“Достаточно собрать побольше логов, и всё будет под контролем”
— так сегодня мыслят многие. Но этот принцип давно не работает против реальных угроз. И слепая гонка за объёмом данных только создаёт иллюзию защиты.
Корни догмы: от производственных линий до SIEM
Связь между количеством данных и уровнем контроля пришла из промышленности XX века. Чтобы управлять конвейером, нужно было замерить каждую деталь и операцию. Этот детерминированный подход перекочевал в IT-безопасность, когда она стала масштабной индустрией.
Позже возможности догнали идеологию: хранилища подешевели, вычислительные мощности выросли. Теперь можно было собирать вообще всё. Маркетинг вендоров SIEM-решений укрепил связку: чем больше логов — тем точнее корреляции и тем раньше обнаружится угроза. Формальные требования регуляторов, такие как 152-ФЗ и приказы ФСТЭК, закрепили это как обязательную практику. Так сбор данных из операционной необходимости превратился в самоцель.
Пределы полезности: когда SIEM захлёбывается
SIEM-система, это не панацея, а узкое горлышко. После определённого порога каждый новый гигабайт логов снижает её эффективность. На практике это выглядит так:
- Сигнал тонет в шуме. До 99% событий в логах, это штатная, легитимная деятельность. Настоящая атака растворяется в этом потоке. Аналитик физически не способен просматривать миллионы строк.
- Контекст теряется. Попытка несанкционированного доступа к критичному серверу выглядит в логах так же, как тысячи служебных запросов. Система и люди начинают игнорировать сигналы.
- Растут задержки. Обработка терабайтов сырых данных замедляет индексацию и выполнение правил корреляции. В момент активной атаки это может стоить драгоценных минут.
В итоге центр мониторинга безопасности превращается в комнату с сотнями мигающих лампочек, на которые уже никто не обращает внимания.
Тупик в обнаружении утечек
В системах DLP миф о всесилии больших данных проявляется особенно ярко. Классический подход предполагает анализ всего исходящего трафика для поиска точных совпадений с “отпечатками” конфиденциальных файлов.
Но методы утечек давно изменились. Полный документ никто не отправит. Его разберут на фрагменты, замаскируют под картинку, передадут через легитимный облачный сервис или просто сфотографируют с экрана.
DLP, заваленная триллионами событий о пересылке мемов в чате, потратит все ресурсы на их анализ, но пропустит утечку, скрытую в аудиозаписи звонка. Качество обнаружения определяет не объём просканированного трафика, а способность системы понять намерение и контекст — то, чего большинству решений не хватает.
Подмена цели: отчёт для регулятора вместо защиты
Формализованные требования ФСТЭК часто описывают, что и сколько нужно логировать, но не как эти данные использовать для реальной защиты.
Это приводит к подмене цели. Изначальная задача — предотвратить инцидент — подменяется задачей “гарантированно собрать требуемые логи для проверки”. Системы настраиваются так, чтобы выполнить формальные критерии, а не так, чтобы эти данные помогали выявлять атаки.
Например, требование “регистрировать попытки доступа” рождает гигабайты логов, где 99%, это обращение поисковых ботов к веб-серверу. С точки зрения проверяющего требование выполнено. Но для обнаружения целенаправленного сканирования уязвимостей эти данные бесполезны без сложных фильтров и поведенческого анализа, которые правилами не предусмотрены.
Сдвиг парадигмы: от количества к смыслу
Выход из тупика — перестать собирать всё подряд и начать собирать правильно. Фокус должен сместиться с объёма на релевантность и понимание.
Эффективнее работает стратегия целевого сбора:
- Моделирование угроз. Сначала определить, какие активы критичны и как на них могут напасть. Логировать нужно в первую очередь события, связанные с этими сценариями.
- Определение нормального поведения. Изучить, как система работает в штатном режиме, и настраивать алерты только на значимые отклонения от этой базы. Это сразу отсекает львиную долю шума.
- Семантическая телеметрия. Переход от сырых событий (“пользователь запросил файл”) к обогащённым контекстом инцидентам (“пользователь из отдела бухгалтерии в нерабочее время запросил файл проекта, к которому у него нет прав”). Для этого нужны данные из правильных источников: систем контроля доступа, CMDB, кадровых систем.
Такая настройка сложнее и требует глубокого понимания своей инфраструктуры. Но на выходе получается не гора нечитаемых логов, а управляемый поток высококачественных сигналов, по которым можно действовать.
Данные, это не финиш, а старт
Уравнение “больше данных = выше безопасность” оказалось ложным. Данные, это сырьё. Без механизмов очистки, обогащения и осмысления их объём становится проблемой.
Современные атаки — целенаправленные, скрытные, использующие легитимные инструменты — не обнаруживаются простым складированием журналов. Их выявляет интеллектуальный анализ, понимание контекста и связывание разрозненных событий в единый нарратив атаки.
Слепая вера в объём отвлекает ресурсы от развития этих способностей. Задача сейчас — отказаться от устаревшей догмы. Ценность представляет не факт сбора, а качество получаемых из данных выводов. Безопасность строится на превращении информации в знание и действия.