Контакты
Подписка 2025

Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?

Редакция журнала "Информационная безопасность", 05/11/24

Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

ris55

Илья Маркелов, Евгения Лагутина, Лаборатория Касперского

Отговаривать совсем не обязательно. Возможно, конкретному заказчику идеально подойдет именно самостоятельно собранный продукт на Open Source. В каком случае это маловероятно? Если заказчик не готов брать на себя риски любого такого проекта:

  • высокие требования к квалификации как аналитиков, так и администраторов;
  • необходимость иметь в штате специалистов по всем компонентам выбранного стека;
  • необходимость самостоятельно отслеживать актуальность версий компонентов;
  • необходимость постоянного анализа используемых свободных библиотек из-за случаев хактивизма – встраивания политических лозунгов и вредоносного кода в публичные открытые проекты.

Павел Гончаров, Positive Technologies

Ни один продукт Open Source на самом деле не является бесплатным. Нужны, как минимум, несколько специалистов, которые будут непрерывно дорабатывать его под инфраструктуру, задачи и ресурсы компании. В итоге проект становится зависимым от людей. Вопросы технической поддержки и разработки правил корреляции остаются открытыми. Так, в нашем MaxPatrol SIEM мы два раза в месяц обновляем правила корреляции и пишем новые, которые отвечают современным угрозам. Над этим у нас работают более 70 человек. "Где компании-пользователю SIEM-системы взять такие ресурсы?" – вопрос открытый. Open Source становится еще более дорогим, чем коммерческие решения.

Даниил Вылегжанин, RuSIEM

Если заказчик планирует использовать Open Source SIEM в своей инфраструктуре, лучше не отговаривать его, а указать на некоторые аспекты и риски, которые часто не учитываются при принятии решения.

Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.

Очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.

Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.

Виктор Никуличев, R-Vision

Внедрение продуктов Open Source требует высокой квалификации сотрудников и значительных временных затрат для того, чтобы адаптировать их под нужды организации. Перед тем как принять решение о таком внедрении необходимо учесть расходы на персонал. В некоторых случаях затраты на оплату труда могут превысить расходы на использование готового вендорского решения. Следует также помнить о рисках, связанных со стабильностью. Если вы выбираете продукт Open Source, то будете зависеть от наличия на рынке труда квалифицированных инженеров.

Павел Пугач, СёрчИнформ

Во-первых, в Open Source SIEM не будет удобного предустановленного функционала, техподдержки, сертификатов от регулятора. Во-вторых, использование OS – это скорее разработка собственного продукта из имеющихся конструкторов. И как любая разработка, она имеет сроки и затраты, появляются требования к разработчикам и зависимость от них. Наконец, становится актуальней вопрос тестировки, причем тест разворачивается на живой инфраструктуре компании. Любой баг в работе OS SIEM может ей критически навредить.

Дмитрий Шамаев, Газинформсервис

Используя Open Source, надо быть готовым к тому, что после развертывания инструмента вы остаетесь с ним один на один и для приведения его к целевому виду потребуется вложить серьезное количество ресурсов. А этапы интеграции с нестандартными источниками (написание парсеров) и написания собственной экспертизы (правил корреляции, контента) могут исчисляться многими тысячами трудочасов высококвалифицированных специалистов. Добавьте к этому отсутствие внятной политики техподдержки и экспертного анализа, – и вот уже подобные решения перестают быть финансово выгодными.

Дмитрий Пудов, NGR Softlab

Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономической целесообразностью и способностью решать задачи, стоящие перед организацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем контексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source.

Вадим Порошин, Пангео Радар

Отговорить трудно. Идущие на такой шаг обычно переоценивают свои силы и недооценивают трудозатраты. Полноценное внедрение SIEM на базе Open Source – это создание сложной информационной системы, по многим параметрам приближающееся к собственной разработке. Только набив собственные шишки они понимают, какое количество разработчиков, инженеров и аналитиков требуется, чтобы набор Open Source заработал как часы. Дальнейшее поддержание такой системы – не менее трудозатратное дело. Зачем это заказчику, когда вендор уже проделал огромный пласт работы по оптимизации SIEM, интеграции различных компонентов, включая другие решения Open Source?

Николай Лишке, Эшелон Технологии

Основными преимуществами, например, отечественной KOMRAD Enterprise SIEM по сравнению с решениями Open Source являются:

  • расширенные функциональные возможности;
  • наличие пакета экспертиз для работы с отечественными СЗИ;
  • наличие сертификатов ФСТЭК России и Минобороны России;
  • интеграция с ГосСОПКА;
  • доступность как стандартной, так и расширенной техподдержки;
  • десятки региональных партнеров-интеграторов.

Стоит также отметить, что для облегчения перехода с Open Source в версии KOMRAD Enterprise SIEM 4.5 реализован API ElasticSearch для подключения источников событий.

Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...