEM систем и переходом к SIEM следующего поколения. Неспроста в январе 2014 года компания Gartner посвятила этой теме свою новую листовку о решениях мониторинга событий и выявления инцидентов (SIEM). В данной листовке аналитики компании описали свой взгляд и прогнозы развития SIEM систем на ближайшие несколько лет. 

Документ Gartner  посвящен преимущественно  использованию функционала SIEM при обработке больших данных для повышения уровня информационной безопасности компаний.

Широкой общественности доступны  некоторые тезисы указанного документа, обобщившие результаты годичной работы по мониторингу, сравнению и анализу  предлагаемых на рынке технологий анализа больших данных для мониторинга безопасности и выявления инцидентов:

•         В условиях появления новых классов мониторинга при помощи аналитики больших данных (Security Intelligence) SIEM системы были и остаются ключевым и центральным звеном мониторинга информационной безопасности для большинства крупных организаций;
  
•         Шумиха вокруг применения аналитики больших данных в информационной безопасности имеет свои причины, но пока что большие данные остаются лишь словами, а не практическими  технологиями. Многие компании находятся на стадии принятия решения о внедрении  SIEM и пока что не готовы  к адаптации аналитики больших данных для нужд обеспечения информационной безопасности;
•          В ближайшие годы аналитику больших данных активно будут внедрять при обеспечении информационной безопасности лишь самые крупные компании. Информационная безопасность непременно станет еще одной «проблемой больших данных», но в ближайшее время аналитика больших данных будет оставаться слишком дорогой технологией для средних и малых организаций;
•          Компаниям стоит начинать, прежде всего, с аналитики существующих данных. Никаких новых данных! Рекомендуется анализировать уже собранные данные в SIEM, NFT, ETDR и других подобных системах. Расширение объема данных и их формата должно происходить постепенно. Успешная аналитика больших данных возможна лишь только после эффективного и полного анализа уже собранной информации из используемых источников;
•          Не стоит покупать новые решения для аналитики ИБ, особенно промаркированные как «большие данные». До той поры пока аналитики  компаний не приняли новую технологию в качестве рабочей, она будет существовать на рынке в качестве «гламурной темы».  При этом практический результат может быть  нулевой, а инвестиции большими и чрезмерно рискованными.

Очевидно, что при всей нагнетаемой на рыке шумихи вокруг технологий анализа больших данных, пока рано говорить об их полноценном выходе на рынок средств обеспечения информационной безопасности. Не стоит забывать про высокие требования к компетенции специалистов, которые должны будут создать и поддерживать алгоритмы для анализа больших данных при обеспечении защиты: выявлении аномалий, сложных атак, методов сокрытия следов и других передовых видов атак на корпоративную инфраструктуру, против которых классические средства защиты могут быть малоэффективны.