Журнал "Information Security/ Информационная безопасность" #4, 2024

• 39 SIEM www.itsec.ru для оперативного хранения событий, а также архивов – для экономии дис- кового пространства при хранении исторических данных. Станислав Каменский, Эшелон Технологии Можно применить несколько приемов. 1. В случае высокой нагрузки, по воз- можности, использовать варианты рас- пределенной инсталляции системы, соз- дание кластера БД. Использовать опти- мизированные SIEM, например KOMRAD Enterprise SIEM. 2. Настроить журналирование в систе- мах и определить перечень событий, подлежащих отправке в SIEM, исходя из самых вероятных сценариев действий злоумышленников в контролируемой инфраструктуре. 3. Актуализировать оценку критично- сти имеющихся активов и обрабатывать события от активов с высоким уровнем критичности. Вадим Порошин, Пангео Радар Во-первых, необходимо сегментиро- вать активы в инфраструктуре, выделяя действительно важные. Во-вторых, пред- фильтрация событий: избавляться от мусорных данных до начала их обра- ботки. В-третьих, выбирать SIEM-реше- ния с максимальной возможной степе- нью сжатия событий не только на хра- нении, но и на всех этапах передачи, чтобы сократить нагрузки на каналы связи. Вадим Порошин, Пангео Радар Это сложный вопрос. Немногие заказ- чики, особенно из числа крупных, захотят отдавать свои данные в облако. А маленьким компаниям SIEM пока не по карману. Перспектива будет, если мы совместно с провайдерами облаков придумаем взаимовыгодную схему сотрудничества, где первичной целью будет защита российских компаний, а заработок – вторичной. Тогда пред- приятия SMB-сегмента начнут исполь- зовать облачные SIEM-решения. Дмитрий Пудов, NGR Softlab Вопрос, скорее, в росте популярности облачных решений в России в целом. Если инфраструктуры организаций будут мигрировать в облака, то мы увидим соответствующий рост интереса к облач- ным SIEM. Большинство вендоров гото- вы предложить свои решения в облачной среде, но это не несет дополнительной ценности заказчикам. В среднесрочной перспективе больше шансов увидеть рост спроса на услуги коммерческих SOC со стороны небольших заказчиков, испытывающих проблемы с построением эффективных структур для организации процесса TDIR (Threat Detection, Investi- gation, and Response). Дмитрий Шамаев, Газинформсервис SIEM – довольно дорогой и сложный класс решений. Далеко не каждая орга- низация может себе позволить покупку и содержание такой системе. Поэтому в SIEM-системе должны работать опытные сотрудники, которых необходимо либо подготовить, либо где-то найти уже под- готовленных. Для таких организаций очень заманчиво использование SIEM- систем как облачной услуги. Ожидаю, что будут развиваться облач- ные SIEM в составе SOC-центров. Но есть риски, связанные с утечками конфиденциальной информации, ведь для работы SIEM как услуги требуется отправка практически всех логов из ИТ- инфраструктуры организаций к постав- щику услуг. Далеко не каждая органи- зация готова отправлять конфиденци- альные данные за пределы своего пери- метра, а некоторым это запрещено зако- нами РФ и внутренними требованиями к уровню информационной безопасно- сти. Александр Дорофеев, Эшелон Технологии В силу специфики российского рынка локальные инсталляции будут преобла- дать, но к облакам ведущим вендорам SIEM нужно быть готовыми. KOMRAD Enterprise SIEM изначально разрабаты- вается как Cloud-Native-решение, и в нашем случае переход в облака будет оперативно реализован в случае вос- требованности на рынке. Павел Пугач, СёрчИнформ Облачные внедрения SIEM хороши для тестов и оперативного развертыва- ния, когда компании нужен быстрый результат, а времени на закупку и отлад- ку оборудования нет. Облака в этом смысле удобны и финансово выгодны, но в длительной перспективе небез- опасны: может быть скомпрометировано и само облако, и канал доступа к нему, и сеть заказчика, если вместе с тем скомпрометируется SIEM, содержащая все данные об инфраструктуре. При этом заказчик потеряет доступ к сред- ствам ее защиты. Поэтому не думаю, что в ближайшее время облачные SIEM займут большую нишу и тем более вытеснят локальные системы. Илья Маркелов, Лаборатория Касперского Классический подход требует суще- ственных инвестиций на покупку лицензий и внедрение. Причем эти инвестиции необходимо повторять регулярно при изменениях системы: подключении и обновлении источни- ков, подключении новых площадок и т.д. В то же время компании стре- мятся повышать свою устойчивость и адаптируемость к изменениям, что характеризуется следующими запро- сами: l оплата фактического потребления; l делегирование работ подрядчикам для фокусирования на основном бизнесе; l возможность динамически менять потребление; l масштабируемость без дополнитель- ных расходов. Технологически эти потребности могут быть реализованы как через полноцен- ный сервис по безопасности (MSSP) формата "управляемый SIEM" или "SOC под ключ", так и посредством изменения способа потребления – переходом на подписочное лицензирование и облач- ные сервисы. Первое направление уже довольно активно развивается, а разви- тия второго можно ожидать в средне- срочной перспективе. Пока что этот тренд сдерживается регуляторными ограничениями, возрас- тающей персональной ответственностью руководителей ИБ в сочетании со сни- жением контроля над облачным реше- нием. Павел Гончаров, Positive Technologies Важно исходить из бизнес-задачи. Большинство наших клиентов исполь- зуют on-premise-решения, которые уста- навливаются внутри инфраструктуры компании. Но, безусловно, растет запрос и на SIEM-системы, которые способны работать из облака, как со стороны MSSP-провайдеров, так и со стороны SME-клиентов. Компании хотят строить кибербезопасность и сокращать стои- мость владения. Виктор Никуличев, R-Vision Существует ряд ограничений для раз- вития SIEM в облачной среде, включая нормативные требования и высокую долю собственных систем в организа- ции, требующих подключения к SIEM. Такая гибридная конфигурация требует значительных изменений в сетевой топологии организации. Тем не менее, доверие к облачным технологиям посте- пенно растет, поэтому в долгосрочной перспективе можно ожидать увеличе- ние доли облачных SIEM-решений в России. Однако в ближайшие годы локальные установки продолжат зани- мать значительную долю рынка, осо- бенно в секторах с высокими требова- ниями к безопасности и строгим регу- ляторным контролем. l Каковы перспективы облачных SIEM-решений в России по сравнению с локальными установками? Ваше мнение и вопросы присылайте по адресу is@groteck.ru