Рынок SIEM в 2023 году: почему не стоит бояться миграции на российские системы

Рынок SIEM в 2023 году: почему не стоит бояться миграции на российские системы

Рынок SIEM в 2023 году: почему не стоит бояться миграции на российские системы

В прямом эфире AM Live эксперты отрасли поговорили о российском рынке систем управления информацией и событиями в области безопасности (SIEM), о том, как правильно выбрать идеальное решение и что ждёт этот рынок в ближайшем будущем.

 

 

 

 

 

 

  1. Введение
  2. Состояние российского рынка SIEM-систем
    1. 2.1. Как изменился рынок после ухода иностранных вендоров
    2. 2.2. Почему российские компании не спешат мигрировать на отечественные SIEM
  3. Практика внедрения российских SIEM-систем
    1. 3.1. Какие коннекторы поддерживают российские SIEM
    2. 3.2. Масштабируемость и скорость работы российских SIEM
  4. Прогнозы развития отечественного рынка SIEM
  5. Итоги эфира
  6. Выводы

Введение

В новом эфире AM Live эксперты обсудили отечественный рынок SIEM-систем. Есть ли на что переходить российским заказчикам и насколько сложен этот переход? Вендоры SIEM рассказали о технологическом росте их продуктов и о нарастающей популярности импортозамещения в этом секторе.

 

Рисунок 1. Эксперты отрасли в студии Anti-Malware.ru

Эксперты отрасли в студии Anti-Malware.ru

 

Спикеры прямого эфира:

  • Григорий Ревенко, директор центра экспертизы R-Vision;
  • Александр Дорофеев, генеральный директор компании «Эшелон Технологии»;
  • Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского»;
  • Павел Пугач, системный аналитик «СёрчИнформ»;
  • Максим Степченков, совладелец компании RuSIEM;
  • Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies;
  • Дмитрий Пудов, генеральный директор NGR Softlab.

Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».

 

 

Состояние российского рынка SIEM-систем

Как изменился рынок после ухода иностранных вендоров

Эльман Бейбутов:

До ухода иностранных вендоров спрос на российские решения мог быть штучным. Сейчас же ситуация поменялась и от крупного бизнеса идёт большой спрос и по миграции, и по новым инсталляциям.

 

Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies

Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies

 

Дмитрий Пудов:

Освободилась огромная ниша. Мы и в других сегментах рынка и классах ПО видим всплеск интереса к российским решениям. Поэтому появилось много новых игроков, которые готовы трансформировать свои предложения под потребности рынка. Однако российский рынок SIEM-систем начал формироваться задолго до 2022 года.

Максим Степченков не согласился с мнением, что рынок кардинально изменился для среднего и малого бизнеса. На его взгляд, российские вендоры и ранее обзаводились крупными клиентами не только из России, но и из-за рубежа.

 

Максим Степченков, совладелец компании RuSIEM

Максим Степченков, совладелец компании RuSIEM

 

Александр Дорофеев:

Помимо ухода иностранных игроков изменилась и регуляторика. Теперь SIEM становится таким же стандартным продуктом в сфере безопасности, как антивирус.

Григорий Ревенко:

После «часа икс» появилась потребность не только заместить решения ушедших вендоров, но и улучшить имеющиеся. Есть потребность в отечественной поддержке, новых подходах к масштабированию и архитектурах в целом.

 

Григорий Ревенко, директор центра экспертизы R-Vision

Григорий Ревенко, директор центра экспертизы R-Vision

 

Евгения Лагутина при этом отметила, что хотя интерес к отечественным продуктам возрос, технически проще не стало. Клиенты предъявляют очень высокие требования к закупаемым решениям.

Почему российские компании не спешат мигрировать на отечественные SIEM

В 2022 г. 39 % опрошенных представителей российских компаний использовали отечественную коммерческую SIEM-систему, 13 % — иностранную, 8 % применяли продукты разных вендоров. SIEM на основе решений с открытым кодом была у 5 % респондентов, самописная — у 3 %. Примерно треть (32 %) не использовали SIEM в принципе. 

