Журнал "Information Security/ Информационная безопасность" #4, 2022

Павел Пугач, СёрчИнформ: Нельзя сказать, что до сих пор рос- сийские SIEM были непродуктивны. Они уже несколько лет конкурентоспособны на мировом рынке и функционально не уступают иностранным аналогам. Но сей- час наши SIEM ориентируются в боль- шей степени на внутреннего заказчика, ведь освободилась огромная ниша, и возможности наших SIEM стали оче- виднее для заказчиков. Основной вектор развития сейчас, как ни крути, – импор- тозамещение, независимо от того, нужно ли замещать саму SIEM либо SIEM должна в своем составе заменить какие- либо компоненты или поддержать новые источники российского происхождения. В остальном происходит эволюционное развитие. Анна Андреева, Лаборатория информационной безопасности: Для начала требуется наличие боль- шой постоянно обновляющейся базы правил детектирования, широкая под- держка различных коннекторов и доступ- ная стоимость. Напрашивающееся направление развития – использование bigdata-решений, например TH-запросы и модели ML, а также IRP и TI-платфор- мы, интегрированные в SIEM. Роман Ванерке, ДиалогНаука: SIEM в первую очередь предназначена для сбора, хранения и анализа событий ИБ. Если SIEM будет охватывать широ- кий спектр источников событий, обес- печивать высокую производительность и отказоустойчивость, эффективно использовать аппаратные ресурсы и иметь качественный контент для выявле- ния инцидентов и нарушений, то это, безусловно, обеспечит ей широкое рас- пространение на рынке. Иван Чернов, UserGate: Конкуренция – ключевое условие раз- вития рынка ИБ и направления SIEM- систем в частности. Мы наблюдаем устойчивое стремление подавляющего большинства российских разработчиков завоевать внезапно возникшие ниши, предоставив довольно требовательным пользователям высокий уровень кли- ентского сервиса. Cудя по всему, SIEM будет развиваться в сторону универ- сальных платформ анализа любой доступной информации, использования Big Data в выявлении угроз информа- ционной безопасности и так называемой априорной защиты. То есть предостав- лять средства упреждающего, профи- лактического анализа возможных угроз и векторов атаки, выдавать рекоменда- ции по их компенсации и устранению. Роман Ванерке, ДиалогНаука: Безусловно, движение в сторону NG- SIEM будет. Наверное, ключевой вопрос в сроках и терминологии, ведь NG-SIEM можно трактовать по-разному. SIEM в своем базовом исполнении производит множество алертов, и требуется посто- янная работа, чтобы снизить долю ложных срабатываний. Стоит также отметить, что рынок требует продвинутой аналитики на больших объемах данных и на больших скоростях, чего зачастую можно достиг- нуть только в облачной реализации. Сергей Кривошеин, NGR Softlab: NG-SIEM в текущей парадигме – это мультикомбайн. Некоторые отечествен- ные SIEM уже полным ходом движутся к этому статусу: функционал обогащается встроенными IRP, NDR, UEBA и прочими подсистемами, востребованными в SOC. На мой взгляд, эпитет Next Generation можно применять к SIEM, только если подключение нестандартных источников станет интуитивным, а способы обнару- жения уйдут от сигнатурной модели. Что касается облачных SIEM, то они направлены на небольшой сегмент биз- неса, где службы ИБ еще не доросли до осознания востребованности SIEM. Максим Степченков, RuSIEM: Если подразумевать под NG-SIEM пере- ход от классического выявления инци- дентов через правила корреляции к использованию искусственного интеллек- та и машинного обучения для выявления угроз, то этот процесс среди российских вендоров уже начался. Мы тоже стре- мимся к тому, чтобы SIEM-система под- свечивала заказчику моменты, которые еще не охвачены правилами корреляции. Если же в термин NG-SIEM закладывать обработку еще большего объема и типов данных для прогнозирования вероятности того, что определенные события или инциденты произойдут в будущем, то это более сложная задача, требующая боль- ших вычислительных ресурсов. Опти- мальным вариантом для решения этой задачи может стать использование обла- ков, ведь далеко не каждый заказчик способен найти нужные мощности в своей инфраструктуре. Но, несмотря на при- влекательность облачных сервисов, в Рос- сии заказчики по-прежнему предпочитают варианты установки SIEM-решений on- premise. И в среднесрочной перспективе ситуация вряд ли изменится. Иван Чернов, UserGate: Однозначно российские решения пойдут по перспективному пути NG-SIEM: она комплексная и более гибкая для заказчи- ка. Это выражается в повышении ком- форта использования систем специали- стами, снижении порога входа в уверенное владение продуктом. Используя NG-SIEM, легче и проще управлять периметром безопасности компании и обеспечением тем самым процессов повышения эффек- тивности бизнеса. Кроме того, NG-SIEM аккумулируют в себе дополнительные функции, становятся более многофунк- циональными и универсальными, пред- ставляют собой комплексный инструмент полного цикла работы с инцидентами, от первичного сбора информации до спосо- бов реагирования и финального форми- рования отчетности для информирования специалистов и компетентных органов. Анна Андреева, Лаборатория информационной безопасности: Решения NG уже появляются на рынке, это логичное развитие класса SIEM. Когда-то подобный этап прошли межсе- тевые экраны и антивирусы. В облако имеет смысл переходить, когда затраты на поддержку инфра- структуры превышают стоимость облач- ного решения либо когда инфраструкту- ры вовсе нет. Такой вариант определенно заинтересует небольшие компании из- за простоты подключения, а крупных заказчиков – из-за возможности быстро масштабировать вычислительные ресур- сы под растущие потребности. Павел Пугач, СёрчИнформ: Если есть спрос, будут и предложения. По факту NG-SIEM обычно называют систему, в которой реализован функ- ционал еще трех-четырех смежных клас- сов, например сканер уязвимостей, Vul- nerability Management, EDR. Такая систе- ма будет полезна в условиях нехватки ресурсов на внедрение отдельных про- дуктов. Интерес к SIEM в облаках пока по инерции сохраняется, но будет пла- номерно снижаться. Заказчикам удобно, когда провайдер берет на себя вопрос обеспечения железа. Но и вендорам, и облачным провайдерам также сложно закупать и обслуживать новые сервер- ные мощности – а их потребуется боль- ше. К тому же сейчас снизилось доверие к хранению данных где бы то ни было, кроме как in-house. Это подчеркнул и уход иностранных вендоров, когда заказ- чики лишались оплаченных лицензий, сервисов, а вместе с ними и данных, которые хранились в этих сервисах. Павел Пугач, СёрчИнформ: Дефицит микроэлектроники скажется на рынке SIEM точно так же, как на любом другом рынке ПО, например на рынке ОС. Если ОС, SIEM или любую другую систему По каким векторам развиваются SIEM- решения в России? Пойдут ли российские решения по пути NG-SIEM? Каковы перспективы облачных SIEM в России? Как скажется дефицит микроэлектроники на рынке SIEM-решений? • 33 SIEM www.itsec.ru