SIEM нужен всем
С точки зрения информационной безопасности SIEM-система – это головной мозг организации. Она позволяет в одном месте собрать события со всех информационных систем, средств защиты информации, и рассказать, что в принципе происходит с компанией. Ошибочно считать, будто SIEM-система предназначена только для зрелых крупных компаний. Если у вас есть межсетевой экран, антивирус и электронная почта – вы уже пользователь SIEM. О том, что это такое и как за пять лет превратилась RuSIEM в одного из лидеров рынка, рассказывает генеральный директор компании Максим Степченков.
В двух словах, что такое все-таки SIEM-система? И каким компаниям ее стоит рекомендовать?
SIEM – это система, которая собирает события с различных источников и позволяет выявлять из них инциденты. Рекомендовать ее можно всем, начиная со среднего и малого бизнеса. Потребность возникаем в крупных предприятиях, предприятиях финансового сектора и промышленных секторов, небольших ВУЗах и организациях численностью от 50 сотрудников. В первую очередь SIEM нужна, когда устройства генерируют сотни, тысячи событий в секунду, среди которых выделить вручную то, что интересно организации, невозможно. Для этого понадобятся определенные инструментарии. Такие задачи и решает SIEM. Она может из тысяч событий выделить единицы, на которые нужно отреагировать, оповестить о них, вывести на экран необходимую информацию. Например, человек не прошел на территорию здания, но зашел в корпоративный компьютер. Это инцидент. Соответственно, мы берем и сопоставляем события из системы контроля управления доступом и события с компьютера или информационной системы
Сейчас мы наблюдаем активный рост Интернета вещей, в том числе и промышленного. Информация с датчиков передается в различные системы. Как здесь может помочь SIEM?
SIEM уже используется в различных информационных системах, включая IoT и телеметрию. SIEM может выступить как точка сбора данных со всех устройств, а также провести анализ появления нового датчика, определить типы и места происхождения событий, распознать появление нового типа событий и выявить аномалии, основываясь на статистических данных. Словом, SIEM – это мозг. Мы туда подаем события отовсюду, и он маркирует, на что нужно обратить внимание.
Как с помощью SIEM-систем можно отслеживать сложные целевые киберугрозы и предотвращать таргетированные атаки?
Сейчас для борьбы с таргетированными атаками использование SIEM-систем стало обязательным. Они не защищают, но позволяют выявить момент каких-либо подозрительных изменений, что не менее важно в подобных случаях. SIEM обогащает функционал средств защиты информации, также на ее базе строятся антифрод-системы. Например, в среднем пользователь качает или отправляет десять файлов в день, но вдруг их количество резко возрастает до ста. Или в среднем человек открывает десять файлов в течение часа, а сегодня их тысяча. Такие изменения говорят о возможном сливе информации. Это аномалия, на которую реагирует SIEM. То же самое с банковской системой: появление нового контрагента или отличающегося платежа станут сигналом.
Поскольку качество анализа событий напрямую зависит от качества исходных данных, как их нужно выбирать? Сколько понадобится для релевантного анализа?
Чем больше, тем лучше. Необходима золотая середина между «собрать все, что нужно» и «собрать лишнее». Мы должны иметь возможность собирать данные из всех имеющихся источников, а вот какие из них нужны компании – зависит от тех правил, которые будут использоваться. Сегодня такие потоки данных не понадобились, а завтра они критичны, и в этом заключается преимущество SIEM-системы. Она позволяет проанализировать все. То, на что сегодня мы не обратим внимания, завтра может оказаться очень важным. Поэтому мы должны собирать и хранить все, иметь возможность возвращаться и анализировать, что происходило вчера или месяц назад, особенно когда речь идет о длительных атаках.
В последнее время для небольших компаний появилось много систем all-at-one, когда корреляция реализована в рамках «коробки». У вас это решено?
Да, наша RuSIEM – «коробочное» решение с огромным количеством правил, которые многие заказчики устанавливают самостоятельно. Оно просто внедряется, а персонал и партнеры бесплатно обучаются на основании записанных вебинаров. И хоть мы не работаем напрямую, обучать клиентов готовы.
Насколько сложно неподготовленному специалисту с базовыми знаниями о работе за компьютером научиться пользоваться RuSIEM? Кто вообще может работать с ней?
Вообще несложно. С RuSIEM смогут работать сотрудники информационной безопасности и сотрудники ИT. Если у клиента что-то не получается, мы стараемся доработать систему так, чтобы в следующий раз не возникло сложностей.
По какому принципу осуществляется разработка?
У нас есть длительный и короткий планы разработки: на два года вперед, на полгода и на квартал. Есть комьюнити, в которое может войти любой, связавшись со мной. Люди, состоящие в этом сообществе, влияют на план доработки продукта, даже не будучи клиентом, ты можешь повлиять на разработку, делясь обоснованным мнением о том, что необходимо изменить или доработать. Далее мы: разработчики, действующие клиенты и пользователи бесплатных и пилотных версий, совместно обсуждаем каждый конкретный пункт.
