Актуальна ли история с импортозамещением в сегменте SIEM? Действительно ли больше число заказчиков пользовалось импортными решениями?

Исторически одним из основных мотивов внедрения SIEM можно назвать требования западных аудиторов, которые называли SIEM обязательным компонентом для SOX, ISO и прочего комплаенса. Поэтому в крупных компаниях, особенно с иностранным участием, где стратегия комплаенса и ИБ диктовалась «центром», исторически стоят именно решения от западных производителей.  Типичным продуктом был и остается ArcSight.

В крупных и средних российских компаниях примерно в равных долях использовались отечественные решения (RuSIEM MaxPatrol, Kaspersky KUMA) и зарубежные продукты. Мелкие компании используют Zabbix, ELK и по-прежнему неплохо себя чувствуют.

Те, кто не мог использовать западные решения (например, государственные организации), использовали продукты Positive, RuSIEM, Kaspersky; в них история импортозамещения началась гораздо раньше. При этом часто заказчик ставил две или три системы:

• отечественную, которая «мигала лампочками» и удовлетворяла требования регуляторов;

• QRadar, ArcSight, Splunk (которая ушла с рынка достаточно давно, но ни один заказчик при этом от нее пока не отказался)

Сейчас происходит повальный переход на российские решения из-за отзыва лицензий, прекращения сотрудничества и поддержки, и эта тенденция будет расширяться, что представляет собой возможность для отечественных разработчиков.

Особого выбора по поводу иностранных SIEM или не перехода на отечественные системы по требованию законодателя, как отмечают эксперты, нет.

С какими трудностями приходится сталкиваться при импортозамещении SIEM-систем?

• Классический переход с одного продукта на другой: при переходе на отечественную SIEM приходится переписывать правила корреляции, а значит, переучивать или нанимать новых специалистов, знающих синтаксис обеих систем. Этот процесс миграции и переписывания правил может занять много времени, если правил много и это одна из важнейших проблем, с которыми сталкиваются организации.

• Поскольку конечные заказчики не смогут переучиться быстро или имеют другие приоритеты, важно партнерское участие и насколько партнёры вендоров имеют такие компетенции имеют внутри себя. Если нет – то такие компетенции партнерам сначала надо развить, и это проблема каждого вендора сейчас – развить экспертизу по своим продуктам среди интеграторов и партнеров. 

• Переучиться с opensource на российское ПО не представляет значительной трудности, однако перейти с коммерческого зарубежного продукта гораздо сложнее: часто они имеют свои функциональные особенности, свой язык правил корреляции и проч. Opensource – это в основном ELK-стек, и экспертиза по отечественным решениям – это прежде всего экспертиза именно по ELK, т.к. они имеют в своей основе именно этот стек: rabbit mq для очередей, Elastic, Clickhouse для работы событиями и пр. 

• В компании персонал часто привыкает работать определенным образом (в силу привычки или некомпетентности) – использовать определенную архитектуру правил, способы решения задач, что усложняет переход, поскольку требует изменения привычек и преодоление внутреннего сопротивления.

• Понятие инцидента законодательно и в системе может разниться. Интерпретацию будут делать те, кто ведет расследование за рамками компании, и в этом уже есть определённая проблематика.

• Работа с собственными ожиданиями и с вендором. Любое российское решение находится в состоянии развивающегося, поэтому оно не будет «коробочным». Ожидать простого и быстрого перехода не получится. Придется давать обратную связь вендору и работать с ним.

• Не все отечественные SIEM используют отечественные БД.

• Стоимость отечественных SIEM сильно выросла в последнее время.

На что обращать внимание при выборе подходящей SIEM-системы?

• Требуется ли взаимодействие с регулятором по инцидентам и вопросам ИБ? Многие отечественные SIEM-системы уже имеют встроенный функционал отправки отчетов либо обмена информацией в том или ином виде, например, с ГосСОПКА.

• Есть некоторый жизненный цикл SIEM, она не бывает полностью внедренной или полностью не внедренной, она всегда пребывает в состоянии «что-то не доделано, что-то переделано». Есть также жизненный цикл внедрения. Если подключать бездумно все источники что есть, получим большое число событий по корреляции. Сначала необходимо сформировать план внедрения: из каких источников собирать, какие события мы будем считать для себя важными, какие будут превращаться в инциденты, по которым надо что-то срочно делать. Постепенное внедрение – всегда свой процесс для каждой компании. С российскими вендорами всегда есть возможность обсудить что можно сделать, а что нельзя.

