Российский рынок SIEM последние годы показывал высокие темпы роста, опережая мировой практически в два раза. Вместе с тем, иностранные решения, по разным оценкам, занимали около половины этого рынка.
Геополитический кризис привел к серьезным изменениям этого рынка. Уход иностранных вендоров создал оптимальные условия для развития российских решений и роста «большой тройки» этого сегмента: Kaspersky, RuSIEM и Positive Technologies.
Вместе с тем, часть бизнес-сегмента оказалась в стрессовой ситуации, поскольку необходимо в сжатые сроки перейти с иностранной системы на российскую. В этой статье мы разберемся, почему медлить с переходом нельзя, а также рассмотрим наиболее популярные системы российских вендоров.
Переход с иностранных решений
Некоторые компании сознательно оттягивают процесс интеграции новой SIEM-системы. Для этого есть ряд причин:
В условиях увеличения количества кибератак на российские компании и одновременного ужесточения требований в сфере ИБ со стороны государства, вопрос перехода на российские инструменты становится еще более насущным для множества компаний.
Промедление чревато тем, что процесс интеграции придется проводить в авральном режиме, что неизбежно повлечет ошибки и недоработки, которые могут сказаться на уровне защиты в дальнейшем.
В контексте решений класса SIEM ситуация с импортозамещением более чем благоприятная: есть и выбор, и возможности для качественной интеграции. А главное, прямо сейчас есть время на вдумчивый выбор и качественную интеграцию системы в инфраструктуру компании.
- Кулуарные соглашения. Иностранные компании не хотят терять российских клиентов, несмотря на все трудности взаимодействия, вызванные санкциями в финансовом секторе. Важно понимать, что в данный момент экономика и бизнес определяются политическими процессами, которые ни один из вендоров не может как контролировать, так и предугадать. И выполнение любых договоренностей может оказаться невозможным в любой момент.
- Надежда на возвращение вендоров. В СМИ регулярно можно встретить новости о намерении вернуться тех или иных иностранных компаний из разных отраслей. Теоретические возможности для этого есть, но они пропорциональны вероятности взлома неизбежно теряющей актуальность защитной инфраструктуры компании.
- Попытка справиться своими силами. Или с привлечением сторонних команд. Если оставить за скобками интеграцию opensource-решений (процесс, в котором подводных камней в разы больше, чем при работе с проприетарным продуктом), то любая такая попытка – это создание «костыля», который решает задачу в моменте, но не решает проблему комплексно.
В условиях увеличения количества кибератак на российские компании и одновременного ужесточения требований в сфере ИБ со стороны государства, вопрос перехода на российские инструменты становится еще более насущным для множества компаний.
Промедление чревато тем, что процесс интеграции придется проводить в авральном режиме, что неизбежно повлечет ошибки и недоработки, которые могут сказаться на уровне защиты в дальнейшем.
В контексте решений класса SIEM ситуация с импортозамещением более чем благоприятная: есть и выбор, и возможности для качественной интеграции. А главное, прямо сейчас есть время на вдумчивый выбор и качественную интеграцию системы в инфраструктуру компании.
Недостатки SIEM-систем
Все системы класса SIEM подвержены одним и тем же недостаткам. С позиции информационной безопасности можно выделить следующие:
Есть и условно гибридная группа недостатков. С одной стороны – они, в большей степени, актуальны для бизнеса и руководства компании. С другой – разрешение этих проблем находится в зоне ответственности руководителя ИБ-службы (чаще всего – CISO).
К ним можно отнести:
- Сложность интеграции. SIEM – это не та система, которая ставится на « голую» инфраструктуру, скорее всего компания уже имеет целый арсенал защитных механизмов, которые нужно «связать» с системой и обеспечить эффективное взаимодействие.
- Кастомизация. Чтобы обеспечить высокий уровень эффективности системы, нужно создать множество правил и корреляций. Несмотря на то, что львиную долю таких работ проводит вендор, в полной мере специфику инфраструктуры компании знают только ее штатные специалисты.
- Ложноположительные срабатывания. Большой процент таких событий может привести к тому, что ИБ-специалист будет бесконечно заниматься анализом несущественных событий, а не безопасностью инфраструктуры.
Есть и условно гибридная группа недостатков. С одной стороны – они, в большей степени, актуальны для бизнеса и руководства компании. С другой – разрешение этих проблем находится в зоне ответственности руководителя ИБ-службы (чаще всего – CISO).
К ним можно отнести:
- Обоснование бюджета. Нужна четкая взаимосвязь между издержками на приобретением SIEM и качественными изменениями, которые произойдут в результате. В этом может помочь большое количество справочных и аналитических материалов, которые выпускают вендоры.
- Поиск специалиста. Эффективность эксплуатации системы во многом определяется оператором. Если готового специалиста нет – его нужно найти на рынке труда или выделить уже имеющегося, который пройдет дополнительное обучение.
RuSIEM
За последние несколько лет отечественная компания RuSIEM увеличила свои доли на рынке практически в каждой отрасли. В последнем обновлении 2021-го в продукте была расширена функциональность, оптимизированы ресурсы. Помимо этого клиенты RuSIEM теперь могут загружать индикаторы компрометации.
Также стоит отметить, что теперь у пользователей есть возможность актуализировать информацию об активах компаний в понятном user-friendly интерфейсе. Также реализована возможность писать и запускать автоматизированные скрипты. В последнем обновлении продукта появилась возможность создавать разветвленные структуры реагирования.
Также RuSIEM можно использовать как ядро SOC-центра благодаря комплексному подходу к управлению кибербезопасностью. Теперь продукт может быть полноценно интегрирован с ГосСОПКА благодаря новому модулю НКЦКИ.
Также стоит отметить, что теперь у пользователей есть возможность актуализировать информацию об активах компаний в понятном user-friendly интерфейсе. Также реализована возможность писать и запускать автоматизированные скрипты. В последнем обновлении продукта появилась возможность создавать разветвленные структуры реагирования.
Также RuSIEM можно использовать как ядро SOC-центра благодаря комплексному подходу к управлению кибербезопасностью. Теперь продукт может быть полноценно интегрирован с ГосСОПКА благодаря новому модулю НКЦКИ.
