SIEM-системы в России - что это, какие популярные решения применяются

Российский рынок SIEM последние годы показывал высокие темпы роста, опережая мировой практически в два раза. Вместе с тем, иностранные решения, по разным оценкам, занимали около половины этого рынка.

Геополитический кризис привел к серьезным изменениям этого рынка. Уход иностранных вендоров создал оптимальные условия для развития российских решений и роста «большой тройки» этого сегмента: Kaspersky, RuSIEM и Positive Technologies.

Вместе с тем, часть бизнес-сегмента оказалась в стрессовой ситуации, поскольку необходимо в сжатые сроки перейти с иностранной системы на российскую. В этой статье мы разберемся, почему медлить с переходом нельзя, а также рассмотрим наиболее популярные системы российских вендоров.

Переход с иностранных решений

Некоторые компании сознательно оттягивают процесс интеграции новой SIEM-системы. Для этого есть ряд причин:

1. Кулуарные соглашения. Иностранные компании не хотят терять российских клиентов, несмотря на все трудности взаимодействия, вызванные санкциями в финансовом секторе. Важно понимать, что в данный момент экономика и бизнес определяются политическими процессами, которые ни один из вендоров не может как контролировать, так и предугадать. И выполнение любых договоренностей может оказаться невозможным в любой момент.
2. Надежда на возвращение вендоров. В СМИ регулярно можно встретить новости о намерении вернуться тех или иных иностранных компаний из разных отраслей. Теоретические возможности для этого есть, но они пропорциональны вероятности взлома неизбежно теряющей актуальность защитной инфраструктуры компании.
3. Попытка справиться своими силами. Или с привлечением сторонних команд. Если оставить за скобками интеграцию opensource-решений (процесс, в котором подводных камней в разы больше, чем при работе с проприетарным продуктом), то любая такая попытка – это создание «костыля», который решает задачу в моменте, но не решает проблему комплексно. 

В условиях увеличения количества кибератак на российские компании и одновременного ужесточения требований в сфере ИБ со стороны государства, вопрос перехода на российские инструменты становится еще более насущным для множества компаний.

Промедление чревато тем, что процесс интеграции придется проводить в авральном режиме, что неизбежно повлечет ошибки и недоработки, которые могут сказаться на уровне защиты в дальнейшем.

В контексте решений класса SIEM ситуация с импортозамещением более чем благоприятная: есть и выбор, и возможности для качественной интеграции. А главное, прямо сейчас есть время на вдумчивый выбор и качественную интеграцию системы в инфраструктуру компании.

Недостатки SIEM-систем

Все системы класса SIEM подвержены одним и тем же недостаткам. С позиции информационной безопасности можно выделить следующие:

1. Сложность интеграции. SIEM – это не та система, которая ставится на « голую» инфраструктуру, скорее всего компания уже имеет целый арсенал защитных механизмов, которые нужно «связать» с системой и обеспечить эффективное взаимодействие.
2. Кастомизация. Чтобы обеспечить высокий уровень эффективности системы, нужно создать множество правил и корреляций. Несмотря на то, что львиную долю таких работ проводит вендор, в полной мере специфику инфраструктуры компании знают только ее штатные специалисты.
3. Ложноположительные срабатывания. Большой процент таких событий может привести к тому, что ИБ-специалист будет бесконечно заниматься анализом несущественных событий, а не безопасностью инфраструктуры.

Есть и условно гибридная группа недостатков. С одной стороны – они, в большей степени, актуальны для бизнеса и руководства компании. С другой – разрешение этих проблем находится в зоне ответственности руководителя ИБ-службы (чаще всего – CISO).

К ним можно отнести:

1. Обоснование бюджета. Нужна четкая взаимосвязь между издержками на приобретением SIEM и качественными изменениями, которые произойдут в результате. В этом может помочь большое количество справочных и аналитических материалов, которые выпускают вендоры.
2. Поиск специалиста. Эффективность эксплуатации системы во многом определяется оператором. Если готового специалиста нет – его нужно найти на рынке труда или выделить уже имеющегося, который пройдет дополнительное обучение.

Обзор решений

Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (KUMA) – это главный связующий инструмент единой платформы, разработанной «Лабораторией Касперского». Его ключевое преимущество перед конкурентами – это кроссплатформенность, то есть возможность взаимодействия как с другими инструментами вендора, так и со сторонними решениями.

Еще одно важное преимущество KUMA – это наличие встроенных сценариев автоматического реагирования на выявленные ИБ-события. SIEM, благодаря модулю ГосСОПКА, полностью интегрирована с технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ), что помгает обеспечить соответствие законодательству РФ в сфере защиты объектов критической информационной инфраструктуры, в частности требованиям 187-ФЗ и приказа ФСТЭК России № 239.

MaxPatrol SIEM

MaxPatrol разработан компанией Positive Technologies. Этот продукт – еще одна отечественная SIEM мирового уровня, которая вошла в профильный топ-20 по итогам 2021 года. Продукт внедрен в более чем 250 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти. Система лицензирована ФСТЭК и Минобороны России, а также профильными органами Казахстана и Беларуси.

База знаний PT Knowledge Base, применяемая в MaxPatrol SIEM, регулярно пополняется пакетами экспертизы благодаря работе ИБ-специалистов PT Expert Security Center и R&D-подразделений Positive Technologies. Эксперты исследуют новые угрозы и методы их работы.

RuSIEM

За последние несколько лет отечественная компания RuSIEM увеличила свои доли на рынке практически в каждой отрасли. В последнем обновлении 2021-го в продукте была расширена функциональность, оптимизированы ресурсы. Помимо этого клиенты RuSIEM теперь могут загружать индикаторы компрометации.

Также стоит отметить, что теперь у пользователей есть возможность актуализировать информацию об активах компаний в понятном user-friendly интерфейсе. Также реализована возможность писать и запускать автоматизированные скрипты. В последнем обновлении продукта появилась возможность создавать разветвленные структуры реагирования.

Также RuSIEM можно использовать как ядро SOC-центра благодаря комплексному подходу к управлению кибербезопасностью. Теперь продукт может быть полноценно интегрирован с ГосСОПКА благодаря новому модулю НКЦКИ.

KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM разработан российской компанией НПО Эшелон. Продукт позволяет централизованно собирать событий по кибербезопасности, выявлять инциденты и вовремя на них реагировать. Применение комплекса позволяет соответствовать требованиям регуляторов к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры. Продукты KOMRAD Enterprise SIEM выдан сертификат ФСТЭК России № 3498, подтверждающий соответствие требованиям регулятора по 4-му уровню доверия.

Помимо этого, KOMRAD Enterprise SIEM поддерживает установку на один сервер (all-in-one) и распределенное развертывание. Взаимодействие с источниками событий возможно по многим современным протоколам: SFTP, Syslog, SQL, FTP, SSH, xFlow, SNMP. События в форматах CEF, RFC 5424, RFC 3164, EVTX нормализуются автоматически, на случай нестандартного формата предусмотрен механизм разбора с помощью регулярных выражений (RE2).