Разработчики российских систем SIEM в ответ на тренды развития ИБ иногда выбирают диаметрально противоположные стратегии развития своих продуктов. Редакция журнала Information Security узнала, как вендоры видят расширение функциональности своих решений, каковы перспективы роста облачных систем этого класса, а также какими изменениями можно оптимизировать уже используемый SIEM. На вопросы журналистов ответил руководитель отдела предпродажной подготовки RuSIEM Даниил Вылегжанин.
Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
Если заказчик планирует использовать Open Source SIEM в своей инфраструктуре, настоятельно отговаривать его вовсе не обязательно, но всегда следует указать на некоторые аспекты и риски, которые часто не учитываются при принятии решения.
Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.
Также некоторые важные для заказчика функции, доступные в коммерческих решениях, могут отсутствовать в продуктах с открытым исходным кодом и надеяться на их появление здесь не приходится. Ни один Open Source проект не предлагает четко сформированной дорожной карты развития продукта с гарантией реализации тех или иных функциональных возможностей. Поэтому в части дальнейшего развития SIEM на базе открытого исходного кода заказчику также придется рассчитывать только на свои силы, а в условиях сильного дефицита ИТ-специалистов такие проекты будут развиваться крайне медленно или вообще могут быть заброшены.
Всегда очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.
Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.
Так или иначе любой из указанных ранее пунктов требует детальной проработки при принятии решения об использовании Open Source SIEM, так как предполагает привлечение большого количества высококвалифицированных специалистов (аналитиков, инженеров и разработчиков) со стороны заказчика для поддержки и развития продукта. И, зачастую, сопровождение SIEM на базе открытого исходного кода может обойтись сильно дороже, чем приобретение коммерческой SIEM-системы.
Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.
Также некоторые важные для заказчика функции, доступные в коммерческих решениях, могут отсутствовать в продуктах с открытым исходным кодом и надеяться на их появление здесь не приходится. Ни один Open Source проект не предлагает четко сформированной дорожной карты развития продукта с гарантией реализации тех или иных функциональных возможностей. Поэтому в части дальнейшего развития SIEM на базе открытого исходного кода заказчику также придется рассчитывать только на свои силы, а в условиях сильного дефицита ИТ-специалистов такие проекты будут развиваться крайне медленно или вообще могут быть заброшены.
Всегда очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.
Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.
Так или иначе любой из указанных ранее пунктов требует детальной проработки при принятии решения об использовании Open Source SIEM, так как предполагает привлечение большого количества высококвалифицированных специалистов (аналитиков, инженеров и разработчиков) со стороны заказчика для поддержки и развития продукта. И, зачастую, сопровождение SIEM на базе открытого исходного кода может обойтись сильно дороже, чем приобретение коммерческой SIEM-системы.
Функциональность каких смежных классов ИБ- и ИТ-решений вы планируете добавить в свой SIEM в ближайшие 2-3 года?
Мы выпустили продукт RuSIEM Monitoring, который позволяет отслеживать состояние объектов информационной инфраструктуры с точки зрения конфигурации, доступности, контроля нагрузки на конечные узлы, запущенных на них служб и процессов, а также имеющий встроенную систему Help Desk. Сначала предполагалось, что этот продукт будет самостоятельным, однако в настоящий момент мы работаем над более тесной интеграцией с нашей SIEM-системой, чтобы предоставить заказчикам возможности мониторинга конечных узлов из единого интерфейса.
Также мы работаем над созданием EDR на базе нашего RuSIEM-агента и параллельно смотрим в сторону собственного IRP/SOAR-решения.
Также мы работаем над созданием EDR на базе нашего RuSIEM-агента и параллельно смотрим в сторону собственного IRP/SOAR-решения.
Какой самый подходящий этап обработки событий для применения элементов ИИ?
Однозначно использование элементов ИИ наиболее эффективно будет на этапах анализа и корреляции событий.
Именно здесь ИИ поможет выявлять скрытые связи и зависимости между событиями, которые человек может попросту не заметить. Искусственный интеллект может помочь с предсказанием будущих угроз и инцидентов на основе анализа различных паттернов, а также автоматизировать принятие решений по реагированию на инциденты.
Именно здесь ИИ поможет выявлять скрытые связи и зависимости между событиями, которые человек может попросту не заметить. Искусственный интеллект может помочь с предсказанием будущих угроз и инцидентов на основе анализа различных паттернов, а также автоматизировать принятие решений по реагированию на инциденты.
Ваши рекомендации заказчикам: как лучше разгрузить SIEM, уже работающий в инфраструктуре?
Следует начать с настройки глубины логирования источников, чтобы собирать и обрабатывать только нужные события. Не менее важна настройка дополнительных правил фильтрации и агрегации событий, а также оптимизация существующих правил корреляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний.
В части хранения и ускорения поиска событий - настройка индексов и использования горячих, теплых или холодных нод для оперативного хранения событий, а также архивов - для экономии дискового пространства при хранении исторических данных.
Для выявления релевантных угроз на более ранних стадиях мы рекомендуем использовать регулярно обновляемые списки индикаторов компрометации или же интеграцию с TI-платформами, а для автоматизации реакции на инциденты - интеграцию с IRP/SOAR-системами.
В части хранения и ускорения поиска событий - настройка индексов и использования горячих, теплых или холодных нод для оперативного хранения событий, а также архивов - для экономии дискового пространства при хранении исторических данных.
Для выявления релевантных угроз на более ранних стадиях мы рекомендуем использовать регулярно обновляемые списки индикаторов компрометации или же интеграцию с TI-платформами, а для автоматизации реакции на инциденты - интеграцию с IRP/SOAR-системами.
