RuSIEM рассказал о трендах в разработке и внедрении SIEM-систем

Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «AM Live: SIEM 2.0. Новый взгляд на SIEM-системы», которая прошла 15 сентября в Москве. Мероприятие было посвящено обсуждению трансформации SIEM от средств сбора и корреляции событий в сторону комплексных платформ обнаружения, реагирования, расследования и управления информационной безопасностью.

В течение трех часов представители российских ИБ-компаний обсуждали тенденции рынка SIEM-систем, их новые функциональные возможности и их ключевые различия. Сравнивая подходы вендоров и интеграторов к разработке, тестированию и внедрению систем, участники старались ответить на все вопросы, которые возникают у заказчиков на всех этапах, начиная от выбора SIEM и до оценки эффективности ее использования. По мнению технического директора RuSIEM Антона Фишмана, большинство ответов на них зависят от конкретных задач, стоящих перед Заказчиком, а также от производительности, гибкости и масштабируемости системы, которые определяют ее пользовательские характеристики и эффективность работы.

«Де-факто наличие SIEM – это уже стандартная практика в крупных компаниях, которые давно поняли целесообразность ее установки и использования», — подчеркнул спикер. Как и со многими ИБ-решениями, после взрывного роста объема рынка SIEM, когда для одних больших компаний это была реальная необходимость, а другие устанавливали ее вслед за первыми, последовало его качественное развитие. Сегодня о необходимости мониторинга и управления событиями ИБ задумались компании среднего и малого бизнеса, которые в силу бюджетных условий вынуждены оценивать баланс реальных расходов, предотвращенного ущерба и упущенной выгоды на фоне растущих требований отраслевых регуляторов.

По словам Антона Фишмана, основным трендом развития SIEM является сближение задач ИТ и ИБ. «SIEM помогает решать те из них, которые находятся как на стыке, так и «в глубине» функционала каждого из этих направлений. То есть, и контроль уязвимостей, и мониторинг активов и событий, обнаружение широкого спектра угроз – это те задачи, которые SIEM может помогать решать», — отметил он. При этом общая для всех вендоров проблема – «спонсоры» принятия решений на стороне заказчиков не знают, зачем нужны SIEM и какими они должны быть. «Важно донести до ЛПР, что не нужно искать что-то идеальное, что умеет все на свете. Нужно исходить из реальности, конкретных задач, стоящих перед вами, учитывать развитие вашей компании, ландшафта угроз и имеющиеся ресурсы. В компаниях, только приступающих к внедрению ИБ, чаще всего смотрят на соотношение цена/качество решения. Однако необходимо учитывать, что в такой быстро меняющейся среде, как ИТ, нужны, в первую очередь скорость, гибкость и пользовательское удобство системы», — пояснил Фишман.

По мере развития организации возникает необходимость подключения функционала, не входящего в базовую версию SIEM-системы. Поэтому говорить о каких-то единых трендах развития мониторинга и управления событиями ИБ довольно сложно: у каждой категории клиентов свои потребности – в зависимости от размера, сферы деятельности и уровня зрелости. К примеру, SIEM не реализует анализ и контроля сетевого трафика, который необходим клиентам для защиты инфраструктуры организации: это задача отдельных модулей (NTA, DPI). Либо реагирование: базовые функции должны быть встроены в SIEM (например, в виде выполнения скриптов из правил корреляции), но они не заменяют систему оркестровки, автоматизации и реагирования (SOAR). Таким образом, есть два варианта развития SIEM: разработчик либо предоставляет комплексное решение, включающее SIEM и дополнительные функциональные модули и системы, либо предлагает возможность интеграции SIEM с решениями других вендоров. «Мы пошли по пути интеграции. Если говорить о реагировании, то наша система позволяет строить базовые сценарии реагирования, есть планы по разработке своих решений в будущем, но пока мы идем по пути возможности интеграции с предложенными на рынке SOAR», — уточнил спикер.

24 сентября, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных