Контакты
Подписка 2025

Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?

Редакция журнала "Информационная безопасность", 05/11/24

Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

ris55

Илья Маркелов, Евгения Лагутина, Лаборатория Касперского

Отговаривать совсем не обязательно. Возможно, конкретному заказчику идеально подойдет именно самостоятельно собранный продукт на Open Source. В каком случае это маловероятно? Если заказчик не готов брать на себя риски любого такого проекта:

  • высокие требования к квалификации как аналитиков, так и администраторов;
  • необходимость иметь в штате специалистов по всем компонентам выбранного стека;
  • необходимость самостоятельно отслеживать актуальность версий компонентов;
  • необходимость постоянного анализа используемых свободных библиотек из-за случаев хактивизма – встраивания политических лозунгов и вредоносного кода в публичные открытые проекты.

Павел Гончаров, Positive Technologies

Ни один продукт Open Source на самом деле не является бесплатным. Нужны, как минимум, несколько специалистов, которые будут непрерывно дорабатывать его под инфраструктуру, задачи и ресурсы компании. В итоге проект становится зависимым от людей. Вопросы технической поддержки и разработки правил корреляции остаются открытыми. Так, в нашем MaxPatrol SIEM мы два раза в месяц обновляем правила корреляции и пишем новые, которые отвечают современным угрозам. Над этим у нас работают более 70 человек. "Где компании-пользователю SIEM-системы взять такие ресурсы?" – вопрос открытый. Open Source становится еще более дорогим, чем коммерческие решения.

Даниил Вылегжанин, RuSIEM

Если заказчик планирует использовать Open Source SIEM в своей инфраструктуре, лучше не отговаривать его, а указать на некоторые аспекты и риски, которые часто не учитываются при принятии решения.

Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.

Очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.

Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.

Виктор Никуличев, R-Vision

Внедрение продуктов Open Source требует высокой квалификации сотрудников и значительных временных затрат для того, чтобы адаптировать их под нужды организации. Перед тем как принять решение о таком внедрении необходимо учесть расходы на персонал. В некоторых случаях затраты на оплату труда могут превысить расходы на использование готового вендорского решения. Следует также помнить о рисках, связанных со стабильностью. Если вы выбираете продукт Open Source, то будете зависеть от наличия на рынке труда квалифицированных инженеров.

Павел Пугач, СёрчИнформ

Во-первых, в Open Source SIEM не будет удобного предустановленного функционала, техподдержки, сертификатов от регулятора. Во-вторых, использование OS – это скорее разработка собственного продукта из имеющихся конструкторов. И как любая разработка, она имеет сроки и затраты, появляются требования к разработчикам и зависимость от них. Наконец, становится актуальней вопрос тестировки, причем тест разворачивается на живой инфраструктуре компании. Любой баг в работе OS SIEM может ей критически навредить.

Дмитрий Шамаев, Газинформсервис

Используя Open Source, надо быть готовым к тому, что после развертывания инструмента вы остаетесь с ним один на один и для приведения его к целевому виду потребуется вложить серьезное количество ресурсов. А этапы интеграции с нестандартными источниками (написание парсеров) и написания собственной экспертизы (правил корреляции, контента) могут исчисляться многими тысячами трудочасов высококвалифицированных специалистов. Добавьте к этому отсутствие внятной политики техподдержки и экспертного анализа, – и вот уже подобные решения перестают быть финансово выгодными.

Дмитрий Пудов, NGR Softlab

Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономической целесообразностью и способностью решать задачи, стоящие перед организацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем контексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source.

Вадим Порошин, Пангео Радар

Отговорить трудно. Идущие на такой шаг обычно переоценивают свои силы и недооценивают трудозатраты. Полноценное внедрение SIEM на базе Open Source – это создание сложной информационной системы, по многим параметрам приближающееся к собственной разработке. Только набив собственные шишки они понимают, какое количество разработчиков, инженеров и аналитиков требуется, чтобы набор Open Source заработал как часы. Дальнейшее поддержание такой системы – не менее трудозатратное дело. Зачем это заказчику, когда вендор уже проделал огромный пласт работы по оптимизации SIEM, интеграции различных компонентов, включая другие решения Open Source?

Николай Лишке, Эшелон Технологии

Основными преимуществами, например, отечественной KOMRAD Enterprise SIEM по сравнению с решениями Open Source являются:

  • расширенные функциональные возможности;
  • наличие пакета экспертиз для работы с отечественными СЗИ;
  • наличие сертификатов ФСТЭК России и Минобороны России;
  • интеграция с ГосСОПКА;
  • доступность как стандартной, так и расширенной техподдержки;
  • десятки региональных партнеров-интеграторов.

Стоит также отметить, что для облегчения перехода с Open Source в версии KOMRAD Enterprise SIEM 4.5 реализован API ElasticSearch для подключения источников событий.

Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Обмануть, чтобы не быть обманутым. Эксперты о развитии технологии Deception
    И на общемировом, и на российском рынках ИБ заметна тенденция на превращение Deception в важный инструмент защиты, способный не только обнаруживать угрозы, но и активно влиять на стратегии кибербезопасности. Редакция журнала "Информационная безопасность" поинтересовалась у экспертов о практике применения этой технологии и перспективах ее развития в ближайшие годы.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...