Если вы имеете дело с КИИ, то знаете, что по закону 187-ФЗ нам нужно использовать российское ПО. Так что вопрос «а какой SIEM купить?» давно превратился в «какой из наших SIEM выбрать?». И это, скажу я вам, задачка поинтереснее. Давайте честно разберем, кто есть кто на нашем рынке.
Итак, у нас есть три основных богатыря. Все они умеют собирать логи и искать в них что-то подозрительное. Но делают это совершенно по-разному, и подходят для разных команд и задач. Я для себя их поделил на три типа: «Рабочая лошадка», «Центр экосистемы» и «Конструктор для продвинутых».
RuSIEM: Рабочая лошадка для комплаенса
Это, наверное, самый простой и понятный вариант для старта. Если ваша главная головная боль — это закрыть требования ФСТЭК, чтобы при проверке все было «чики-пуки», то RuSIEM — ваш кандидат номер один.
Плюсы:
Все по закону. Продукт есть в реестре нашего ПО, все нужные сертификаты ФСТЭК имеются. Поставили — и с точки зрения бумажек вы молодец. Отчеты делаются по шаблону, что тоже экономит кучу времени.
Ставится быстро и просто. Серьезно, развернуть систему и подключить стандартные источники вроде Windows или Касперского можно за пару недель, а не месяцев. Первые результаты видно почти сразу.
Не требует гениев. Ваш начинающий аналитик, который до этого видел только консоль антивируса, разберется в интерфейсе без слез и бессонных ночей. Это огромный плюс, если у вас нет возможности нанять дорогих спецов.
Минусы и что надо иметь в виду:
Не очень гибкий. Если вам понадобится подключить какую-то хитрую самописную программу или старый промышленный контроллер, готовьтесь к приключениям. Скорее всего, без помощи самого вендора или интегратора тут не обойтись.
Любит «железо». Чем больше у вас источников и правил, тем больше ресурсов ему нужно. Так что при планировании сразу закладывайте мощность с запасом, иначе потом все будет тормозить.
Кому зайдет: Тем, кто только начинает строить свой центр мониторинга. И тем, у кого главная задача — выполнить требования закона, а команда ИБ не очень большая.
MaxPatrol SIEM: Центр экосистемы
Это продукт от Positive Technologies, и это не просто SIEM, а мозг целой системы безопасности. Он по-настоящему раскрывается, только когда работает вместе с другими «родными» продуктами: сканером уязвимостей, файрволом и так далее.
Плюсы:
С бумажками тоже все в порядке. Сертификаты, реестр — полный комплект. Для госкомпаний и оборонки это часто обязательное условие.
Видит всю картину целиком. Вот в чем его фишка. Когда продукты работают вместе, SIEM не просто видит атаку, он сразу понимает, куда она пришлась. Например, он не просто крикнет «Атака на сайт!», а скажет: «Атака на сайт бухгалтерии, где стоит дырявый софт, и который имеет доступ к базе с зарплатами». Чувствуете разницу?
Готовая экспертиза. Ребята из Positive Technologies сами постоянно ищут угрозы и пакуют свои знания в обновления для SIEM. По сути, вы получаете не только программу, но и постоянно обновляемую «базу знаний» о том, как ловить злодеев.
Минусы и что надо иметь в виду:
Подсаживаешься на одного вендора. Чтобы все работало так круто, вам придется купить и другие продукты PT. Это мощно, но дорого. И слезть с этой «экосистемы» потом будет очень сложно и больно.
Очень прожорливый. Требует мощного «железа» и толковых инженеров, которые смогут со всем этим зоопарком продуктов разобраться.
Кому зайдет: Компаниям, у которых уже есть опыт и которые готовы строить серьезный SOC, вкладываясь в единую платформу.
Security Vision: Конструктор для продвинутых
Этот продукт — особенный. Изначально это была система для автоматизации реагирования на инциденты (SOAR), а потом к ней прикрутили SIEM. И это все объясняет. Он создан не чтобы смотреть на огоньки, а чтобы действовать.
Плюсы:
Наш, родной, сертифицированный. Тут все чисто, для КИИ подходит.
Гибкость — его второе имя. Это как LEGO для безопасника. Можно настроить и автоматизировать вообще все. Например, можно сделать так, чтобы при появлении вируса система сама изолировала комп от сети, блокировала учетку пользователя и создавала заявку в техподдержку. И все это — без участия человека!
Экономит время крутых спецов. Автоматизируя всю рутину, он освобождает ваших лучших аналитиков для более важных дел — например, для поиска реально сложных и незаметных угроз.
Минусы и что надо иметь в виду:
Нужна сильная команда. Чтобы эта махина поехала, вам нужны ребята, которые не боятся скриптов, понимают в API и могут мыслить как инженеры-процессники. Иначе это будет просто очень дорогая система для создания заявок.
Долго запрягает. «Из коробки» это просто мощный движок. Чтобы он заработал как надо, придется потратить кучу времени на его настройку под себя.
Кому зайдет: Очень крутым и опытным командам SOC, которые уже устали от рутины и хотят перейти на следующий уровень — уровень автоматизации.
Так что в итоге?
Простого ответа «бери вот этот» нет и быть не может. Все три системы — достойные российские продукты. Выбирать нужно, честно ответив себе на вопрос: «А мы сейчас на каком этапе?». Нам нужно быстро «закрыться» от регулятора? Мы строим большую и сложную систему на годы вперед? Или мы уже настолько круты, что готовы автоматизировать все и вся?
Ответ на этот вопрос и будет вашим выбором.
P.S. Небольшой оффтоп
Кстати, пока мы тут сравниваем «классику», на рынке происходит кое-что интересное. Буквально на днях появилась новость о новой системе безопасности, построенной полностью на искусственном интеллекте.
Идея в том, чтобы ловить не известные атаки по сигнатурам, а странные аномалии, которые могут быть признаком сложной, целенаправленной атаки.
Разработчики обещают, что их ИИ сможет предсказывать угрозы и сильно сократит количество ложных срабатываний, от которых так устают аналитики. Пока это выглядит как заявка на четвертого, совсем непохожего на остальных, игрока на рынке. Будет очень интересно посмотреть, как эта технология покажет себя в реальных условиях и сможет ли она потеснить привычные системы.