19.09.2022

Как выбрать российскую SIEM-систему

Интернет-портал ANTI-MALWARE.ru
Эфир AM Live, экспертный комментарий Максима Степченкова, совладельца компании RuSIEM

Российские SIEM переживают сейчас время бурного роста. После ухода зарубежных вендоров интерес к отечественным продуктам заметно увеличился. Как выбирать российскую SIEM-систему, на какие технические параметры обратить внимание?

Новый эфир AM Live был посвящён ситуации, которая сложилась на российском рынке SIEM после ухода зарубежных вендоров. Хотя ни одна из иностранных SIEM не прекратила работу, многие российские заказчики всё-таки стали активно изучать возможности перехода на российское ПО. Этому способствует геополитическая ситуация, а также указ № 250, устанавливающий запрет на использование с 1 января 2025 года средств защиты информации из недружественных стран.

Участники дискуссии обсудили в ходе эфира AM Live то, как меняются требования заказчиков к SIEM-системам, какую производительность они ожидают получить от российских SIEM, какие сложности возникают при миграции на российские SIEM, и другие вопросы.

В обсуждении приняли участие ведущие эксперты российского рынка:

  • Алексей Павлов, директор по развитию бизнеса центра противодействия кибератакам Solar JSOC, «РТК-Солар».
  • Максим Степченков, совладелец компании RuSIEM.
  • Александр Дорофеев, генеральный директор компании «Эшелон Технологии».
  • Эльман Бейбутов, руководитель направления мониторинга событий информационной безопасности, Positive Technologies.
  • Илья Маркелов, руководитель направления развития единой корпоративной платформы, менеджер продукта KUMA SIEM, «Лаборатория Касперского».
  • Вадим Порошин, руководитель отдела поддержки продаж, «Пангео Радар».
  • Николай Климов, начальник отдела решений кибербезопасности ДИТ Москвы.

Модератором дискуссии выступил Иван Чернов, менеджер по развитию UserGate. Прямой эфир AM Live состоялся 14 сентября 2022 года.

« Золотое» время для российских SIEM наступило…

Ещё в начале февраля российский рынок SIEM был представлен как российскими решениями, так и западными. Последующий уход западных игроков освободил рынок. Стало ли новое время «золотым» для российских вендоров?

Как заявил Алексей Павлов («РТК-Солар»), «ситуация на рынке сейчас непростая. Пока заказчики осторожно присматриваются к отечественным продуктам. Во-первых, западные вендоры не отключали своих SIEM в России, поэтому у российских компаний ещё есть время, чтобы подумать и выбрать». Рассказывая о предыдущем опыте, Алексей Павлов отметил, что раньше «РТК-Солар» пользовался западным SIEM. Теперь компания находится в процессе миграции, но та затронула не всех клиентов. Заказчики не торопятся. Они ведут «двойную игру»: не принимают быстрых решений, заставляя российских вендоров снижать цены и соревноваться с другими участниками рынка.

«Российский рынок ожидает не только роста спроса на SIEM, но и появления новых продуктов с новыми возможностями под реалии рынка», — считает Вадим Порошин («Пангео Радар»). «Мы тоже наблюдаем резкий рост запросов, — подтверждает оценку рынка Эльман Бейбутов (Positive Technologies). — Большинство организаций присматриваются сразу к нескольким продуктам и стараются выбрать подходящий для себя. Основная динамика перехода будет в 2023-2024 годах. Этому будет способствовать указ № 250, а также стагнация установленных западных решений (IBM QRadar SIEM, Splunk Enterprise Security, Micro Focus ArcSight и др.) из-за невозможности обновлений и прямой технической поддержки».

«Если смотреть на ситуацию со стороны разработчиков, — продолжил Максим Степченков (RuSIEM), — на рынке появились клиенты, которые хотят или вынуждены переходить на российские SIEM. Но не всё так просто. Фактически происходит подавление конкуренции. С одной стороны, это хорошо, но…» 

По мнению совладельца RuSIEM, ещё до середины февраля российская отрасль разработки SIEM уверенно шла вперёд. Сейчас многие вендоры могут остановиться, решив, что «у нас и так достаточно рынка». Необходимо, чтобы российские компании не только были нацелены на развитие в рамках отечественной среды, но и выходили на международный рынок. Тогда они смогут удерживать высокий уровень разработок.

Российские и зарубежные SIEM: что выбирать?

Как считает Вадим Порошин («Пангео Радар»), «по функциональному наполнению российские системы уже схожи с западными. В реализации некоторых функций они даже опережают их. Например, у отечественных SIEM есть функции специфичные для российских заказчиков: интеграция с НКЦКИ, использование российских источников подключения».

Максим Степченков (RuSIEM) отмечает преимущество российских SIEM в виде готовности их разработчиков адаптировать / достраивать решения до требований заказчика. «Это относится не только к российским инсталляциям. Оно является привлекательным и для иностранных заказчиков». «Российские SIEM отличаются доступностью, — добавляет Александр Дорофеев («Эшелон Технологии»). — Многие решения доступны бесплатно для тестирования. Для западных SIEM это ещё не стало правилом».

«С точки зрения прикладных ИБ-задач все необходимые инструменты уже имеются в отечественных SIEM, — высказал своё мнение Эльман Бейбутов (Positive Technologies). — Но ещё есть направления, куда развиваться».

Алексей Павлов («РТК-Солар»): «Всё ещё остаются вопросы к производительности, мультитенантности, иерархии сквозного поиска. В этом направлении развиваются западные вендоры. Туда следует идти и российским разработчикам».

По мнению Ильи Маркелова («Лаборатория Касперского»), для российских вендоров нет задачи создать точный аналог IBM QRadar или Micro Focus ArcSight. Их задача — предложить решение удовлетворяющее отечественного заказчика. «Главный вектор развития российских SIEM сейчас направлен на развитие функций интеграции. Ведь SIEM — это экосистемный продукт».

Особое мнение по поводу совершенства российских SIEM высказал Николай Климов (ДИТ Москвы). Используя в первую очередь IBM QRadar SIEM и Splunk Enterprise Security, ДИТ уже давно проводит пилотные проекты и с российскими системами, например MaxPatrol SIEM, и «пока паритет не достигнут». Проблема всех российских SIEM, по мнению представителя ДИТ, состоит в том, что основное внимание уделяется инфраструктуре (поддержке баз данных, обработке сообщений и пр.). В реальности же это далеко от ожиданий бизнеса.

«Если не углубляться в детали, практически все SIEM выстроены на приблизительно одинаковой архитектуре. Выбор БД / поисковой системы — это ClickHouse («Яндекс») либо Elasticsearch (SSPL). Всё остальное остаётся за кадром для заказчика! Но в российских SIEM не учитывается, что большинство собираемых ими данных уже присутствует в ИТ-блоке. Если многие западные решения умеют встраиваться в существующие информационные потоки, то российские SIEM порождают новый клон данных. Этот подход приводит к повышенной нагрузке на инфраструктуру, повышает трудозатраты. Внедрение российских правил экспертизы требует привлечения ручного труда, что сильно сдерживает их принятие.

На что обращать внимание при выборе SIEM?

Алексей Павлов («РТК-Солар») выделил следующие критерии выбора SIEM:

Для небольших компаний — цена и наличие базовой функциональности: поддержка событий, стабильная работа, наличие корреляционного ядра (желательно — в графическом интерфейсе и с программной поддержкой).

Для средних компаний B2I или B2G — степень сжатия данных при пересылке событий в ядро, количество внедрений в отрасли.

Для крупных компаний — реально востребованная функциональность и архитектура решения. Для первого следует подготовить список, скажем, из 20 правил и провести сравнительное тестирование для разных SIEM; для второго — проработать планы будущего масштабирования.

«Если выбирать три главных признака, — добавил Александр Дорофеев («Эшелон Технологии»), — то первое — это соотношение производительности и выбор требуемого оборудования; второе — это открытость системы (API), чтобы пользователь мог подключить любой источник самостоятельно без обращения к вендору / партнёру; третье — поддержка отечественной инфраструктуры».

Эльман Бейбутов (Positive Technologies) добавил следующее: «SIEM примечателен для заказчика своими детектами и умением гибко отвечать запросам ИБ. Эти системы должны предоставлять гибкую возможность для составления правил детекта с последующей обработкой внутри SIEM. Это интересно компаниям, у которых есть понимание векторов атак и угроз. В случае его отсутствия заказчику важно получить практическую экспертизу от вендора. Второе — следует обращать внимание на качество технической поддержки. Если вендор откладывает решение, то в “час икс” его реакция также будет неспешной». По мнению Вадима Порошина («Пангео Радар»), самым важным для заказчиков являются выбор архитектуры продукта, его производительность и масштабируемость. «Наилучшей следует считать систему, которая умеет автоматически подстраиваться при быстром нарастании потока событий. Это актуально сейчас, когда поток инцидентов значительно вырос. Следует обращать внимание также на поддержку российских ОС».

Для заказчиков из среднего и крупного бизнеса с экспертизой в SIEM главными объектами внимания должны стать не только функциональные, но и логистические возможности, считает Илья Маркелов («Лаборатория Касперского»). Например, важно, насколько гибко SIEM будет отражать изменения при подключении новых филиалов или изменении топологии сети. «Следует также посчитать совокупную стоимость владения, оценить стоимость лицензий на несколько лет вперёд, стоимость оборудования, сопутствующего ПО. Необходимо оценить, насколько будущая SIEM впишется в ИТ-инфраструктуру компании в целом. Необходимо убедиться и в наличии экспертизы, достаточной для эксплуатации SIEM. Иначе потребуется привлекать сервис-провайдера».

Максим Степченков (RuSIEM) предлагает сразу проводить «боевое» тестирование SIEM. «Если планировать работать с SIEM долго, то надо тестировать сразу на всей сети, а не на тестовом сегменте. Это даст оценку реальных аппаратных требований. Не стоит забывать также о поддержке функций ML и мультитенантности, оценить простоту эксплуатации».

