Журнал "Information Security/ Информационная безопасность" #4, 2024

• 35 SIEM www.itsec.ru Илья Маркелов, Евгения Лагутина, Лаборатория Касперского Отговаривать совсем не обязательно. Возможно, конкретному заказчику иде- ально подойдет именно самостоятельно собранный продукт на Open Source. В каком случае это маловероятно? Если заказчик не готов брать на себя риски любого такого проекта: l высокие требования к квалификации как аналитиков, так и администраторов; l необходимость иметь в штате специа- листов по всем компонентам выбранного стека; l необходимость самостоятельно отсле- живать актуальность версий компонен- тов; l необходимость постоянного анализа используемых свободных библиотек из- за случаев хактивизма – встраивания политических лозунгов и вредоносного кода в публичные открытые проекты. Павел Гончаров, Positive Technologies Ни один продукт Open Source на самом деле не является бесплатным. Нужны, как минимум, несколько специалистов, которые будут непрерывно дорабатывать его под инфраструктуру, задачи и ресур- сы компании. В итоге проект становится зависимым от людей. Вопросы техниче- ской поддержки и разработки правил корреляции остаются открытыми. Так, в нашем MaxPatrol SIEM мы два раза в месяц обновляем правила корреляции и пишем новые, которые отвечают совре- менным угрозам. Над этим у нас рабо- тают более 70 человек. "Где компании- пользователю SIEM-системы взять такие ресурсы?" – вопрос открытый. Open Source становится еще более дорогим, чем коммерческие решения. Даниил Вылегжанин, RuSIEM Если заказчик планирует использовать Open Source SIEM в своей инфраструк- туре, лучше не отговаривать его, а ука- зать на некоторые аспекты и риски, которые часто не учитываются при при- нятии решения. Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, воз- никающие при эксплуатации системы, полагаться на сообщество и искать под- ходящих специалистов для сопровожде- ния и работы с системой. Очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недо- статочное тестирование повышает риск ошибок. Если заказчику необходимо исполь- зовать только сертифицированное про- граммное обеспечение, то однозначно придется отказаться от идеи использо- вания Open Source SIEM. Виктор Никуличев, R-Vision Внедрение продуктов Open Source требует высокой квалификации сотруд- ников и значительных временных затрат для того, чтобы адаптировать их под нужды организации. Перед тем как при- нять решение о таком внедрении необхо- димо учесть расходы на персонал. В некоторых случаях затраты на оплату труда могут превысить расходы на использование готового вендорского решения. Следует также помнить о рис- ках, связанных со стабильностью. Если вы выбираете продукт Open Source, то будете зависеть от наличия на рынке труда квалифицированных инженеров. Павел Пугач, СёрчИнформ Во-первых, в Open Source SIEM не будет удобного предустановленного функционала, техподдержки, сертифи- катов от регулятора. Во-вторых, исполь- зование OS – это скорее разработка собственного продукта из имеющихся конструкторов. И как любая разработ- ка, она имеет сроки и затраты, появляются требования к разработчи- кам и зависимость от них. Наконец, становится актуальней вопрос тести- ровки, причем тест разворачивается на живой инфраструктуре компании. Любой баг в работе OS SIEM может ей критически навредить. Как отговорить заказчи- ка от внедрения SIEM на основе продуктов Open Source? SIEM на распутье. Мнение экспертов рынка азработчики российских систем SIEM в ответ на тренды развития ИБ иногда выбирают диаметрально противоположные стратегии развития своих продуктов. Редакция журнала узнала, как вендоры видят расширение функциональности своих решений, каковы перспективы роста облачных систем этого класса, а также какими изменениями можно оптимизировать уже используемый SIEM. Р Даниил Вылегжанин, начальник отдела технического сопровождения продаж RuSIEM Павел Гончаров, руководитель направления развития продуктов по мониторингу ИБ и управлению инцидентами, Positive Technologies Александр Дорофеев, генеральный директор АО “Эшелон Технологии" Станислав Каменский, ведущий инженер группы внедрения средств защиты информации центра кибербезопасности АО НПО “Эшелон" Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского" Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии" Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского" Виктор Никуличев, продакт-менеджер R-Vision SIEM Вадим Порошин, директор по развитию “Пангео Радар" Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab Павел Пугач, системный аналитик “СёрчИнформ" Дмитрий Шамаев, менеджер по продукту Ankey SIEM NG, “Газинформсервис"