Какие риски на рынке SIEM?
Екатерина Данилина, 26.06.19
Как считаете, как повлияет история со Splunk на рынок SIEM в России? Какие риски на рынке вы видите?
Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies
Согласно исследованиям, доля Splunk на рынке именно SIEM-систем в России была достаточно небольшой, ее оценивали ниже 10%. Основные клиенты Splunk – ИT-департаменты, и для них потеря решения может стать проблемой. Вопрос о рисках весьма современен, ведь важно не то, что один из вендоров внезапно прекратил работу в России, важно, каковы намерения и реалии других вендоров на российском рынке ИБ, и не окажется ли завтра, что и они будут вынуждены его покинуть. Точного ответа на этот вопрос, боюсь, не знает никто, но понятно, что некоторый риск потери доступа к импортным системам присутствует.
Поэтому, выбирая SIEM-систему, стоит не только отталкиваться от функционала, решаемых задач и цены, но и учитывать возможные изменения ландшафта, доступа к новым версиям продукта, технической поддержке и той же экспертизе. Тем более что внедрение и обслуживание SIEM – это длительный и важный процесс, и менять систему каждые два года весьма накладно.
Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")
Таким путем могут пойти многие компании. Но в России сейчас есть разработки, которые могут заменить зарубежные решения. В рамках текущей политической ситуации есть риски того, что в какой-то момент зарубежные решения перестанут продаваться в России. Это может произойти по разным причинам. С одной стороны, возможно их вытеснение из-за слабого потенциала продаж, компаниям может быть неинтересно содержать офисы и вкладывать деньги в направления, у которых нет потенциала, это стандартная практика. Кроме того, в России сейчас выпущены законы, которые напрямую вытесняют зарубежных поставщиков.
Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"
Уход Splunk стал неожиданностью для многих его российских клиентов. Возникло множество вопросов, которые можно сформулировать как один единый вопрос: как быть с технической поддержкой по существующим контрактам? Безусловно, факт ухода повлияет и на определенные действия конечных заказчиков: это выбор нового SIEM-вендора, миграция на новую SIEM с предварительным пилотированием, пересмотр бюджета компании (т.к. в большинстве случаев на SIEM-решения тратятся значительные денежные ресурсы), изыскание собственных человеческих ресурсов без отрыва от операционной деятельности по миграции и приемке в промышленную эксплуатацию новой SIEM-системы, пересмотр подхода при заключении договоров с поставщиками SIEM в рамках обязательств и гарантий в период технической поддержки.
Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”
Пример того самого прецедента, который принято считать показательным. С одной стороны, представители отечественных производителей будут настоятельно указывать на эту историю, как на преимущество лоббируемых решений, с другой – это возможно простимулирует рынок BI-решений, появится больше практических кейсов автоматизации в нашем направлении с учетом интеграции с SIEM. Риски как таковые тут для меня не ясны, изменения – это всегда возможности.
Сергей Рысин, эксперт по информационной безопасности
Это возвращает нас к началу разговора. Данная ситуация уже повлияла на российский рынок: в действительности возникла существенная потребность в системах UEBA, но полноценные аналоги на российском рынке отсутствуют. Нужно помочь отечественным разработчикам, сформировав и описав спрос на их технологии, и рынок подтянется.
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?