В 2023 году ситуация немного поменялась. Количество компаний, которые эксплуатируют отечественную SIEM, выросло до 51 % — но, похоже, в основном за счёт тех, кто не применял подобных решений вовсе: там доля упала до 23 %. Продолжают пользоваться иностранной SIEM 10 % опрошенных, 7 % работают с продуктом на основе открытого ПО, у 6 % развёрнуты различные решения, 3 % респондентов полагаются на самописный продукт.

 

Рисунок 2. Какую SIEM вы используете в настоящее время?

Какую SIEM вы используете в настоящее время?

 

По словам Дмитрия Пудова, на скорость замещения решений влияют не столько предпочтения клиентов, сколько заранее заложенные бюджеты на информационную безопасность и ИТ в целом. Также стоит иметь в виду, что миграция с одной SIEM на другую — долгий процесс.

По мнению экспертов, отечественные компании сталкиваются с тем, что клиенты просто привыкли к интерфейсам иностранных решений. Камнем преткновения также было то, что клиенты ожидали от молодых российских систем той же самой функциональности, что и у давно развивающихся иностранных решений, к которым привыкли. 

Среди стимулов перехода на российские SIEM Александр Дорофеев выделил достаточное количество отечественных продуктов на рынке, регуляторные требования, а также понимание необходимости использования таких систем. Помимо этого на предпочтения клиентов влияет и смена ИТ-ландшафта (переход на Linux, отечественные СЗИ, вымывание иностранных экспертиз).

 

Александр Дорофеев, генеральный директор компании «Эшелон Технологии»

Александр Дорофеев, генеральный директор компании «Эшелон Технологии»

 

Как показал опрос зрителей эфира AM Live, 36 % из них при выборе отечественной SIEM в первую очередь ориентируются на функциональность. Следом по важности при выборе идут результаты пилотного внедрения системы (24 %). 13 % опрошенных ориентируются в первую очередь на стоимость, 12 % — на простоту эксплуатации, 8 %  — на количество внедрений по рынку. 7 % выбирают SIEM по отзывам коллег.

 

Рисунок 3. На что вы прежде всего ориентируетесь при выборе российской SIEM?

На что вы прежде всего ориентируетесь при выборе российской SIEM?

 

Практика внедрения российских SIEM-систем

Какие коннекторы поддерживают российские SIEM

Илья Шабанов предложил присутствовавшим рассказать о том, какие коннекторы поддерживают их продукты и стоит ли ориентироваться на этот показатель при выборе.

 

Илья Шабанов, генеральный директор «АМ Медиа»

Илья Шабанов, генеральный директор «АМ Медиа»

 

Максим Степченков отметил, что дело не в количестве и коннекторы давно перестали быть проблемой. Компании разрабатывают типовые коннекторы для заказчиков.

Вопрос заключается в подходе: продают ли вендоры свои знания или предоставляют их бесплатно. Разработчики всегда готовы адаптироваться под те требования, которые есть у заказчиков, подчеркнул Григорий Ревенко.

Согласно результатам опроса в эфире AM Live, скорость работы и масштабируемость являются наиболее важными показателями при выборе SIEM для 29 % респондентов. На наборы правил корреляции «из коробки» обращают внимание 24 % зрителей, а на наличие нужных коннекторов — 20 %. По 10 % опрошенных отметили важность сертификатов ФСТЭК России и стоимости системы. 7 % участников опроса в первую очередь смотрят на репутацию вендора.

 

Рисунок 4. Какой из критериев наиболее важен для вас при выборе SIEM?

Какой из критериев наиболее важен для вас при выборе SIEM?

 

Эксперты в студии добавили, что для интеграторов и пользователей важнейшим критерием является качество нормализации и корреляции событий.

Масштабируемость и скорость работы российских SIEM

Российские компании готовы ко внедрениям в компаниях крупного бизнеса. При этом заказчики в основном строят оптимизированные архитектурные схемы или имеют небольшие потоки событий.

Зачастую проблемы масштабируемости связаны с проблемами производительности, а именно — с нехваткой «железа» у заказчика. Свою роль играют нюансы лицензирования, возможности фильтрации, пересылки логов и так далее.

