Контакты
Подписка 2025
Статьи по информационной безопасности

Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM

Виктор Никуличев, 08/10/24

SIEM-система — ключевой элемент в работе SOC, так как бизнес-процессы центров мониторинга и реагирования построены на базе именно этого класса решений. Благодаря SIEM можно централизованно управлять событиями информационной безопасности и анализировать их.

Автор: Виктор Никуличев, продакт-менеджер R-Vision

На рынке информационной безопасности представлено большое количество SIEM-систем от разных вендоров. Все они выполняют схожие задачи: сбор, анализ и корреляцию событий безопасности, обнаружение инцидентов и предоставление отчетов, – сегодня каждая SIEM-система успешно закрывает этот базовый набор задач. Однако, несмотря на общую цель, каждая SIEM проявляет свои уникальные особенности и преимущества в процессе использования.

Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.

Рассмотрим график на рис. 1: в зависимости от целевой нагрузки системы он показывает стоимость обслуживания и поддержки SIEM-системы: подключения источников, изменения архитектуры, трансформации топологии и добавления новых средств. На графике отмечены три точки, где он резко меняет свое своего поведение.

ris1_w-Oct-08-2024-12-40-49-2289-PM
Рис. 1. Cтоимость обслуживания и поддержки SIEM-системы

Почему растет стоимость эксплуатации SIEM?

В процессе эксплуатации SIEM пользователи сталкиваются с различными задачами, трудозатратность которых напрямую зависит от размера и сложности самой системы. Чем масштабнее структура системы, тем больше времени и усилий требуется для устранения неполадок и поиска конкретных ошибок. Отметим некоторые из них.

  1. Большое количество доработок через внутренние интерфейсы и “костыли”, которые позволяют решить проблему “здесь и сейчас”, однако приводят к огромным расходам на поддержку таких решений в будущем.
  2. Объемный процесс устранения неполадок. Поиск и устранение неисправностей в SIEM-системе может быть многоуровневым и дорогостоящим. Сложная структура и большое количество затрагиваемых бизнес-процессов в системе SIEM затрудняют диагностику, отладку и поиск ошибки.
  3. Ситуационное масштабирование нагрузки. Адаптация системы к изменяющимся нагрузкам и требованиям бизнеса также требует времени. Поиск оптимальной конфигурации, как правило, проходит методом проб и ошибок, а значит включает в себя тестирование различных сценариев и архитектур системы. Применение таких сценариев занимает значительное время на создание, конфигурацию и перенос машин.

Исходя из вышеописанного, одна из ключевых задач – это преодоление ограничений и недостатков имеющегося в системе инструментария. Вместо того чтобы сосредоточиться на ключевой задаче – поддержке развития бизнеса, – пользователю приходится тратить время на решение вышеперечисленных непрофильных проблем. Однако при правильном подходе к использованию инструментов ресурсы могут расходоваться более эффективно.

Каким должен быть SIEM в организации?

Правило первое – простота

SIEM – это Management-система, а значит она должна быть гибкой и уметь подстраиваться под индивидуальные задачи пользователя. Например, R-Vision SIEM интегрирована с технологией Kubernetes, что позволяет масштабировать ее буквально в несколько кликов. Можно увеличить количество ядер, которое использует система, прямо из интерфейса.

В R-Vision SIEM мы изменили подход к корреляции. Теперь коррелятор распределен между несколькими физическими машинами, что делает его более отказоустойчивым и открывает возможности для горизонтальной масштабируемости. Это гораздо более экономичный вариант по сравнению со стандартным вертикальным масштабированием.

Синергия функционала распределенной корреляции с технологией Kubernetes расширяет возможности масштабирования и отказоустойчивости. Пользователь задает объем ресурсов, необходимый для задач корреляции, и система сама резервирует физические ресурсы, а в случае сбоев перекидывает логику на другие сервера без потерь. Все составляющие корреляции по умолчанию работают в режиме высокой доступности (High Availability) без простаивания резервных мощностей.

Правило второе – возможности

В процессе масштабирования и развития компании возникает задача интеграции SIEM-системы в ее структуру. Этот процесс включает в себя две основные составляющие.

  1. 1. Встраивание в бизнес-процессы, что подразумевает вовлечение работающих с SIEM специалистов в процессы модернизации и обновления системы.

    Они занимаются разработкой правил детектирования и нормализации, созданием отчетов и дашбордов, – все это является конфигурируемой частью SIEM. Обычно над созданием такого контента работает не один человек, а команда или даже целый отдел, следовательно, их работа должна быть организована с учетом определенных правил. Для SIEM-системы критически важно получать качественный и надежный контент, поэтому его следует вести в полном цикле CI/CD, который включает в себя управление версиями, тестирование и проверку кода.

    Для эффективного управления такими процессами, в R-Vision SIEM вся контентная экспертиза представлена в парадигме "как код". Таким образом, разработка и поддержка контента не ограничены интерфейсом самого решения SIEM. Организации могут встраивать процесс разработки контента в свои бизнес-процессы, свои системы управления разработкой, доставкой и интеграции CI/CD.
  2. Интеграция с информационной средой компании. На этом этапе мы говорим о подключении различных источников данных и управлении процессом их обработки. В системе R-Vision SIEM есть централизованный интерфейс для управления ETL-процессом (процессом извлечения, преобразования и загрузки данных), процессом обработки событий и всеми транспортерами, что значительно упрощает интеграцию и снижает риск ошибок при настройке (см. рис. 2).

ris2_w-1
Рис. 2. Конвейер обработки событий в R-Vision SIEM

Правило третье – удобство, необходимое для скорости работы

SIEM-система требует внимания и контроля со стороны инженеров. А скорость и качество внесения изменений зависят от функциональности и доступности инструментов, которые необходимы для работы с SIEM.

Инженеру важно, чтобы SIEM-система была удобной в использовании, и R-Vision SIEM предоставляет широкий инструментарий, который помогает пользователю успешно решать поставленные задачи.

Один из инструментов – специальный плагин для разработки контента R-Object. Плагин помогает вести разработку профессионально со всеми необходимыми подсказками, проверками, автоматическим тестированием и пошаговой отладкой. Благодаря этому инструменту инженеры могут быстро и качественно разрабатывать правила корреляции и нормализации, а также проводить их тестирование в отсутствии доступа к стенду SIEM.

Важным преимуществом для инженера является видимость ключевых метрик на каждом этапе обработки событий прямо в конвейере в онлайн-режиме, чтобы быстро локализовать и устранять возникающие проблемы, не тратя время на поиск места, где что-то могло сломаться.

С другой стороны, в условиях сложных инфраструктур, где требуется быстрая реакция на инциденты, расследование является более комплексной процедурой, так как требует сбора всех артефактов и участников инцидента для точного и полного реагирования. Инструментарий поиска в системе R-Vision SIEM позволяет аналитикам быстро ориентироваться в большом количестве событий. Одна из ключевых особенностей системы – продвинутая статистика. Она позволяет строить статистические данные по всем полям выборки, чтобы быстро знакомиться со всеми деталями. Это значительно ускоряет процесс локализации инцидента, анализа событий и данных, а также принятия решений.

Правило четвертое – опыт

Рынок SIEM уже сформирован, и его участники предъявляют определенные требования к системам.

Это означает, что любой новый продукт должен обладать базовым набором функций, необходимых для успешной работы в инфраструктуре заказчика. Все понимают, что внедрение SIEM-системы может быть сложным процессом. Для успешной интеграции продукта необходимо предоставить заказчику контент из коробки, который позволит быстро и качественно внедрить систему и решить все основные задачи. Нужна также проектная команда, обладающая глубокими знаниями и опытом, она играет ключевую роль в этом процессе, помогая преодолевать любые трудности и реализовывать проекты любой сложности.

R-Vision SIEM предлагает широкий спектр возможностей для мониторинга, отладки и управления ролями. Это делает ее оптимальным решением для организаций, которые стремятся обеспечить высокий уровень информационной безопасности.

Кроме того, в R-Vision SIEM разработана своя программа обучения, которая позволяет ознакомиться с особенностями работы с решением. Обучение позволяет специалистам быстро и качественно освоиться с продуктом и основными задачами, чтобы подготовиться к эффективному внедрению SIEM в организации.

В заключение

Разнообразие предложений SIEM на рынке позволяет организациям выбирать решения, наилучшим образом соответствующие их специфическим потребностям и бюджету.

Однако, помимо первоначальных затрат на приобретение и внедрение, важно учитывать долгосрочные расходы на обслуживание и поддержку системы, которые могут существенно повлиять на общую стоимость, а также необходимо ориентироваться на потребности инженеров, которые будут работать с этой системой.
Темы:SIEMR-VisionЖурнал "Информационная безопасность" №4, 2024R-Vision SIEM

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"