Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:
Роман Ванерке, ДиалогНаука: Безусловно, движение в сторону NG-SIEM будет. Наверное, ключевой вопрос в сроках и терминологии, ведь NG-SIEM можно трактовать по-разному. SIEM в своем базовом исполнении производит множество алертов, и требуется постоянная работа, чтобы снизить долю ложных срабатываний. Стоит также отметить, что рынок требует продвинутой аналитики на больших объемах данных и на больших скоростях, чего зачастую можно достигнуть только в облачной реализации.
Сергей Кривошеин, NGR Softlab: NG-SIEM в текущей парадигме – это мультикомбайн. Некоторые отечественные SIEM уже полным ходом движутся к этому статусу: функционал обогащается встроенными IRP, NDR, UEBA и прочими подсистемами, востребованными в SOC. На мой взгляд, эпитет Next Generation можно применять к SIEM, только если подключение нестандартных источников станет интуитивным, а способы обнаружения уйдут от сигнатурной модели. Что касается облачных SIEM, то они направлены на небольшой сегмент бизнеса, где службы ИБ еще не доросли до осознания востребованности SIEM.
Максим Степченков, RuSIEM: Если подразумевать под NG-SIEM переход от классического выявления инцидентов через правила корреляции к использованию искусственного интеллекта и машинного обучения для выявления угроз, то этот процесс среди российских вендоров уже начался. Мы тоже стремимся к тому, чтобы SIEM-система подсвечивала заказчику моменты, которые еще не охвачены правилами корреляции. Если же в термин NG-SIEM закладывать обработку еще большего объема и типов данных для прогнозирования вероятности того, что определенные события или инциденты произойдут в будущем, то это более сложная задача, требующая больших вычислительных ресурсов. Оптимальным вариантом для решения этой задачи может стать использование облаков, ведь далеко не каждый заказчик способен найти нужные мощности в своей инфраструктуре. Но, несмотря на привлекательность облачных сервисов, в России заказчики по-прежнему предпочитают варианты установки SIEM-решений on-premise. И в среднесрочной перспективе ситуация вряд ли изменится.
Иван Чернов, UserGate: Однозначно российские решения пойдут по перспективному пути NG-SIEM: она комплексная и более гибкая для заказчика. Это выражается в повышении комфорта использования систем специалистами, снижении порога входа в уверенное владение продуктом. Используя NG-SIEM, легче и проще управлять периметром безопасности компании и обеспечением тем самым процессов повышения эффективности бизнеса. Кроме того, NG-SIEM аккумулируют в себе дополнительные функции, становятся более многофункциональными и универсальными, представляют собой комплексный инструмент полного цикла работы с инцидентами, от первичного сбора информации до способов реагирования и финального формирования отчетности для информирования специалистов и компетентных органов.
Анна Андреева, Лаборатория информационной безопасности: Решения NG уже появляются на рынке, это логичное развитие класса SIEM. Когда-то подобный этап прошли межсетевые экраны и антивирусы. В облако имеет смысл переходить, когда затраты на поддержку инфраструктуры превышают стоимость облачного решения либо когда инфраструктуры вовсе нет. Такой вариант определенно заинтересует небольшие компании из-за простоты подключения, а крупных заказчиков – из-за возможности быстро масштабировать вычислительные ресурсы под растущие потребности.
Павел Пугач, СёрчИнформ: Если есть спрос, будут и предложения. По факту NG-SIEM обычно называют систему, в которой реализован функционал еще трех-четырех смежных классов, например сканер уязвимостей, Vulnerability Management, EDR. Такая система будет полезна в условиях нехватки ресурсов на внедрение отдельных продуктов. Интерес к SIEM в облаках пока по инерции сохраняется, но будет планомерно снижаться. Заказчикам удобно, когда провайдер берет на себя вопрос обеспечения железа. Но и вендорам, и облачным провайдерам также сложно закупать и обслуживать новые серверные мощности – а их потребуется больше. К тому же сейчас снизилось доверие к хранению данных где бы то ни было, кроме как in-house. Это подчеркнул и уход иностранных вендоров, когда заказчики лишались оплаченных лицензий, сервисов, а вместе с ними и данных, которые хранились в этих сервисах.
