Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
Редакция журнала "Информационная безопасность", 05/11/24
Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
Илья Маркелов, Евгения Лагутина, Лаборатория Касперского
Отговаривать совсем не обязательно. Возможно, конкретному заказчику идеально подойдет именно самостоятельно собранный продукт на Open Source. В каком случае это маловероятно? Если заказчик не готов брать на себя риски любого такого проекта:
- высокие требования к квалификации как аналитиков, так и администраторов;
- необходимость иметь в штате специалистов по всем компонентам выбранного стека;
- необходимость самостоятельно отслеживать актуальность версий компонентов;
- необходимость постоянного анализа используемых свободных библиотек из-за случаев хактивизма – встраивания политических лозунгов и вредоносного кода в публичные открытые проекты.
Павел Гончаров, Positive Technologies
Ни один продукт Open Source на самом деле не является бесплатным. Нужны, как минимум, несколько специалистов, которые будут непрерывно дорабатывать его под инфраструктуру, задачи и ресурсы компании. В итоге проект становится зависимым от людей. Вопросы технической поддержки и разработки правил корреляции остаются открытыми. Так, в нашем MaxPatrol SIEM мы два раза в месяц обновляем правила корреляции и пишем новые, которые отвечают современным угрозам. Над этим у нас работают более 70 человек. "Где компании-пользователю SIEM-системы взять такие ресурсы?" – вопрос открытый. Open Source становится еще более дорогим, чем коммерческие решения.
Даниил Вылегжанин, RuSIEM
Если заказчик планирует использовать Open Source SIEM в своей инфраструктуре, лучше не отговаривать его, а указать на некоторые аспекты и риски, которые часто не учитываются при принятии решения.
Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.
Очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.
Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.
Виктор Никуличев, R-Vision
Внедрение продуктов Open Source требует высокой квалификации сотрудников и значительных временных затрат для того, чтобы адаптировать их под нужды организации. Перед тем как принять решение о таком внедрении необходимо учесть расходы на персонал. В некоторых случаях затраты на оплату труда могут превысить расходы на использование готового вендорского решения. Следует также помнить о рисках, связанных со стабильностью. Если вы выбираете продукт Open Source, то будете зависеть от наличия на рынке труда квалифицированных инженеров.
Павел Пугач, СёрчИнформ
Во-первых, в Open Source SIEM не будет удобного предустановленного функционала, техподдержки, сертификатов от регулятора. Во-вторых, использование OS – это скорее разработка собственного продукта из имеющихся конструкторов. И как любая разработка, она имеет сроки и затраты, появляются требования к разработчикам и зависимость от них. Наконец, становится актуальней вопрос тестировки, причем тест разворачивается на живой инфраструктуре компании. Любой баг в работе OS SIEM может ей критически навредить.
Дмитрий Шамаев, Газинформсервис
Используя Open Source, надо быть готовым к тому, что после развертывания инструмента вы остаетесь с ним один на один и для приведения его к целевому виду потребуется вложить серьезное количество ресурсов. А этапы интеграции с нестандартными источниками (написание парсеров) и написания собственной экспертизы (правил корреляции, контента) могут исчисляться многими тысячами трудочасов высококвалифицированных специалистов. Добавьте к этому отсутствие внятной политики техподдержки и экспертного анализа, – и вот уже подобные решения перестают быть финансово выгодными.
Дмитрий Пудов, NGR Softlab
Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономической целесообразностью и способностью решать задачи, стоящие перед организацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем контексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source.
Вадим Порошин, Пангео Радар
Отговорить трудно. Идущие на такой шаг обычно переоценивают свои силы и недооценивают трудозатраты. Полноценное внедрение SIEM на базе Open Source – это создание сложной информационной системы, по многим параметрам приближающееся к собственной разработке. Только набив собственные шишки они понимают, какое количество разработчиков, инженеров и аналитиков требуется, чтобы набор Open Source заработал как часы. Дальнейшее поддержание такой системы – не менее трудозатратное дело. Зачем это заказчику, когда вендор уже проделал огромный пласт работы по оптимизации SIEM, интеграции различных компонентов, включая другие решения Open Source?
Николай Лишке, Эшелон Технологии
Основными преимуществами, например, отечественной KOMRAD Enterprise SIEM по сравнению с решениями Open Source являются:
- расширенные функциональные возможности;
- наличие пакета экспертиз для работы с отечественными СЗИ;
- наличие сертификатов ФСТЭК России и Минобороны России;
- интеграция с ГосСОПКА;
- доступность как стандартной, так и расширенной техподдержки;
- десятки региональных партнеров-интеграторов.
Стоит также отметить, что для облегчения перехода с Open Source в версии KOMRAD Enterprise SIEM 4.5 реализован API ElasticSearch для подключения источников событий.