Проблемы рынка SIEM-систем в России

Логотип компании
Проблемы рынка SIEM-систем в России
Вопрос перехода на отечественные системы ИБ стоит как никогда остро. Внедрять российские продукты нужно быстро, но без паники. Излишняя суета повлечет ошибки и недоработки.

Для многих компаний, от среднего бизнеса до корпораций, актуальна необходимость мониторинга большого количества информационных систем. Без автоматизированного средства это сделать просто невозможно, а потому растет спрос на SIEM-системы. В статье мы разберем, что такое SIEM и с какими трудностями можно столкнуться при интеграции системы и работе с ней.

Что такое SIEM

SIEM, или Security information and event management, — это система, которая позволяет собирать и анализировать информацию о событиях безопасности. Являясь ключевым элементом SOC, SIEM-­системы играют важную роль в ИБ-­компании.

SIEM-­система предоставляет возможность оценить защищенность информационных систем и риски организации. Полученная от систем информация применяется при расследовании инцидентов и при формировании отчетности.

С функциональной точки зрения SIEM­-система:

  • обеспечивает сбор данных из различных источников и их нормализацию;

  • производит корреляцию данных;

  • проверяет перечни коррелированных событий для выявления ИБ-­инцидентов и оповещения по ним;

  • визуализирует события и инциденты. Данные представляются в формате удобных дашбордов;

  • хранит данные в течение определенного периода;

  • осуществляет контекстный поиск в рамках расследований инцидентов и экспертиз;

  • создает отчеты, которые информируют службу ИБ о текущем положении дел.

Проблемы SIEM-систем

Сложность интеграции

Внедрять SIEM-­систему могут компании, у которых уже есть развернутая сеть защитных механизмов, чтобы продуктивно вписать в нее SIEM.

Сложность кастомизации решения

Для обеспечения высокого уровня эффективности системы нужно сформировать большое количество правил и корреляций. При этом, как бы глубоко ни были погружены в проект эксперты со стороны вендора, полностью особенности инфраструктуры организации могут знать только специалисты, находящиеся в штате.

Ложноположительные срабатывания

При большом количестве ложноположительных событий велика вероятность, что сотрудники будут затрачивать необоснованно много времени на их анализ и уделять меньше внимания общей безопасности инфраструктуры.

Недостаток квалифицированных кадров

На рынке наблюдается дефицит среди специалистов, которые могли бы эффективно взаимодействовать с SIEM.

Высокая стоимость

Внедрение SIEM­-системы — это достаточно дорогое мероприятие.

Ошибки при реализации проектов по внедрению SIEM-систем

Слабое планирование перед началом проекта

Поскольку для внедрения SIEM­-системы требуется много ресурсов, важно уже на этапе планирования определить возможные трудности, сформировать список задач, которые будет решать система в конкретном кейсе, и определиться с командой.

Недостаточная оценка бизнеса

Внедрять SIEM-­систему можно только после комплексной оценки бизнеса в разрезе его особенностей, масштаба, потребностей.

Проблемы с ТЗ

Даже безукоризненно составленное техническое задание не гарантирует гладкого внедрения системы. О последствиях недоработанного ТЗ даже говорить страшно.

SIEM as Saas

В целом в России пока нет понимания, что такое SIEMaaS, но перспективы развития SIEM как сервиса вполне положительны. Отечественные вендоры приходят к разработке данного направления, поскольку начинает зарождаться потребность в сервисной модели.

Многие облачные провайдеры начали предлагать услугу облачного сервиса SIEM. Если внимательно посмотреть на эту возможность, то можно увидеть как плюсы, так и явные минусы решения.

Рассмотрим плюсы и минусы локальных и облачных SIEM­-систем.

Преимущества локальной SIEM

  • Конфиденциальные данные хранятся на внутренних ресурсах компании.

  • Организация оставляет полный контроль над платформой SIEM. Сохраняя SIEM в локальной среде, можно настроить работу платформы для достижения лучших результатов в контексте конкретных бизнес-­операций.

  • Компания сохраняет контроль над всей командой кибербезопасности.

Минусы локальной SIEM

  • Внедрение и запуск локальной платформы SIEM требует финансовых усилий, которые являются невероятно высокими для многих предприятий.

  • Расходы на обучение становятся еще одним препятствием для внедрения локальных SIEM.

  • Требуются собственные аппаратные мощности.

Плюсы облачной SIEM

  • Основным преимуществом облачной SIEM-системы является то, что организация сразу же получает доступ к экспертным знаниям, нет необходимости обучать своих сотрудников тому, как максимально эффективно использовать выбранную платформу SIEM.

  • Выбор облачной SIEM­-сис­темы приводит к экономии средств, поскольку поставщики SIEM предоставляют свои аппаратные мощности.

Недостатки облачной модели SIEM

  • При перемещении конфиденциальных данных за пределы площадки компания всегда сталкивается с большими рисками.

  • Некоторые поставщики облачных SIEM сосредотачиваются на функциях мониторинга и отчетности своих систем, что, в свою очередь, подвергает компанию рискам, связанным с отсутствием надлежащего управления угрозами.

  • При выборе облачного решения SIEM можно столкнуться с тем, что поставщики ограничивают доступ к необработанным данным.

  • Нет полного контроля за специалистами по информационной безопасности провайдера, предоставляющего сервис.

Переход к облачным сервисам в целом связан с высоким уровнем доверия организаций третьим сторонам. С уменьшением рисков и формированием «облачного» мышления SIEMaaS будет набирать популярность.

Трудности перехода с иностранных на отечественные SIEM-системы

Основная сложность заключается в том, что при переходе с одной SIEM­-системы на другую приходится заново прописывать все правила корреляции событий. Нет зависимости от производителя, импортное ПО или отечественное. Смена SIEM — это внедрение новой системы с нуля, поскольку нет автоматизированных инструментов по переносу правил корреляции.

К второстепенным проблемам можно отнести: отличающийся интерфейс, другие требования к аппаратному обеспечению, обучение персонала новому программному продукту и др.

Будущее развития систем в России

В настоящее время появляется все больше решений класса SOAR, это следующая ступень после SIEM.

Понятия SIEM и SOAR иногда подменяют друг друга. Но среди них наблюдаются значимые различия. SIEM­-системы позволяют собирать информацию и вручную управлять инцидентами. SOAR предназначены для автоматизации и оркестровки действий нескольких ИБ-­систем. Так SIEM­-решения предоставляют информацию о событиях для SOAR.

Количество кибератак на российские компании стремительно увеличивается, в это же время наблюдается рост требований в сфере информационной безопасности со стороны государства. Вопрос перехода на отечественные системы ИБ стоит как никогда остро. Внедрять российские продукты нужно быстро, но без паники. Излишняя суета повлечет ошибки и недоработки.

Насколько в данное время актуально внедрение SIEM?

Рынок SIEM-­систем показывает значительную динамику роста. Все больше компаний приходят к пониманию необходимости построения единой системы по сбору инцидентов информационной безопасности. Особенно в такое непростое время, в котором мы сейчас живем и работаем. Очень высока нагрузка на ИБ­-специалистов из­-за возросшего прессинга российских компаний со стороны недоброжелателей за пределами России. И все это способствует наращиванию уровня защиты предприятий.

Резюме

Выбор и внедрения SIEM-­системы – это ответственный и важный шаг. Чтобы процесс принес минимум боли и максимум результата, следует выбирать надежного партнёра по внедрению, например, компанию WIAT.

Опубликовано 01.11.2022

Похожие статьи