AM Live провёл опрос зрителей на тему желаемых векторов развития российских SIEM-систем. 22 % респондентов считают, что российским вендорам нужно развиваться в направлении предсказательной аналитики (в том числе на базе ИИ). Вкладываться в масштабируемость и быстродействие советуют 18 % опрошенных. 17 % посчитали, что развиваться нужно в сторону удобства эксплуатации, 15 % высказались в пользу киберразведки и реагирования на инциденты, ещё столько же — в пользу наращивания экспертизы и возможностей «из коробки». Остальные (13 %) считают, что российским вендорам SIEM необходимо развивать интеграцию и экосистемность своих решений.

 

Рисунок 5. В какую сторону российским вендорам стоит развивать свои SIEM?

В какую сторону российским вендорам стоит развивать свои SIEM?

 

Прогнозы развития отечественного рынка SIEM

Эльман Бейбутов:

Можно спрогнозировать повышение качества детекта и решаемых задач: кого мы ловим, какие покрытия техник есть и нужно нарастить, и другое. Второй момент, который можно выделить, — повышение скорости доставки результата, то есть продукт должен уже иметь коннекторы, чтобы клиент, разворачивая решение «из коробки», имел полное покрытие.

Павел Пугач:

Я считаю, что процесс импортозамещения не завершён и в ближайшее время это будет основным локомотивом развития отрасли. Помимо этого, хорошо и активно будет развиваться машинное обучение в направлении SIEM.

 

Павел Пугач, системный аналитик «СёрчИнформ»

Павел Пугач, системный аналитик «СёрчИнформ»

 

Григорий Ревенко:

Сложность систем будет также расти, будут появляться новые вызовы. В плане развития SIEM мы планируем понизить порог входа, прийти к экосистемности. Мы также понимаем, что работа с коррелятором должна быть простой и понятной.

Дмитрий Пудов:

Рынок будет в ближайшее время расти, но вместе с тем будет становиться всё более зрелым. Возможно, мы увидим сужение ландшафта вендоров и укрупнение игроков. Мы также видим будущее в интеллектуальности решения.

 

Дмитрий Пудов, генеральный директор NGR Softlab

Дмитрий Пудов, генеральный директор NGR Softlab

 

Александр Дорофеев:

Для нас важно, чтобы в одном продукте было реализовано как можно больше функций, и мы продолжим развивать наш продукт в этом направлении. Любой игрок, который ориентирован на заказчика и делает классный продукт, просто обречён на успех.

Евгения Лагутина:

Изменится состав игроков, останутся те вендоры, которые привносят свою экспертизу в новые решения. Мы считаем, что экосистемность полезна и может принести пользу заказчику, и поэтому мы развиваем наш SIEM как центр компетенций всей линейки решений.

 

Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского»

Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского»

 

Максим Степченков:

Я надеюсь, мы будем расти за пределы России, не только в СНГ, Африку и Южную Америку, но и в часть недружественных стран тоже. Я не сторонник экосистемности, но SIEM был и останется «мозгом» информационной безопасности.

Итоги эфира

По результатам финального опроса, 35 % зрителей заинтересовались и планируют тестировать SIEM, а 30 % сделали вывод, что правильно выбрали решение. При этом экспертам не удалось убедить в необходимости SIEM 12 % опрошенных, а 10 % считают, что российские продукты этого класса пока слишком «сырые». 8 % будут менять SIEM на другую. Ещё 5 % зрителей не поняли темы беседы.

 

Рисунок 6. Каково ваше мнение относительно российских SIEM после эфира?

Каково ваше мнение относительно российских SIEM после эфира?

 

Выводы

Отечественный рынок SIEM-систем продолжит развиваться. Переходить на российские SIEM уже не страшно: сложностей при миграции всё меньше, а решения становятся всё более технологичными и зрелыми. SIEM был и будет центральным механизмом реагирования на компьютерные атаки, массовость и сложность которых неуклонно возрастают.

Проект AM Live продолжает работу. Эксперты отрасли скоро снова соберутся в нашей студии и обсудят актуальные темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru