Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «AM Live: SIEM 2.0. Новый взгляд на SIEM-системы», которая прошла 15 сентября в Москве. Мероприятие было посвящено обсуждению трансформации SIEM от средств сбора и корреляции событий в сторону комплексных платформ обнаружения, реагирования, расследования и управления информационной безопасностью.
В течение трех часов представители российских ИБ-компаний обсуждали тенденции рынка SIEM-систем, их новые функциональные возможности и их ключевые различия. Сравнивая подходы вендоров и интеграторов к разработке, тестированию и внедрению систем, участники старались ответить на все вопросы, которые возникают у заказчиков на всех этапах, начиная от выбора SIEM и до оценки эффективности ее использования. По мнению технического директора RuSIEM Антона Фишмана, большинство ответов на них зависят от конкретных задач, стоящих перед Заказчиком, а также от производительности, гибкости и масштабируемости системы, которые определяют ее пользовательские характеристики и эффективность работы.
«Де-факто наличие SIEM – это уже стандартная практика в крупных компаниях, которые давно поняли целесообразность ее установки и использования», — подчеркнул спикер. Как и со многими ИБ-решениями, после взрывного роста объема рынка SIEM, когда для одних больших компаний это была реальная необходимость, а другие устанавливали ее вслед за первыми, последовало его качественное развитие. Сегодня о необходимости мониторинга и управления событиями ИБ задумались компании среднего и малого бизнеса, которые в силу бюджетных условий вынуждены оценивать баланс реальных расходов, предотвращенного ущерба и упущенной выгоды на фоне растущих требований отраслевых регуляторов.
По словам Антона Фишмана, основным трендом развития SIEM является сближение задач ИТ и ИБ. «SIEM помогает решать те из них, которые находятся как на стыке, так и «в глубине» функционала каждого из этих направлений. То есть, и контроль уязвимостей, и мониторинг активов и событий, обнаружение широкого спектра угроз – это те задачи, которые SIEM может помогать решать», — отметил он. При этом общая для всех вендоров проблема – «спонсоры» принятия решений на стороне заказчиков не знают, зачем нужны SIEM и какими они должны быть. «Важно донести до ЛПР, что не нужно искать что-то идеальное, что умеет все на свете. Нужно исходить из реальности, конкретных задач, стоящих перед вами, учитывать развитие вашей компании, ландшафта угроз и имеющиеся ресурсы. В компаниях, только приступающих к внедрению ИБ, чаще всего смотрят на соотношение цена/качество решения. Однако необходимо учитывать, что в такой быстро меняющейся среде, как ИТ, нужны, в первую очередь скорость, гибкость и пользовательское удобство системы», — пояснил Фишман.
По мере развития организации возникает необходимость подключения функционала, не входящего в базовую версию SIEM-системы. Поэтому говорить о каких-то единых трендах развития мониторинга и управления событиями ИБ довольно сложно: у каждой категории клиентов свои потребности – в зависимости от размера, сферы деятельности и уровня зрелости. К примеру, SIEM не реализует анализ и контроля сетевого трафика, который необходим клиентам для защиты инфраструктуры организации: это задача отдельных модулей (NTA, DPI). Либо реагирование: базовые функции должны быть встроены в SIEM (например, в виде выполнения скриптов из правил корреляции), но они не заменяют систему оркестровки, автоматизации и реагирования (SOAR). Таким образом, есть два варианта развития SIEM: разработчик либо предоставляет комплексное решение, включающее SIEM и дополнительные функциональные модули и системы, либо предлагает возможность интеграции SIEM с решениями других вендоров. «Мы пошли по пути интеграции. Если говорить о реагировании, то наша система позволяет строить базовые сценарии реагирования, есть планы по разработке своих решений в будущем, но пока мы идем по пути возможности интеграции с предложенными на рынке SOAR», — уточнил спикер.
.png)