Главная   Аналитика   Безопасность    Наука и технологии   Проекты    Soft   Hard   О том, о сём    Контакты

О трендах в разработке и внедрении SIEM-систем

24.09.2021

Антон Фишман, технический директор RuSIEM:

- Де-факто наличие SIEM – это уже стандартная практика в крупных компаниях, которые давно поняли целесообразность ее установки и использования. Как и со многими ИБ-решениями, после взрывного роста объема рынка SIEM, когда для одних больших компаний это была реальная необходимость, а другие устанавливали ее вслед за первыми, последовало его качественное развитие. Сегодня о необходимости мониторинга и управления событиями ИБ задумались компании среднего и малого бизнеса, которые в силу бюджетных условий вынуждены оценивать баланс реальных расходов, предотвращенного ущерба и упущенной выгоды на фоне растущих требований отраслевых регуляторов.

Основным трендом развития SIEM является сближение задач ИТ и ИБ. SIEM помогает решать те из них, которые находятся как на стыке, так и «в глубине» функционала каждого из этих направлений. То есть, и контроль уязвимостей, и мониторинг активов и событий, обнаружение широкого спектра угроз – это те задачи, которые SIEM может помогать решать. При этом общая для всех вендоров проблема - «спонсоры» принятия решений на стороне заказчиков не знают, зачем нужны SIEM и какими они должны быть. Важно донести до ЛПР, что не нужно искать что-то идеальное, что умеет все на свете. Нужно исходить из реальности, конкретных задач, стоящих перед вами, учитывать развитие вашей компании, ландшафта угроз и имеющиеся ресурсы. В компаниях, только приступающих к внедрению ИБ, чаще всего смотрят на соотношение цена/качество решения. Однако необходимо учитывать, что в такой быстро меняющейся среде, как ИТ, нужны, в первую очередь скорость, гибкость и пользовательское удобство системы.

По мере развития организации возникает необходимость подключения функционала, не входящего в базовую версию SIEM-системы. Поэтому говорить о каких-то единых трендах развития мониторинга и управления событиями ИБ довольно сложно: у каждой категории клиентов свои потребности – в зависимости от размера, сферы деятельности и уровня зрелости. К примеру, SIEM не реализует анализ и контроля сетевого трафика, который необходим клиентам для защиты инфраструктуры организации: это задача отдельных модулей (NTA, DPI). Либо реагирование: базовые функции должны быть встроены в SIEM (например, в виде выполнения скриптов из правил корреляции), но они не заменяют систему оркестровки, автоматизации и реагирования (SOAR).Таким образом, есть два варианта развития SIEM: разработчик либо предоставляет комплексное решение, включающее SIEM и дополнительные функциональные модули и системы, либо предлагает возможность интеграции SIEM с решениями других вендоров. Мы пошли по пути интеграции. Если говорить о реагировании, то наша система позволяет строить базовые сценарии реагирования, есть планы по разработке своих решений в будущем, но пока мы идем по пути возможности интеграции с предложенными на рынке SOAR.

Тема:О том, о сём

© 2014. ИТ-Текст. Все права защищены.