Обеспечение безопасности и бесперебойной работы всей ИТ-инфраструктуры предприятия является одной из важнейших и, в тоже время, сложнейших задач современного бизнеса. Одно из ключевых средств, используемое для её решения – это SIEM-системы (сокращение от англ. Security information and event management) – системы управления событиями информационной безопасности. Основные задачи, решаемые современным SIEM-приложением: сбор, анализ и предоставление пользователю в удобном виде информации, полученной с различных сетевых компонентов и устройств безопасности. Подобные инструменты позволяют оперативно и с наименьшими трудозатратами реагировать как на уже существующие, так и на потенциальные угрозы безопасности ИТ-инфраструктуры компании.
Популярные решения
Поскольку всё больше руководителей предприятий приходят к пониманию необходимости тщательного подхода к информационной безопасности, рынок SIEM-систем активно развивается, а количество представляемых решений стабильно расширяется. Согласно отчету аналитического агентства Gartner, специализирующегося в области ИТ-решений, несомненными лидерами среди разработчиков SIEM-систем являются компании Splunk (с продуктом Splunk Enterprise Security), IBM (QRadar Security Intelligence Platform), LogRhythm (NextGen SIEM) и McAfee (MсAfee Enterprise Security Manager). Вышеперечисленные инструменты в настоящий момент обладают наибольшей функциональностью среди всего многообразия систем и при этом имеют весьма гибкие настройки. Они представлены и на российском рынке и могут похвастаться такими крупными клиентами, как, например, Сбербанк (IBM QRadar) и Яндекс (Splunk).
Однако с лидерами рынка связаны несколько неприятных для российских пользователей моментов:
Поэтому при выборе SIEM-системы стоит в первую очередь смотреть на то, насколько она удовлетворяет именно вашим запросам, пусть даже в целом набор её возможностей будет чуть уже, чем у конкурентов. И зачастую имеет смысл не выбирать только из «лидеров рейтинга», а обратить внимание на российских разработчиков. На сегодняшний день наиболее известны из них Positive Technologies с решением MaxPatrol SIEM и компания «РУСИЕМ» с продуктом Rusiem.
Если сравнивать эти два продукта, то MaxPatrol обладает большей функциональностью, включен в реестр российского ПО, но стоит ощутимо дороже, чем не так давно появившийся Rusiem. В то же время оба эти продукта уже сумели завоевать определенную популярность на российском рынке ПО, например, MaxPatrol активно используется в ГК «Росатом».
Российские разработки VS зарубежные решения
Тот факт, что SIEM-системы лидеров рынка в среднем обладают большей функциональностью и гибкостью, совершенно не означает, что они опережают отечественные по всем параметрам. Например, говоря об информативности отчета о событии, можно вспомнить, что карточка инцидента в McAfee Enterprise Security Manager имеет 8 полей, в Splunk Enterprise Security максимум 236 штатных полей, а в Rusiem 372 настраиваемых пользователем поля.
Также в качестве примера преимуществ российских разработок можно привести возможность использования языка запросов при работе с фильтрами, а не только regex-формата.
Особенности лицензирования
Кроме технических параметров, при выборе решения следует обращать внимание на особенности лицензирования, так как в итоге это может существенно повлиять на его конечную стоимость, и тут важно выбрать вариант, который подходит именно вашей компании. Например:
Ввиду большого количества факторов, способных повлиять на выбор той или иной SIEM-системы, целью данной статьи не является детальное сравнение различных продуктов. Мы хотим обратить ваше внимание на широкий выбор SIEM-продуктов, доступных на российском рынке. Однозначного ответа на вопрос, какую систему выбрать, не существует. Наши специалисты помогут вам разобраться в этом многообразии, проанализировать потребности вашей компании и в ходе проработки проекта и уточнения технического задания, пилотного внедрения и тестирования выбрать вариант SIEM-системы, оптимально подходящий для решения задач именно вашего бизнеса как по функционалу, так и по цене.
Более детально мы сравним представленные на рынке SIEM-системы в следующий раз.