RuSIEM рассказал о трендах в разработке и внедрении SIEM-систем

Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «AM Live: SIEM 2.0. Новый взгляд на SIEM-системы», которая прошла 15 сентября в Москве. Мероприятие было посвящено обсуждению трансформации SIEM от средств сбора и корреляции событий в сторону комплексных платформ обнаружения, реагирования, расследования и управления информационной безопасностью.

В течение трех часов представители российских ИБ-компаний обсуждали тенденции рынка SIEM-систем, их новые функциональные возможности и их ключевые различия. Сравнивая подходы вендоров и интеграторов к разработке, тестированию и внедрению систем, участники старались ответить на все вопросы, которые возникают у заказчиков на всех этапах, начиная от выбора SIEM и до оценки эффективности ее использования. По мнению технического директора RuSIEM Антона Фишмана, большинство ответов на них зависят от конкретных задач, стоящих перед Заказчиком, а также от производительности, гибкости и масштабируемости системы, которые определяют ее пользовательские характеристики и эффективность работы.

«Де-факто наличие SIEM – это уже стандартная практика в крупных компаниях, которые давно поняли целесообразность ее установки и использования», — подчеркнул спикер. Как и со многими ИБ-решениями, после взрывного роста объема рынка SIEM, когда для одних больших компаний это была реальная необходимость, а другие устанавливали ее вслед за первыми, последовало его качественное развитие. Сегодня о необходимости мониторинга и управления событиями ИБ задумались компании среднего и малого бизнеса, которые в силу бюджетных условий вынуждены оценивать баланс реальных расходов, предотвращенного ущерба и упущенной выгоды на фоне растущих требований отраслевых регуляторов.

По словам Антона Фишмана, основным трендом развития SIEM является сближение задач ИТ и ИБ. «SIEM помогает решать те из них, которые находятся как на стыке, так и «в глубине» функционала каждого из этих направлений. То есть, и контроль уязвимостей, и мониторинг активов и событий, обнаружение широкого спектра угроз – это те задачи, которые SIEM может помогать решать», — отметил он. При этом общая для всех вендоров проблема – «спонсоры» принятия решений на стороне заказчиков не знают, зачем нужны SIEM и какими они должны быть. «Важно донести до ЛПР, что не нужно искать что-то идеальное, что умеет все на свете. Нужно исходить из реальности, конкретных задач, стоящих перед вами, учитывать развитие вашей компании, ландшафта угроз и имеющиеся ресурсы. В компаниях, только приступающих к внедрению ИБ, чаще всего смотрят на соотношение цена/качество решения. Однако необходимо учитывать, что в такой быстро меняющейся среде, как ИТ, нужны, в первую очередь скорость, гибкость и пользовательское удобство системы», — пояснил Фишман.

По мере развития организации возникает необходимость подключения функционала, не входящего в базовую версию SIEM-системы. Поэтому говорить о каких-то единых трендах развития мониторинга и управления событиями ИБ довольно сложно: у каждой категории клиентов свои потребности – в зависимости от размера, сферы деятельности и уровня зрелости. К примеру, SIEM не реализует анализ и контроля сетевого трафика, который необходим клиентам для защиты инфраструктуры организации: это задача отдельных модулей (NTA, DPI). Либо реагирование: базовые функции должны быть встроены в SIEM (например, в виде выполнения скриптов из правил корреляции), но они не заменяют систему оркестровки, автоматизации и реагирования (SOAR). Таким образом, есть два варианта развития SIEM: разработчик либо предоставляет комплексное решение, включающее SIEM и дополнительные функциональные модули и системы, либо предлагает возможность интеграции SIEM с решениями других вендоров. «Мы пошли по пути интеграции. Если говорить о реагировании, то наша система позволяет строить базовые сценарии реагирования, есть планы по разработке своих решений в будущем, но пока мы идем по пути возможности интеграции с предложенными на рынке SOAR», — уточнил спикер.

24 сентября, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных