В прямом эфире AM Live эксперты отрасли поговорили о российском рынке систем управления информацией и событиями в области безопасности (SIEM), о том, как правильно выбрать идеальное решение и что ждёт этот рынок в ближайшем будущем.
- Введение
- Состояние российского рынка SIEM-систем
- Практика внедрения российских SIEM-систем
- Прогнозы развития отечественного рынка SIEM
- Итоги эфира
- Выводы
Введение
В новом эфире AM Live эксперты обсудили отечественный рынок SIEM-систем. Есть ли на что переходить российским заказчикам и насколько сложен этот переход? Вендоры SIEM рассказали о технологическом росте их продуктов и о нарастающей популярности импортозамещения в этом секторе.
Рисунок 1. Эксперты отрасли в студии Anti-Malware.ru
Спикеры прямого эфира:
- Григорий Ревенко, директор центра экспертизы R-Vision;
- Александр Дорофеев, генеральный директор компании «Эшелон Технологии»;
- Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского»;
- Павел Пугач, системный аналитик «СёрчИнформ»;
- Максим Степченков, совладелец компании RuSIEM;
- Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies;
- Дмитрий Пудов, генеральный директор NGR Softlab.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Состояние российского рынка SIEM-систем
Как изменился рынок после ухода иностранных вендоров
Эльман Бейбутов:
— До ухода иностранных вендоров спрос на российские решения мог быть штучным. Сейчас же ситуация поменялась и от крупного бизнеса идёт большой спрос и по миграции, и по новым инсталляциям.
Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
Дмитрий Пудов:
— Освободилась огромная ниша. Мы и в других сегментах рынка и классах ПО видим всплеск интереса к российским решениям. Поэтому появилось много новых игроков, которые готовы трансформировать свои предложения под потребности рынка. Однако российский рынок SIEM-систем начал формироваться задолго до 2022 года.
Максим Степченков не согласился с мнением, что рынок кардинально изменился для среднего и малого бизнеса. На его взгляд, российские вендоры и ранее обзаводились крупными клиентами не только из России, но и из-за рубежа.
Максим Степченков, совладелец компании RuSIEM
Александр Дорофеев:
— Помимо ухода иностранных игроков изменилась и регуляторика. Теперь SIEM становится таким же стандартным продуктом в сфере безопасности, как антивирус.
Григорий Ревенко:
— После «часа икс» появилась потребность не только заместить решения ушедших вендоров, но и улучшить имеющиеся. Есть потребность в отечественной поддержке, новых подходах к масштабированию и архитектурах в целом.
Григорий Ревенко, директор центра экспертизы R-Vision
Евгения Лагутина при этом отметила, что хотя интерес к отечественным продуктам возрос, технически проще не стало. Клиенты предъявляют очень высокие требования к закупаемым решениям.
Почему российские компании не спешат мигрировать на отечественные SIEM
В 2022 г. 39 % опрошенных представителей российских компаний использовали отечественную коммерческую SIEM-систему, 13 % — иностранную, 8 % применяли продукты разных вендоров. SIEM на основе решений с открытым кодом была у 5 % респондентов, самописная — у 3 %. Примерно треть (32 %) не использовали SIEM в принципе.
В 2023 году ситуация немного поменялась. Количество компаний, которые эксплуатируют отечественную SIEM, выросло до 51 % — но, похоже, в основном за счёт тех, кто не применял подобных решений вовсе: там доля упала до 23 %. Продолжают пользоваться иностранной SIEM 10 % опрошенных, 7 % работают с продуктом на основе открытого ПО, у 6 % развёрнуты различные решения, 3 % респондентов полагаются на самописный продукт.
Рисунок 2. Какую SIEM вы используете в настоящее время?
По словам Дмитрия Пудова, на скорость замещения решений влияют не столько предпочтения клиентов, сколько заранее заложенные бюджеты на информационную безопасность и ИТ в целом. Также стоит иметь в виду, что миграция с одной SIEM на другую — долгий процесс.
По мнению экспертов, отечественные компании сталкиваются с тем, что клиенты просто привыкли к интерфейсам иностранных решений. Камнем преткновения также было то, что клиенты ожидали от молодых российских систем той же самой функциональности, что и у давно развивающихся иностранных решений, к которым привыкли.
Среди стимулов перехода на российские SIEM Александр Дорофеев выделил достаточное количество отечественных продуктов на рынке, регуляторные требования, а также понимание необходимости использования таких систем. Помимо этого на предпочтения клиентов влияет и смена ИТ-ландшафта (переход на Linux, отечественные СЗИ, вымывание иностранных экспертиз).
Александр Дорофеев, генеральный директор компании «Эшелон Технологии»
Как показал опрос зрителей эфира AM Live, 36 % из них при выборе отечественной SIEM в первую очередь ориентируются на функциональность. Следом по важности при выборе идут результаты пилотного внедрения системы (24 %). 13 % опрошенных ориентируются в первую очередь на стоимость, 12 % — на простоту эксплуатации, 8 % — на количество внедрений по рынку. 7 % выбирают SIEM по отзывам коллег.
Рисунок 3. На что вы прежде всего ориентируетесь при выборе российской SIEM?
Практика внедрения российских SIEM-систем
Какие коннекторы поддерживают российские SIEM
Илья Шабанов предложил присутствовавшим рассказать о том, какие коннекторы поддерживают их продукты и стоит ли ориентироваться на этот показатель при выборе.
Илья Шабанов, генеральный директор «АМ Медиа»
Максим Степченков отметил, что дело не в количестве и коннекторы давно перестали быть проблемой. Компании разрабатывают типовые коннекторы для заказчиков.
Вопрос заключается в подходе: продают ли вендоры свои знания или предоставляют их бесплатно. Разработчики всегда готовы адаптироваться под те требования, которые есть у заказчиков, подчеркнул Григорий Ревенко.
Согласно результатам опроса в эфире AM Live, скорость работы и масштабируемость являются наиболее важными показателями при выборе SIEM для 29 % респондентов. На наборы правил корреляции «из коробки» обращают внимание 24 % зрителей, а на наличие нужных коннекторов — 20 %. По 10 % опрошенных отметили важность сертификатов ФСТЭК России и стоимости системы. 7 % участников опроса в первую очередь смотрят на репутацию вендора.
Рисунок 4. Какой из критериев наиболее важен для вас при выборе SIEM?
Эксперты в студии добавили, что для интеграторов и пользователей важнейшим критерием является качество нормализации и корреляции событий.
Масштабируемость и скорость работы российских SIEM
Российские компании готовы ко внедрениям в компаниях крупного бизнеса. При этом заказчики в основном строят оптимизированные архитектурные схемы или имеют небольшие потоки событий.
Зачастую проблемы масштабируемости связаны с проблемами производительности, а именно — с нехваткой «железа» у заказчика. Свою роль играют нюансы лицензирования, возможности фильтрации, пересылки логов и так далее.
AM Live провёл опрос зрителей на тему желаемых векторов развития российских SIEM-систем. 22 % респондентов считают, что российским вендорам нужно развиваться в направлении предсказательной аналитики (в том числе на базе ИИ). Вкладываться в масштабируемость и быстродействие советуют 18 % опрошенных. 17 % посчитали, что развиваться нужно в сторону удобства эксплуатации, 15 % высказались в пользу киберразведки и реагирования на инциденты, ещё столько же — в пользу наращивания экспертизы и возможностей «из коробки». Остальные (13 %) считают, что российским вендорам SIEM необходимо развивать интеграцию и экосистемность своих решений.
Рисунок 5. В какую сторону российским вендорам стоит развивать свои SIEM?
Прогнозы развития отечественного рынка SIEM
Эльман Бейбутов:
— Можно спрогнозировать повышение качества детекта и решаемых задач: кого мы ловим, какие покрытия техник есть и нужно нарастить, и другое. Второй момент, который можно выделить, — повышение скорости доставки результата, то есть продукт должен уже иметь коннекторы, чтобы клиент, разворачивая решение «из коробки», имел полное покрытие.
Павел Пугач:
— Я считаю, что процесс импортозамещения не завершён и в ближайшее время это будет основным локомотивом развития отрасли. Помимо этого, хорошо и активно будет развиваться машинное обучение в направлении SIEM.
Павел Пугач, системный аналитик «СёрчИнформ»
Григорий Ревенко:
— Сложность систем будет также расти, будут появляться новые вызовы. В плане развития SIEM мы планируем понизить порог входа, прийти к экосистемности. Мы также понимаем, что работа с коррелятором должна быть простой и понятной.
Дмитрий Пудов:
— Рынок будет в ближайшее время расти, но вместе с тем будет становиться всё более зрелым. Возможно, мы увидим сужение ландшафта вендоров и укрупнение игроков. Мы также видим будущее в интеллектуальности решения.
Дмитрий Пудов, генеральный директор NGR Softlab
Александр Дорофеев:
— Для нас важно, чтобы в одном продукте было реализовано как можно больше функций, и мы продолжим развивать наш продукт в этом направлении. Любой игрок, который ориентирован на заказчика и делает классный продукт, просто обречён на успех.
Евгения Лагутина:
— Изменится состав игроков, останутся те вендоры, которые привносят свою экспертизу в новые решения. Мы считаем, что экосистемность полезна и может принести пользу заказчику, и поэтому мы развиваем наш SIEM как центр компетенций всей линейки решений.
Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского»
Максим Степченков:
— Я надеюсь, мы будем расти за пределы России, не только в СНГ, Африку и Южную Америку, но и в часть недружественных стран тоже. Я не сторонник экосистемности, но SIEM был и останется «мозгом» информационной безопасности.
Итоги эфира
По результатам финального опроса, 35 % зрителей заинтересовались и планируют тестировать SIEM, а 30 % сделали вывод, что правильно выбрали решение. При этом экспертам не удалось убедить в необходимости SIEM 12 % опрошенных, а 10 % считают, что российские продукты этого класса пока слишком «сырые». 8 % будут менять SIEM на другую. Ещё 5 % зрителей не поняли темы беседы.
Рисунок 6. Каково ваше мнение относительно российских SIEM после эфира?
Выводы
Отечественный рынок SIEM-систем продолжит развиваться. Переходить на российские SIEM уже не страшно: сложностей при миграции всё меньше, а решения становятся всё более технологичными и зрелыми. SIEM был и будет центральным механизмом реагирования на компьютерные атаки, массовость и сложность которых неуклонно возрастают.
Проект AM Live продолжает работу. Эксперты отрасли скоро снова соберутся в нашей студии и обсудят актуальные темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
