Контакты
Подписка 2025

Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?

Редакция журнала "Информационная безопасность", 05/11/24

Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

ris55

Илья Маркелов, Евгения Лагутина, Лаборатория Касперского

Отговаривать совсем не обязательно. Возможно, конкретному заказчику идеально подойдет именно самостоятельно собранный продукт на Open Source. В каком случае это маловероятно? Если заказчик не готов брать на себя риски любого такого проекта:

  • высокие требования к квалификации как аналитиков, так и администраторов;
  • необходимость иметь в штате специалистов по всем компонентам выбранного стека;
  • необходимость самостоятельно отслеживать актуальность версий компонентов;
  • необходимость постоянного анализа используемых свободных библиотек из-за случаев хактивизма – встраивания политических лозунгов и вредоносного кода в публичные открытые проекты.

Павел Гончаров, Positive Technologies

Ни один продукт Open Source на самом деле не является бесплатным. Нужны, как минимум, несколько специалистов, которые будут непрерывно дорабатывать его под инфраструктуру, задачи и ресурсы компании. В итоге проект становится зависимым от людей. Вопросы технической поддержки и разработки правил корреляции остаются открытыми. Так, в нашем MaxPatrol SIEM мы два раза в месяц обновляем правила корреляции и пишем новые, которые отвечают современным угрозам. Над этим у нас работают более 70 человек. "Где компании-пользователю SIEM-системы взять такие ресурсы?" – вопрос открытый. Open Source становится еще более дорогим, чем коммерческие решения.

Даниил Вылегжанин, RuSIEM

Если заказчик планирует использовать Open Source SIEM в своей инфраструктуре, лучше не отговаривать его, а указать на некоторые аспекты и риски, которые часто не учитываются при принятии решения.

Например, в Open Source решениях отсутствует как таковая техническая поддержка, то есть заказчику придется самостоятельно решать проблемы, возникающие при эксплуатации системы, полагаться на сообщество и искать подходящих специалистов для сопровождения и работы с системой.

Очень важен и вопрос безопасности. Открытый код делает систему уязвимой для атак, способных нанести вред всей ИТ-инфраструктуре предприятия, а недостаточное тестирование повышает риск ошибок.

Если заказчику необходимо использовать только сертифицированное программное обеспечение, то однозначно придется отказаться от идеи использования Open Source SIEM.

Виктор Никуличев, R-Vision

Внедрение продуктов Open Source требует высокой квалификации сотрудников и значительных временных затрат для того, чтобы адаптировать их под нужды организации. Перед тем как принять решение о таком внедрении необходимо учесть расходы на персонал. В некоторых случаях затраты на оплату труда могут превысить расходы на использование готового вендорского решения. Следует также помнить о рисках, связанных со стабильностью. Если вы выбираете продукт Open Source, то будете зависеть от наличия на рынке труда квалифицированных инженеров.

Павел Пугач, СёрчИнформ

Во-первых, в Open Source SIEM не будет удобного предустановленного функционала, техподдержки, сертификатов от регулятора. Во-вторых, использование OS – это скорее разработка собственного продукта из имеющихся конструкторов. И как любая разработка, она имеет сроки и затраты, появляются требования к разработчикам и зависимость от них. Наконец, становится актуальней вопрос тестировки, причем тест разворачивается на живой инфраструктуре компании. Любой баг в работе OS SIEM может ей критически навредить.

Дмитрий Шамаев, Газинформсервис

Используя Open Source, надо быть готовым к тому, что после развертывания инструмента вы остаетесь с ним один на один и для приведения его к целевому виду потребуется вложить серьезное количество ресурсов. А этапы интеграции с нестандартными источниками (написание парсеров) и написания собственной экспертизы (правил корреляции, контента) могут исчисляться многими тысячами трудочасов высококвалифицированных специалистов. Добавьте к этому отсутствие внятной политики техподдержки и экспертного анализа, – и вот уже подобные решения перестают быть финансово выгодными.

Дмитрий Пудов, NGR Softlab

Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономической целесообразностью и способностью решать задачи, стоящие перед организацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем контексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source.

Вадим Порошин, Пангео Радар

Отговорить трудно. Идущие на такой шаг обычно переоценивают свои силы и недооценивают трудозатраты. Полноценное внедрение SIEM на базе Open Source – это создание сложной информационной системы, по многим параметрам приближающееся к собственной разработке. Только набив собственные шишки они понимают, какое количество разработчиков, инженеров и аналитиков требуется, чтобы набор Open Source заработал как часы. Дальнейшее поддержание такой системы – не менее трудозатратное дело. Зачем это заказчику, когда вендор уже проделал огромный пласт работы по оптимизации SIEM, интеграции различных компонентов, включая другие решения Open Source?

Николай Лишке, Эшелон Технологии

Основными преимуществами, например, отечественной KOMRAD Enterprise SIEM по сравнению с решениями Open Source являются:

  • расширенные функциональные возможности;
  • наличие пакета экспертиз для работы с отечественными СЗИ;
  • наличие сертификатов ФСТЭК России и Минобороны России;
  • интеграция с ГосСОПКА;
  • доступность как стандартной, так и расширенной техподдержки;
  • десятки региональных партнеров-интеграторов.

Стоит также отметить, что для облегчения перехода с Open Source в версии KOMRAD Enterprise SIEM 4.5 реализован API ElasticSearch для подключения источников событий.

Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 
  • Идеальный портфель сканеров: универсальность, специализация или баланс?
    Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных. 
  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...