• не обязательно переходить полностью, можно часть функционала оставить в старой системе, или использовать бесплатные решения (например, у HP есть бесплатный хороший логгер)

• Проблемы интеграции: по умолчанию к SIEM зарубежного производителя отечественные системы подключить бывает непросто.

• Подавляющая масса заказчиков используют чуть более половины функций развитых SIEM, особенно зарубежных производителей. Это же касается и всяких других средств защиты. В связи с этим ориентироваться при выборе на широкий выбор функций не всегда целесообразно, т.к. основная, используемая часть успешно реализована в отечественных системах, а остальные – это «фишки», которые редко используются, но стоят дорого.

• Наличие функционала, позволяющего анализировать, какую часть активов реально контролирует SIEM с учетом их критичности. Если все подразделения работают со своими списками активов, то в результате может получиться, что все они работают с разной инфраструктурой.

• kibana – хороший инструмент для анализа атак, когда надо быстро применить много фильтров в минимальное число кликов. Несмотря на то, что это не основное предназначение SIEM, неплохо использовать те данные, которые в ней уже есть.

• Появляется большое число «мусорных» стартапов, цель которых не создать качественный продукт, а быстро заработать денег. К выбору вендора следует подходить ответственно.

• SIEM с точки зрения внедрения – одна из самых сложных тем ИБ. Успех внедрения SIEM сильно зависит от того, кто ее внедряет, как внедряет, как реализован проект. Поэтому компетенции партнёров, внедряющих продукт, имеют большое значение.

Стоит ли смотреть в сторону Open Source SIEM?

При рассмотрении возможности использования opensource SIEM следует учитывать следующие факторы:

• opensource может не обеспечивать выполнения требований, предъявляемых компанией к production-системе, особенно это касается сертификации;

• необходимо иметь специалистов, которые владеют этой системой в совершенстве, будут ее дописывать и следить за ней; 

• в случае ухода специалиста придется либо обучать его заново, либо тратить большое количество времени на поиски;

• вероятность ухода специалистов увеличивается по мере роста профессиональной компетенции, найм обойдется дорого;

• opensource в конечном итоге не дешевле. Для того, чтобы opensource-продукт удовлетворить потребности и требования, в него нужно вкладывать значительное количество времени и ресурсов.

Что могут предложить поставщики отечественных SIEM-систем?

Рынок SIEM (как и прочих ИБ-решений) в России сейчас резко перестраивается, при этом на рынок вышло несколько челленджеров – Kaspersky, R-Vision, и т.п. и множество мелких стартапов. У игроков сейчас есть возможности чтобы заменить ушедшие Arcsight, QRadar, Splunk.

Продукты отечественных производителей по большей части покрывают возможности западных вендоров, позволяя за счет более продуктивной обратной связи реализовать недостающие функции по запросам потребителей.

Одним из ярких представителей отечественных SIEM-систем является RuSIEM от компании ООО «Русием»: 

• Активная разработка продукта ведется с 2014 года;

• Это полностью отечественный продукт;

• Входит в единый реестр отечественного ПО;

• Имеет сертификат ФСТЭК России по уровню доверия 4;

• Собирает журналы с любых источников;

• Соответствует требованиям регуляторов (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 31, СТО БР ИББС и РС БР ИББС-2.5-2014, PCI DSS, ISO27001);

• Невозможно отключить извне по причине «санкций»;

• Разработчики в прямом доступе для пожеланий и предложений;

• Данные находятся в юрисдикции РФ;

• Линейка продуктов:
  - RvSIEM – бесплатное решение класса Log Management;
  - RuSIEM – коммерческое решение класса SIEM;
  - RuSIEM Analytics – модуль для коммерческой версии, дополненный DL;

• Интеграция с ГосСОПКА;

• Планируется прохождение сертификаций в странах СНГ;

• Есть обучающие курсы для партнеров и клиентов;

• Ожидаемые обновления: RuSIEM Monitoring, RuSIEM на Astra Linux.

Сайт компании: https://rusiem.com/