УправлениеБезопасность

Дорожная карта RuSIEM: быстрое развитие функциональности

Ольга Мельник | 07.04.2021

Дорожная карта RuSIEM: быстрое развитие функциональности

Собирать с сетевых устройств и устройств безопасности информацию, анализировать ее и представлять в удобном виде – это задача SIEM-системы. На пресс-завтраке эксперты и журналисты обсудили тренды развития SIEM-систем.

Развитие софтверного рынка немыслимо без появления, роста и смены небольших игроков, способных быстро развивать новые продукты с интересной функциональностью. Этот процесс идет везде, но в России имеет свои примечательные особенности. Годовой отчет фирмы RuSIEM, представленный прессе 31 марта, дал много фактов для размышления на эту тему.

В России есть несколько популярных продуктов класса SIEM (Security information and event managеment – управление событиями и информацией о безопасности), и существуют они довольно давно, так что к моменту появления нового вендора рынок был далеко не пуст. Собирать с сетевых устройств и устройств безопасности информацию, анализировать ее и представлять в удобном виде – это задача SIEM-системы. В такие продукты обычно входят приложения для управления идентификацией и доступом, инструменты управления уязвимостями.

Компания была создана в 2016 году, разработка продукта началась на два года раньше. Сооснователь RuSIEM Максим Степченков рассказал, что в самом начале создания продукта он пытался спрогнозировать, каких затрат это потребует. Более опытные коллеги дали оценки, на которые он вначале и опирался. К настоящему времени стало ясно, что эти первоначальные ориентиры были превышены не кратно, а на порядок.

На начало 2021 года в RuSIEM около семидесяти сотрудников, более сотни партнеров в мире, включая Великобританию, Индию, страны Африки. Более десяти тысяч инсталляций свободно распространяемой версии. Продукт RuSIEM входит в Реестр отечественного ПО.

Как шло развитие бизнеса? Вначале, по словам Максима Степченкова, продажи шли через знакомых в интеграторских компаниях, и это путь был не слишком коммерчески успешным. Затем фирма стала резидентом Сколково, что дало, как считает Максим, весомые на тот момент налоговые преференции. Бесплатная версия успешно знакомила и продолжает знакомить клиентов с продуктом. Постепенно сложился двухуровневый канал, ключевым дистрибьютором в России является OCS Distibution. Совместно с Академией информационных систем  вендор обучает партнеров и специалистов клиентов.

В конце 2020 года RuSIEM привлек крупного инвестора: ГК «Программный Продукт», которому теперь принадлежит половина бизнеса. Максим называет эту сделку успешной, поскольку она придала RuSIEM вес и стабильность, необходимые в работе с крупными заказчиками из госсектора, составляющими ядро клиентов фирмы.

Существенную роль сыграли законодательные новации и требования регуляторов, в том числе указания ЦБ о необходимости наличия у финансовых организаций установленных продуктов класса SIEM. Антон Фишман, технический директор RuSIEM, уверен, что эти требования не только оправданны, но и даже несколько запоздали, поскольку реальная ситуация с атаками настоятельно требует адекватных инструментов мониторинга и анализа.

Александр Булатов, коммерческий директор RuSIEM, считает, что при всей важности следования нормам и законам покупка продукта приносит больше пользы клиентам, когда делается с целью решения реальных бизнес-проблем. Он рассказал о сложностях, которые испытывают компании среднего масштаба, у которых нет развитого штата специалистов по ИБ. Типовая для них ситуация часто наблюдается на тестировании, рассказывает Булатов: видно, что атака идет, но непонятно, на что она направлена, а главное как ее можно быстро остановить. Решение RuSIEM дает нужную картину немедленно.

К основным драйверам рынка SIEM Булатов относит ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ФЗ РФ от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», ISO/IEC 27001 , ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018. Однако в своей практике он использует не только аппеляции к законам, но и простые яркие подходы. Например, показывает, как просто выявить уязвимости ИТ-систем без всяких хакерских уловок. Для этого достаточно позвонить ИТ-директору, который недавно ушел из компании N и ищет новую работу. Нужно представиться новым работодателем и задать вопросы о том, что получилось и что не получилось на прежнем месте. Тут заинтересованный кандидат начинает увлеченно рассказывать о том, с какими проблемами он боролся и как их решал, а затем и о тех, которые решить не удалось, потому что руководство так и не дало ему бюджета для этого. Что предпринять против компании N после такой беседы становится предельно ясно.

Дело не в технологиях, дело в людях, поэтому от атак себя не может считать защищенным никто, а значит, их нужно видеть своевременно. Антон Фишман считает особенно важным максимально упрощать для клиентов задачи анализа, предлагая готовые решения, которые не потребуют участия специалистов высочайшего класса. Решение RuSIEM должны помогать уверенно и правильно действовать сотрудникам среднего уровня квалификации.

В ближайших планах компании получение сертификации ФСТЭК России. Александр Булатов рассчитывает, что это случится уже весной 2021 года. Антон Фишман представил Road map развития продукта на текущий год. В первом квартале: оптимизация производительности, интеграция с ФинЦЕРТ, модуль НКЦКИ и новый модуль активов. Во втором квартале появится модуль IRP - это первая версия системы реагирования на инциденты, включающая playbooks, задачи, роли и выполнение SLA. Станут доступны динамические списки, то есть создание списков значений из сработок правил корреляций для их дальнейшего использования при выявлении угроз. В этом же квартале можно будет использовать разделение зоны хранения на участки для оперативного и неоперативного использования с разным выделением ресурсов – так называемое горячее и холодное хранение. Будет запущен модуль активов v2, обеспечивающий обогащение информации из активов и событий, учет активов в событиях и инцидентах.

К третьему кварталу будет готов модуль TI, дающий полноценный функционал подгрузки IoC и фидов киберразведки, их различных источников в удобном интерфейсе с использованием стандартных протоколов. Появятся ML-модели - реализация нескольких моделей машинного обучения, включая DGA и автопарсеры. Станут доступны табличные списки для создания и управления табличными списками для хранения IoC и использования в симптоматике и корреляции.

К концу года будет реализован расширенный функционал SOAR с возможностью писать и выполнять автоматизированные скрипты, создавать разветвленные структуры реагирования на инциденты - IRP v2. Ожидается ввод информации об источниках событий для улучшения корреляции и уменьшения нагрузки на нормализацию. В четвертом квартале будет доступен и модуль TIv2, дающий расширенный функционал работы с фидами киберразведки – создание своих парсеров и учет информации из нескольких источников с разыми весами.

Машинное обучение и нейросети, гибкость использования при сохранении производительности и работу с облаками и в облаках Антон Фишман считает магистральными направлениями развития продукта.

Информационная безопасность

Темы: Аксиомы кибербезопасности


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00