Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM.
Роман Ванерке, ДиалогНаука
Безусловно, движение в сторону NG-SIEM будет. Наверное, ключевой вопрос в сроках и терминологии, ведь NG-SIEM можно трактовать по-разному. SIEM в своем базовом исполнении производит множество алертов, и требуется постоянная работа, чтобы снизить долю ложных срабатываний. Стоит также отметить, что рынок требует продвинутой аналитики на больших объемах данных и на больших скоростях, чего зачастую можно достигнуть только в облачной реализации.
Сергей Кривошеин, NGR Softlab
NG-SIEM в текущей парадигме – это мультикомбайн. Некоторые отечественные SIEM уже полным ходом движутся к этому статусу: функционал обогащается встроенными IRP, NDR, UEBA и прочими подсистемами, востребованными в SOC. На мой взгляд, эпитет Next Generation можно применять к SIEM, только если подключение нестандартных источников станет интуитивным, а способы обнаружения уйдут от сигнатурной модели. Что касается облачных SIEM, то они направлены на небольшой сегмент бизнеса, где службы ИБ еще не доросли до осознания востребованности SIEM.
Максим Степченков, RuSIEM
Если подразумевать под NG-SIEM переход от классического выявления инцидентов через правила корреляции к использованию искусственного интеллекта и машинного обучения для выявления угроз, то этот процесс среди российских вендоров уже начался. Мы тоже стремимся к тому, чтобы SIEM-система подсвечивала заказчику моменты, которые еще не охвачены правилами корреляции. Если же в термин NG-SIEM закладывать обработку еще большего объема и типов данных для прогнозирования вероятности того, что определенные события или инциденты произойдут в будущем, то это более сложная задача, требующая больших вычислительных ресурсов. Оптимальным вариантом для решения этой задачи может стать использование облаков, ведь далеко не каждый заказчик способен найти нужные мощности в своей инфраструктуре. Но, несмотря на привлекательность облачных сервисов, в России заказчики по-прежнему предпочитают варианты установки SIEM-решений on-premise. И в среднесрочной перспективе ситуация вряд ли изменится.
Иван Чернов, UserGate
Однозначно российские решения пойдут по перспективному пути NG-SIEM: она комплексная и более гибкая для заказчика. Это выражается в повышении комфорта использования систем специалистами, снижении порога входа в уверенное владение продуктом. Используя NG-SIEM, легче и проще управлять периметром безопасности компании и обеспечением тем самым процессов повышения эффективности бизнеса. Кроме того, NG-SIEM аккумулируют в себе дополнительные функции, становятся более многофункциональными и универсальными, представляют собой комплексный инструмент полного цикла работы с инцидентами, от первичного сбора информации до способов реагирования и финального формирования отчетности для информирования специалистов и компетентных органов.
Анна Андреева, Лаборатория информационной безопасности
Решения NG уже появляются на рынке, это логичное развитие класса SIEM. Когда-то подобный этап прошли межсетевые экраны и антивирусы. В облако имеет смысл переходить, когда затраты на поддержку инфраструктуры превышают стоимость облачного решения либо когда инфраструктуры вовсе нет. Такой вариант определенно заинтересует небольшие компании из-за простоты подключения, а крупных заказчиков – из-за возможности быстро масштабировать вычислительные ресурсы под растущие потребности.
Павел Пугач, СёрчИнформ
Если есть спрос, будут и предложения. По факту NG-SIEM обычно называют систему, в которой реализован функционал еще трех-четырех смежных классов, например сканер уязвимостей, Vulnerability Management, EDR. Такая система будет полезна в условиях нехватки ресурсов на внедрение отдельных продуктов. Интерес к SIEM в облаках пока по инерции сохраняется, но будет планомерно снижаться. Заказчикам удобно, когда провайдер берет на себя вопрос обеспечения железа. Но и вендорам, и облачным провайдерам также сложно закупать и обслуживать новые серверные мощности – а их потребуется больше. К тому же сейчас снизилось доверие к хранению данных где бы то ни было, кроме как in-house. Это подчеркнул и уход иностранных вендоров, когда заказчики лишались оплаченных лицензий, сервисов, а вместе с ними и данных, которые хранились в этих сервисах.
