Журнал "Information Security/ Информационная безопасность" #4, 2024

36 • СПЕЦПРОЕКТ Дмитрий Шамаев, Газинформсервис Используя Open Source, надо быть готовым к тому, что после развертыва- ния инструмента вы остаетесь с ним один на один и для приведения его к целевому виду потребуется вложить серьезное количество ресурсов. А этапы интеграции с нестандартными источни- ками (написание парсеров) и написания собственной экспертизы (правил корре- ляции, контента) могут исчисляться мно- гими тысячами трудочасов высококва- лифицированных специалистов. Добавь- те к этому отсутствие внятной политики техподдержки и экспертного анализа, – и вот уже подобные решения перестают быть финансово выгодными. Дмитрий Пудов, NGR Softlab Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономиче- ской целесообразностью и способностью решать задачи, стоящие перед органи- зацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем кон- тексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source. Вадим Порошин, Пангео Радар Отговорить трудно. Идущие на такой шаг обычно переоценивают свои силы и недооценивают трудозатраты. Пол- ноценное внедрение SIEM на базе Open Source – это создание сложной инфор- мационной системы, по многим пара- метрам приближающееся к собствен- ной разработке. Только набив собст- венные шишки они понимают, какое количество разработчиков, инженеров и аналитиков требуется, чтобы набор Open Source заработал как часы. Даль- нейшее поддержание такой системы – не менее трудозатратное дело. Зачем это заказчику, когда вендор уже про- делал огромный пласт работы по опти- мизации SIEM, интеграции различных компонентов, включая другие решения Open Source? Николай Лишке, Эшелон Технологии Основными преимуществами, напри- мер, отечественной KOMRAD Enterprise SIEM по сравнению с решениями Open Source являются: l расширенные функциональные воз- можности; l наличие пакета экспертиз для работы с отечественными СЗИ; l наличие сертификатов ФСТЭК России и Минобороны России; l интеграция с ГосСОПКА; l доступность как стандартной, так и расширенной техподдержки; l десятки региональных партнеров- интеграторов. Стоит также отметить, что для облег- чения перехода с Open Source в версии KOMRAD Enterprise SIEM 4.5 реализован API ElasticSearch для подключения источ- ников событий. Дмитрий Шамаев, Газинформсервис 1. Использование среды оркестрации контейнерных систем для автоматизации развертывания, управления и масшта- бирования SIEM. 2. Улучшенная интеграция с собст- венным программным комплексом пове- денческой аналитики (Ankey ASAP). 3. Развитие интерфейсов интеграции со сторонними системами поддержки принятия решений. 4. Интеграция с системами управления доступом (SSO) – OAuth, SAML, OpenID. Виктор Никуличев, R-Vision: Компания R-Vision разрабатывает про- дукты для создания центров мониторинга кибербезопасности. Логичным продол- жением этой работы станет интеграция R-Vision SIEM с другими решениями R-Vision. Это позволит: l эффективно реагировать на инциден- ты; l увеличить число кросс-продуктовых сценариев; l управлять решением через единый интерфейс; l обогащать данные с помощью R-Vision TIP и R-Vision VM; l выявлять аномалии благодаря инстру- ментам машинного обучения (ML) от R-Vision UEBA; l собирать информацию с конечных устройств с помощью R-Vision Endpoint. Даниил Вылегжанин, RuSIEM Мы выпустили продукт RuSIEM Moni- toring, который позволяет отслеживать состояние объектов информационной инфраструктуры с точки зрения конфи- гурации, доступности, контроля нагрузки на конечные узлы, запущенных на них служб и процессов, а также имеющий встроенную систему Help Desk. Сначала предполагалось, что этот продукт будет самостоятельным, однако в настоящий момент мы работаем над более тесной интеграцией с нашей SIEM-системой, чтобы предоставить заказчикам воз- можности мониторинга конечных узлов из единого интерфейса. Мы также рабо- таем над созданием EDR на базе нашего RuSIEM-агента и параллельно смотрим в сторону собственного IRP-/SOAR-реше- ния. Вадим Порошин, Пангео Радар 1. IRP. Частично это уже реализовано: выдаем рекомендации по устранению угроз и выявленным инцидентам, поз- воляем настраивать полный жизненный цикл инцидента, любые статусы, SLA, групповые действия. 2. NTA. Во внутреннем контуре уже тестируется функционал решения на основе Suricata. Павел Гончаров, Positive Technologies Мы идем в сторону развития функцио- нальности, связанной с расширением воз- можности выявления атак с помощью Flow- протоколов от сетевых устройств. Мы будем расширять мониторинг источников. Кроме того, мы сосредотачиваем усилия на расширении возможностей технологии Asset Management в MaxPatrol SIEM, что Функциональность каких смежных классов ИБ- и ИТ-решений вы плани- руете добавить в свой SIEM в ближайшие 2–3 года?