Журнал "Information Security/ Информационная безопасность" #4, 2022

ние систем и отсутствии квалифициро- ванных кадров для работы с ними. Опыт тех, кто уже внедрил SIEM Уже внедрившие SIEM-систему под- тверждают, что опасения тех, кто только присматривается к софту, небеспочвен- ны. На этапе освоения SIEM сложности вызывали согласование бюджетов, внед- рение и поиск нужных кадров для работы с системой. Треть компаний смогли закончить внедрение в сроки, равные нескольким неделям. Но еще треть организаций несколько недель не могли полноценно завершить внедрение, получив в экс- плуатацию продукт, который не вышел на расчетные показатели эффективно- сти. Справедливости ради стоит отме- тить, что ситуация с проблемным внед- рением системы более характерна для зарубежных SIEM-решений – так исто- рически сложилось, что они более слож- ные, чем российские аналоги. Компании часто сталкиваются со слож- ностями при кастомизации и адаптации систем под свои нужды. Опрошенные специалисты отмечали, что недостаточно готовых коннекторов и правил корреля- ции и приходится реализовывать эти функции самостоятельно. 56% опрошенных показали, что не смогли справиться своими силами и прибегли к помощи вендоров и интегра- торов. Дефицит специалистов достаточ- ной квалификации – самая распростра- ненная проблема, с которой сталки- ваются компании, внедрившие SIEM. Что делать? За SIEM-решениями закрепилась слава сложных enterprise-продуктов, что и подтверждают данные опроса. Тем не менее часть сложностей, с которыми сталкиваются при внедрении, можно нивелировать правильной постановкой техзадания перед пилотом. В таком слу- чае на тесте вы увидите, что не все SIEM-системы "одинаково полезны", а именно: l Различаются требования к железу. Нужно просить расчет у разных вендоров под необходимое вам число источников, а позже тестировать. l Различаются требования к подготовке сотрудников. С одной системой, чтобы приступить к работе, нужно пройти мно- гонедельные курсы, а с другой – доста- точно провести вводную беседу с тех- поддержкой. l Различается подход к техподдержке у разных вендоров, например может быть строго регламентировано число обра- щений в месяц. l Разное количество предустановленных правил корреляции и разные возможно- сти для их написания под себя. l Разное количество доступных "из коробки" коннекторов. Их должно быть достаточно, чтобы система начала рабо- тать сразу. Остальные источники можно присоединить позже, но нужно уточнять, насколько сложно писать свой коннек- тор. l Разные системы лицензирования, которые радикально влияют на размер итогового счета. Есть варианты, от учета количества событий в секунду (EPS), потоков в минуту (FPM) и до лицензий по числу хостов. Этот момент нужно прояснять на этапе тестирования. l Разный интерфейс. SIEM регулярно используют не только ИТ- и ИБ-специа- листы, но и сотрудники других профилей, например системные администраторы. Поэтому плюсом будет, если в програм- ме может быстро сориентироваться любой, кто хоть раз открывал "Ворд" или "Эксель". l Разная нагруженность дополнитель- ным функционалом, который может ока- заться невостребованным. Несмотря на сложности, SIEM-систе- ма – отличный программный продукт, который после всех настроек суще- ственно облегчит жизнь, что и подтвер- ждают результаты опроса. Респонден- там задавался вопрос: что мотивирует к покупке SIEM? И в ответах требования регуляторов даже не на первом месте (см. рис. 2). l • 27 SIEM www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru УМНЫЙ ГОРОД ВДНХ OFFLINE ITSEC.RU ONLINE Уход западных вендоров, запрос на практическую безопасность в связи с массовыми атаками на инфраструктуру, требования регуляторов – три ключевых фактора изменений на рынке информационной и кибербезопасности России Форум ITSEC обеспечивает поддержку российских разработчиков и заказчиков: быстрые и содержательные коммуникации для формирования шорт-листа отечественных решений, соответствующих задачам и требованиям заказчиков 04 – 14 октября 2022 Онлайн itsec.ru + Умный город, ВДНХ www.itsec.ru/forum