Архитектура и конфигурация SIEM

Тема оценки архитектуры SIEM заставила участников обсудить проблему производительности.

«С одной стороны, высокопроизводительная база — это гарантия быстрого получения данных для проверки событий, с другой — ограниченное по размеру хранилище. Ядро должно уметь балансировать нагрузку между несколькими хранилищами, обеспечивая приемлемую производительность. Коллекторы должны быть производительными и хорошо сжимать данные, ядро должно позволять разносить функции при больших инсталляциях. Важно предусмотреть в инфраструктуре высокопроизводительный кластер для хранения данных», — заявил Алексей Павлов («РТК-Солар»).

По мнению Вадима Порошина («Пангео Радар»), важно обратить внимание на то, как решена задача централизации управления сервисами ИБ, насколько гибкими в управлении являются инструменты. Важна совместимость коллекторов данных с различными ОС, прежде всего Windows и Linux.

Илья Маркелов («Лаборатория Касперского») обратил внимание на следующее: «Важное значение имеет вопрос о реальных возможностях централизации процессов ИБ: можно ли проводить централизованный поиск, настройку установленных компонентов ИБ-системы и так далее? SIEM должна уметь адаптироваться под запросы бизнеса, например при сложной филиальной структуре».

Максим Степченков (RuSIEM) считает, что для большинства заказчиков нет большой разницы, какая архитектура используется внутри. Сопровождением SIEM занимается интегратор, сам заказчик может не вникать в особенности архитектуры. Исключение составляют только особо крупные компании. «Заказчикам должны быть важны возможности горизонтального и вертикального масштабирования, поддержка мультитенантности, а также отсутствие потерь в потоке событий, потому что этот признак наиболее ярко отражает качество SIEM».

Говоря о необходимости контроля совместимости с российскими процессорами, Максим Степченков отметил, что на рынке практически нет заказчиков с такими запросами. «Реальные перспективы их появления не определены, по крайней мере в ближайшем будущем. Поэтому затраты на R&D лишены смысла».

Эксплуатация SIEM

Быстрый уход западных вендоров привёл к тому, что сейчас в России нет реального профессионального сообщества вокруг отечественных SIEM. Есть только чаты вокруг некоторых продуктов, но их наполнением занимаются вендоры, а не комьюнити.

Однако ещё недавно активно работало сообщество, сформировавшееся вокруг Micro Focus ArcSight. Там можно было найти много полезных ответов от других участников рынка, обменяться парсерами и т. п.

Лицензирование SIEM

По мнению Николая Климова (ДИТ Москвы), наилучшей для заказчиков является схема лицензирования по объёму данных. «В этом случае превышение размера хранилища не ведёт к блокировке сервиса, а вызывает только увеличение платежей. Одновременно это заставляет задуматься, нужен ли такой объём данных или можно обойтись меньшим объёмом». Лицензирование по нодам инсталляции является препятствием при необходимости масштабирования решения, считает представитель ДИТ.

Next Generation SIEM

Что такое Next Generation SIEM? Мнения участников эфира по этому вопросу разделились. По мнению Вадима Порошина («Пангео Радар»), речь идёт о дополнении существующих SIEM новыми модулями, связанными с ML, AI, автоматизацией и т. д. Другим важным признаком систем нового поколения должно стать их умение интегрироваться с уже существующими хранилищами событийных данных и выявлять инциденты без создания дополнительных хранилищ, дополняя систему отсутствующими индикаторами. По мнению Ильи Маркелова («Лаборатория Касперского»), NG SIEM имеет также ряд организационных и маркетинговых признаков. «Главная цель этих систем — повысить эффективность работы команд безопасности, опираясь на добавление сценариев ML, автоматизации».

Что будет, если зарубежные вендоры вернутся?

Максим Степченков (RuSIEM): — Те компании, на которые не распространяется действие указа № 250, продолжат использовать западные SIEM и без этого.

Эльман Бейбутов (Positive Technologies): — Возвращение западных SIEM на российский рынок будет иметь положительный эффект для рынка. Их присутствие создаёт нормальную конкурентную среду, условия для распространения технологий и сохранения ранее сделанных инвестиций и экспертизы. Мы — за реальную безопасность.

Илья Маркелов («Лаборатория Касперского»): — Надеюсь, что западные вендоры вернутся. Но смогут ли они вернуть доверие к себе со стороны заказчиков? Это вызывает пока сомнения.

Вадим Порошин («Пангео Радар»): — Через два года российские SIEM станут значительно более сильными продуктами.

Алексей Павлов («РТК-Солар»): — Российские компании, которые заменят сейчас западные SIEM на российские, уже не вернутся на западные продукты.

Выводы

Российский рынок SIEM стал значительно более открытым для российских систем с уходом западных вендоров. Станет ли это стимулом для бурного роста российских разработок или, наоборот, повлечёт за собой их стагнацию? Все участники эфира согласились, что нынешнее время стало «золотым» для российских производителей. Но смогут ли те воспользоваться преимуществом, покажет только время.

Видеозапись

Источник публикации