История разработки SIEM-систем

Сегодня использование SIEM-систем не только решает задачи по защите бизнеса, но и входит в число обязательных систем информационной безопасности по целому ряду стандартов и требований регуляторов:

• Стандарт ГОСТ Р ИСО/МЭК 27002-2021 (с 30.11.2021);
• ФЗ-187;
• Приказ ФСТЭК 21, 31;
• ГОСТ Р 57580.1 и другие.

Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся что такое SIEM-система, какую миссию выполняет, познакомимся с ведущими вендорами и узнаем с чего все начиналось.

В любой организации большое количество различных систем, которые генерируют еще большее количество логов: миллионы, десятки миллионов, сотни миллионов событий. И требуется каким-то образом отслеживать и обрабатывать эти события.

SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.

При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.

Большие корпорации нуждаются в решении, которое отвечало бы их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество».

Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.

Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:

• KOMRAD Enterprise SIEM
• RUSIEM
• MaxPatrol SIEM

Основное преимущество RUSIEM мы видим в невысокой стоимости внедрения и поддержки, а также богатой функциональности. Существует три версии продукта: RuSIEM free, RuSIEM и RuSIEM Analytics.

• RuSIEM free — бесплатно распространяемая версия с урезанным функционалом.
• RuSIEM — версия, имеющая расширенные возможности корреляции, инцидент-менеджмента и риск-менеджмента, то есть являющаяся полноценной системой класса SIEM.
• RuSIEM Analytics дополняет RuSIEM возможностями по управлению активами и выявлению аномалий на базе машинного обучения.

Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.

Подробную историю развития RuSIEM можно прочитать здесь.

К менеджменту инцидентов информационной безопасности предъявляются все большие требования бизнеса и регуляторов. SIEM-системы помогают обеспечить последовательный и эффективный подход к работе с инцидентами ИБ, чем значительно облегчают жизнь администраторов по безопасности.

Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре, задача не из простых. Задать вопросы, понять какая система решит ваши задачи и будет соответствовать всем требованиям вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.