Масштабируется ли ваше решение? Какие ему необходимы технические требования и «дружит» ли оно с другими системами?
Решение масштабируется как угодно – и вертикально, и горизонтально. Мы можем как принимать, так и отдавать любые системы. К примеру, у нас есть заказчик, у которого три SIEM-системы, и они абсолютно спокойно между собой «дружат». Технические требования, конечно, зависят от той сети, которую нужно защищать, но по сравнению с конкурентами, RuSIEM понадобится в два-три раза меньше ресурсов. Зачастую мы запускаемся на уже имеющихся мощностях заказчика, а также поддерживаем виртуализацию и не сильно требовательны к оборудованию.
Кто занимается внедрением и техподдержкой?
Техподдержку мы оказываем напрямую или партнеров, а вот внедрением занимаемся только через партнеров, среди которых практически все крупные интеграторы ИT и безопасности на российском рынке.
Как используется машинное обучение в вашем решении?
Машинное обучение активно используется в отдельном модуле «Аналитика», который собирает данные и анализирует их при помощи различных математических моделей. Сейчас мы развиваем нейросети и планируем, что в дальнейшем система будет работать и выявлять аномалии просто собрав данные, без преднастроенных правил корреляции.
На многих мероприятиях говорят об ИT как о сервисе. Возможна ли информационная безопасность как сервис? И как это стыкуется с вашей системой?
С одной стороны, это уже реальность, с другой – будущее. Многие компании идут именно таким путем, открывается множество SOC-ов. Однако внутренний сервис все-таки не из «коробки»: настройку защиты от таргетированных атак и подстройку под бизнес так осуществить, к сожалению, невозможно. Я верю в ИБ как «коробочное» решение от опытных людей, но не в ИБ из «коробки». Купил решение, поставил и забыл – такого не будет.
По каким принципам вы отбираете перспективные направления нового функционала?
Исходя из потребностей клиентов. Мы собираем их пожелания, находим общий знаменатель и реализуем его.
Очень сложно посчитать, сколько стоит информационная безопасность. Как объяснить необходимость покупки RuSIEM?
Необходимо объяснить самому бизнесу, что это важно, принести кейсы. Надо знать бизнес, понимать, что для компании критично, что она собой представляет и чем зарабатывает. Какие есть риски и какую конкретно информацию действительно нужно защитить.
Сейчас много разговоров идет о том, что безопасность должна быть встроена. Может RuSIEM быть заложена на этапе проекта?
RuSIEM можно заложить на этапе проекта, это правильно и хорошо. Но принципиально моя позиция – информационная безопасность не должна останавливать бизнес и выступать тормозом. И бизнес однозначно должен прислушиваться к ИБ и не бежать впереди паровоза. Где золотая середина? Это вечный вопрос.
RuSIEM стала одним из основных игроков на этом рынке спустя пять лет после своего появления и уже выиграла в номинации «Управление безопасностью» CNews AWARDS. Как удалось стать лидером 2019 года и как сейчас растет компания?
С начала лета мы выросли почти в четыре раза и продолжаем интенсивно набирать людей. У нас катастрофическая нехватка качественных специалистов из-за подхода «лучше взять одного хорошего, чем трех слабых». Мы долго ищем, к примеру, разработчиков. Несмотря на значительный рост, нам удалось сохранить всю команду и приумножить ее. Увеличился штат и количество проектов, число партнеров с активными проектами выросло с 10 примерно до 80, а также появились новые дистрибьюторы. Я считаю, что мы являемся одним из основных игроков рынка в первую очередь потому, что ориентированы не на российский рынок, хоть он и, безусловно, очень важен, а на мировой. Сейчас у нас есть бесплатная версия, которая устанавливается по всему миру, есть несколько зарубежных заказчиков, не только из стран СНГ, но и из Европы, Ближнего Востока и Юго-Восточной Азии. Мы делаем основной упор на высокую скорость работы продукта и адекватную цену. При этом, в особых случаях выдаем годовые лицензии на бесплатное использование, потому что знаем, что у некоторых компаний цикл бюджетирования существенно больше трех месяцев или полугода, а потребность в продукте есть уже сейчас.
За счет чего произошел четырехкратный рост?
Во-первых, пришли инвестиции. Рынок готов и, несмотря на высокую конкуренцию, мы даем адекватную цену. Наш продукт не потребляет огромное количество ресурсов, обладает высокой скоростью работы и стоит недорого. Также за последние полгода количество клиентов увеличилось в три раза.
Ну и традиционно для двенадцатого номера, что в перспективе на следующий год?
В перспективе новый функционал, расширение существующего, увеличение количества проектов, большой скачок в сторону автоматизации RuSIEM и упрощения использования продукта. Но об этом мы расскажем в первом квартале следующего года.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 08.01.2020