Журнал "Information Security/ Информационная безопасность" #2, 2019

– Что мешает вам в выявлении актуальных угроз сейчас? Владимир Бенгин – Нам как вендору совершенно точно не мешает ничего. Но если говорить о типич- ных проблемах, на которых акцентируют внимание пользовате- ли, то это в первую очередь проблемы со штатом. Найти на рынке квалифи- цированных специалистов сегодня – задача повышенной сложности, так же как и удержать собственноручно воспитанные таланты. С учетом посто- янного "утяжеления" продуктов новы- ми технологиями постоянно растут требования и к количеству обслужи- вающего их персонала. Второй серьезной проблемой является цена решений. Большинство SIEM лицензируется по количеству обрабатываемых событий в секунду, и подключить все источники, а также обработать все желаемые сценарии в рамках ограниченного бюджета затруднительно. При этом использо- вание комплементарных к SIEM тех- нологий раздувает затраты на продукт еще больше. Поэтому мы приняли решение ввести плоское лицензиро- вание. Наши пользователи также получают все пакеты экспертизы и собственные фиды Positive Tech- nologies в рамках обычной техниче- ской поддержки. Дмитрий Кандыбович – Есть компании, кото- рые осознают необхо- димость SIEM, но для них это в первую оче- редь вопрос цены. С другой стороны, это вопрос компьютерной грамотности. Не все компании готовы использовать SIEM. Кроме того, полу- чить журнал логов – это одно, а знать, что с ним делать, – это другое. Нужен оператор, который будет спускать вниз перечень мероприятий, которые ком- паниям нужно проводить в случае возникновения тех или иных инциден- тов. Импортозамещение сейчас вытес- няет зарубежных конкурентов. В Рос- сии есть SIEM-решения, их несколько, но функционально развиваются стре- мительными темпами те, у которых есть господдержка, и эти решения недешевые. Их приобретают те ком- пании, которые уже созрели для SIEM и у которых имеются соответствующие бюджеты. Наверное, появятся мелкие игроки, которые будут покрывать сег- мент МСБ. Рынок будет развиваться в любом случае. Наши законы застав- ляют его развиваться. Елена Нагорная – Для того чтобы выявлять актуальные угрозы, необходимо их в первую очередь рас- сматривать из БДУ ФСТЭК России, в кото- ром приводится весь перечень актуальных угроз. Зачастую на факт определения ста- туса угрозы (является угроза актуальной или неактуальной) напрямую влияет уровень компетенции персонала, уро- вень его занятости другими операцион- ными задачами и уровень принятых организационных и технических мер. Вследствие этого возникает потребность в автоматизации работ по определению актуальных угроз, какие текущие орга- низационные и технические меры являются достаточными либо недоста- точными для противодействия угрозам. Лев Палей – Наличие свободных рук и все вышеперечис- ленное. Всегда будет что-то мешающее, оста- ется только концентри- роваться на важном. Сергей Рысин – Отсутствие единой концепции контроля за уязвимостями – такой, которая существует в Европе, США и Кана- де. В итоге мы получа- ем децентрализован- ный сбор данных об актуальных угро- зах, который в конечном счете ведет к разрозненности и неполноте инфор- мации. – Как считаете, как повлияет история со Splunk на рынок SIEM в России? Какие риски на рынке вы видите? Владимир Бенгин – Согласно исследова- ниям, доля Splunk на рынке именно SIEM- систем в России была достаточно небольшой, ее оценивали ниже 10%. Основные клиенты Splunk – ИT-департаменты, и для них потеря решения может стать проблемой. Вопрос о рисках весьма современен, ведь важно не то, что один из вендоров внезапно прекратил работу в России, важно, каковы намерения и реалии других вендоров на российском рынке ИБ и не окажется ли завтра, что и они будут вынуждены его покинуть. Точного ответа на этот вопрос, боюсь, не знает никто, но понятно, что некоторый риск потери досту- па к импортным системам присутствует. Поэтому, выбирая SIEM-систему, стоит не только отталкиваться от функционала, решаемых задач и цены, но и учитывать возможные изменения ландшафта, доступа к новым версиям продукта, тех- нической поддержке и той же эксперти- зе. Тем более что внедрение и обслужи- вание SIEM – это длительный и важный процесс, и менять систему каждые два года весьма накладно. Дмитрий Кандыбович – Таким путем могут пойти многие компании. Но в России сейчас есть разработки, которые могут заменить зарубеж- ные решения. В рамках текущей политической ситуации есть риски того, что в какой-то момент зарубежные решения перестанут продаваться в России. Это может про- изойти по разным причинам. С одной стороны, возможно их вытеснение из-за слабого потенциала продаж, компаниям может быть неинтересно содержать офисы и вкладывать деньги в направ- ления, у которых нет потенциала, это стандартная практика. Кроме того, в Рос- сии сейчас выпущены законы, которые напрямую вытесняют зарубежных поставщиков. • 29 SIEM www.itsec.ru