Статья дополняет опубликованное сравнение SIEM-систем с точки зрения возможности импортозамещения. Эта статья является продолжением цикла аналитических материалов, посвященных импортозамещению средств защиты.
- Введение
- Методология расчета полноты импортозамещения зарубежных SIEM-систем
- Полнота импортозамещения зарубежных SIEM-систем
- Выводы
Введение
В недавно опубликованном нами «Сравнении SIEM-систем» приведены сравнительные характеристики популярных российских и иностранных SIEM-систем (Security Information and Event Management) по 116 различным критериям, а также подробная методика выбора оптимальной SIEM-системы, ориентированная на конечного потребителя.
В этой статье мы постарались представить сведения о полноте замещения SIEM-систем, взглянув на приведенные ранее в обзорах «Что такое SIEM-системы и для чего они нужны», «Обзор мирового и российского рынка SIEM-систем» и cравнении SIEM-систем немного с другой стороны.
Перечень рассматриваемых в статье SIEM-систем зарубежного производства и их российских аналогов представлен ниже в таблице в алфавитном порядке. Подобно предыдущим нашим материалам, касающимся импортозамещения антивирусов для рабочих станций и импортозамещения DLP-продуктов, здесь мы также указываем присутствие продукта в «Едином реестре российских программ для электронных вычислительных машин и баз данных», приводя рядом с соответствующим наименованием – значок 
.
Важно! В статье рассматриваются только две наиболее известные российские SIEM-системы. Но есть и другие, подробно проанализированные по второй части сравнения SIEM-систем. Оценить их потенциал импортозамещения можно самостоятельно.
Таблица 1. Перечень наиболее распространенных на отечественном рынке SIEM-систем зарубежного и российского производства
|
SIEM-система |
Ссылка на обзор продукта на нашем сайте |
Сведения о наличии сертификатов |
|
|
AM Test Lab |
ФСТЭК России |
||
|
Замещаемые зарубежные продукты |
|||
|
Платформа Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) |
– |
– |
Для версии ArcSight ESM: |
|
IBM QRadar Security Intelligence Platform |
– |
– |
– |
|
McAfee Enterprise Security Manager |
– |
– |
– |
|
RSA NetWitness Suite |
– |
– |
– |
|
Splunk Enterprise + Splunk App for Enterprise Security |
– |
– |
– |
|
Российские аналоги |
|||
|
MaxPatrol SIEM |
№177 (14.11.2016 |
MaxPatrol SIEM: |
|
|
RuSIEM, RuSIEM Analytics и RvSIEM free |
– |
– |
– |
Методология расчета полноты импортозамещения зарубежных SIEM-систем
Методология заключается в проведении сравнительного анализа характеристик SIEM-систем по ряду критериев и определении полноты замещения, выраженной в процентном соотношении. В качестве критериев рассматривались представленные в «Сравнении SIEM-систем» группы критериев:
- архитектура решения;
- общая информация;
- функциональные особенности;
- интеграционные возможности;
- дополнительные критерии;
- соответствие направлению импортозамещения.
Полнота замещения представлена нами в следующем разделе статьи в форме таблицы, с отображением:
- По вертикали — зарубежных продуктов.
- По горизонтали — возможных российских аналогов.
- На пересечении горизонтали и вертикали — значения, выраженного в процентах и характеризующего полноту замещения зарубежного продукта его российским аналогом. Также для наглядности применяется цветовая интерпретация: большей полноте замещения соответствует более темный цвет, а меньшей — светлый.
Если российский продукт превосходит потенциально замещаемого зарубежного конкурента по отдельному набору параметров (возможно, даже отсутствующих у зарубежного конкурента), то такой аспект не учитывается при анализе. Данное допущение принято исходя из того, что замещается именно зарубежный продукт на российский аналог, а не наоборот, так как для конечного потребителя важно обеспечить как минимум текущий набор функций и услуг.
Полнота импортозамещения зарубежных SIEM-систем
В таблицах ниже представлена полнота замещения зарубежных продуктов российскими аналогами.
Таблица 2. Полнота импортозамещения SIEM-систем
|
Зарубежные продукты |
Российские продукты |
|
|
MaxPatrol SIEM |
RuSIEM, RuSIEM Analytics |
|
|
Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) |
78% |
79% |
|
IBM QRadar Security Intelligence Platform |
77% |
75% |
|
McAfee Enterprise Security Manager |
82% |
82% |
|
RSA NetWitness Suite |
86% |
83% |
|
Splunk Enterprise + Splunk App for Enterprise Security |
75% |
75% |
Выводы
SIEM-системы российского производства, представленные на отечественном рынке, уже сейчас способны составить достойную конкуренцию зарубежным продуктам. Рынок SIEM-систем существенно вырос за последние пару лет. За это время на российском рынке появились и уже хорошо обосновались новые отечественные игроки MaxPatrol SIEM и RuSIEM. А также целый ряд других российских SIEM-систем.
Интерес к системам такого класса и спрос на них вырос за последнее время. При этом спрос подогревается в том числе желанием потребителей — построить у себя центры оперативного управления информационной безопасностью (Security Operations Center, SOC-центры).
Очевидным катализатором процесса является вступивший в силу ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017. Под влиянием требований ФСБ и ФСТЭК России стали появляться новые отечественные SIEM-системы, в которых набор функций напоминает копию выкладки из методических указаний ФСБ России по построению корпоративного центра ГосСОПКА и взаимодействию с НКЦКИ. Однако по широте функциональных возможностей такие системы пока не могут оказывать серьезную рыночную конкуренцию зарубежным SIEM-системам.
Кроме того, для охвата такого значимого сектора как государственные учреждения многие вендоры, в том числе и зарубежные, стараются сертифицировать свои продукты на соответствие требованиям регуляторов. Также, чтобы не терять своих позиций на рынке, вендоры совершенствуют не только свои продукты, но и способы и подходы их предоставления конечному потребителю, например:
- интегрируя решения с платформами Big Data и данными киберразведки;
- предоставляя при развертывании SIEM сопутствующие услуги мониторинга, экспертного анализа и реагирования на выявленные инциденты ИБ.
