PT NAD - хорошее, стабильно работающее решение. Кстати тут поддержка позитивов в отличии от SIEM работает хорошо.
KATA от Касперского также достойное решение. Стабильно, основную свою функцию делают хорошо. Тут есть нюансы с версионностью, вендор дважды менял ОС, на которой разворачивается решение, а обновление происходит с потерей всей накопленной информации.
Продуты от Group-IB не могу рекомендовать. У решений данного вендора закрытая архитектура, что сводит возможности самостоятельного администрирования и дебага/восстановления к минимуму. Практически по любому вопросу необходимо обращаться к вендору. Для кого-то будет плюсом, но для нас, как сервиса - большая проблема.
С этим классом решений (как кстати и с SIEM и с DLP и DAM) вот еще какая история. Мало просто выделить бюджеты и внедрить систему. С ней нужно постоянно работать квалифицированным спецам. Настраивать правила и политики, анализировать и устранять выявленные проблемы. В заказчиках нередка история, когда система есть и что-то делает, но используется лишь малая часть её потенциала. В итоге на бумаге всё хорошо - выделили 100500 миллионов на ИБ, купили кучу модных систем, а потом бац - и твою БД унесли нехорошие люди (обнулили инфру, пошифровали всё, вплоть до последнего АРМ пользователя - в зависимости от запущенности случая)
расскажу, как это выглядит глазами тимлида группы сервиса ИБ крупного российского интегратора:
DLP - и до 22 года российский рынок использовал в основном отечественные решения. Это специфический класс СЗИ, сильно завязанный на специфику конкретной страны. Тут у нас всё хорошо, решения вроде Гарда Предприятие, Infowatch и Zecurion хорошо себя зарекомендовали.
SIEM - есть 2 достойных решения - MP SIEM (от позитивов) и KUMA (от каспера). Проблема для заказчика - стоимость. Годовая лицензия MP SIEM стоит много-много миллионов рублей для средних размеров инфраструктуры. На этом играет каспер и демпингует при схожем функционале. Ну и ТП позитивов в последнее время (после всех изменений внутри компании) оставляет желать лучшего
Защита баз данных (DAM) - редко используемый класс решений. До 22 года почти все использовали IBM Security Guardium - сильное решение, хорошо доработанное за многие годы использования. Тут у нас есть Гарда БД, не IBM, конечно, но очень достойно.
PAM и MFA - отечественные решения показывают себя достойно
АВПО - тут исторически сложившийся лидер в виде касперского. Однако к KSC/KES много вопросов. Я тут говорю не стоящий у вас на домашней ПК антивирус, а именно KSC и администрирование большой распределенной инфры. Моё имхо - в попытке сделать из АВПО швейцарский нож, вендор перестарался и добавил кучу ненужного функционала, что в теории может заменить большой спектр других СЗИ, но на практике используется крайне редко и большинство модулей просто отключается. А при упоминании KESL (АВПО каспера для линукс) у инженеров, что с ним работают, начинается нервный тик.
Песочницы - PT Sandbox и Kaspersky Sandbox работают и дело своё делают, но сыры и создают проблемы при администрировании.
Статический и динамический анализ кода - за Solar AppScreener и PT Blackbox ничего не скажу. А вот с PT AI успели достаточно поработать и это полный треш. Команда разработки сменилась несколько раз, продукт сырой и багованный. Был недавно случай, когда вендор зарелизил и выдал нам новую версию. Мы пошли обновлять заказчика и в пакете от вендора был баг, что не позволял обновиться и при этом крашил текущую инсталляцию. Конвейер разработки крупной российской компании встал почти на двое суток. Баг в итоге починили сами, ТП вендора отвечала что-то невразумительное.
SOAR - работаем со всей продуктовой линейкой R-Vision. Продукты сыроваты, но жить можно. Основные проблемы - сопряжение с SIEM, ломающееся время от времени.
NGFW - это самая боль. В попытке обогнать конкурентов и занять долю рынка, отечественные вендора выбрасывают очень сырые решения на рынок. Почему нельзя взять бест практис от западный решений мне решительно непонятно. Мы успели поработать с несколькими решениями и все они на текущий момент неконкурентоспособные. Тут дело не в производительности (для замены одной Cisco ASA отечественный вендор предложил нам кластер из ... 5! своих NGFW, потому что не вввывозит), а в ужасных детских болячках и просчетах архитектуры. На текущий момент ни одно отечественное решение не может стабильно работать, чем сильно недовольны заказчики. Те компании, что не обязаны здесь и сейчас выполнять требования регуляторов по импортозамещению, продолжают эксплуатировать западные решения и покупают CheckPoint по параллельному импорту.
PT NAD - хорошее, стабильно работающее решение. Кстати тут поддержка позитивов в отличии от SIEM работает хорошо.
KATA от Касперского также достойное решение. Стабильно, основную свою функцию делают хорошо. Тут есть нюансы с версионностью, вендор дважды менял ОС, на которой разворачивается решение, а обновление происходит с потерей всей накопленной информации.
Продуты от Group-IB не могу рекомендовать. У решений данного вендора закрытая архитектура, что сводит возможности самостоятельного администрирования и дебага/восстановления к минимуму. Практически по любому вопросу необходимо обращаться к вендору. Для кого-то будет плюсом, но для нас, как сервиса - большая проблема.
С этим классом решений (как кстати и с SIEM и с DLP и DAM) вот еще какая история. Мало просто выделить бюджеты и внедрить систему. С ней нужно постоянно работать квалифицированным спецам. Настраивать правила и политики, анализировать и устранять выявленные проблемы. В заказчиках нередка история, когда система есть и что-то делает, но используется лишь малая часть её потенциала. В итоге на бумаге всё хорошо - выделили 100500 миллионов на ИБ, купили кучу модных систем, а потом бац - и твою БД унесли нехорошие люди (обнулили инфру, пошифровали всё, вплоть до последнего АРМ пользователя - в зависимости от запущенности случая)
расскажу, как это выглядит глазами тимлида группы сервиса ИБ крупного российского интегратора:
DLP - и до 22 года российский рынок использовал в основном отечественные решения. Это специфический класс СЗИ, сильно завязанный на специфику конкретной страны. Тут у нас всё хорошо, решения вроде Гарда Предприятие, Infowatch и Zecurion хорошо себя зарекомендовали.
SIEM - есть 2 достойных решения - MP SIEM (от позитивов) и KUMA (от каспера). Проблема для заказчика - стоимость. Годовая лицензия MP SIEM стоит много-много миллионов рублей для средних размеров инфраструктуры. На этом играет каспер и демпингует при схожем функционале. Ну и ТП позитивов в последнее время (после всех изменений внутри компании) оставляет желать лучшего
Защита баз данных (DAM) - редко используемый класс решений. До 22 года почти все использовали IBM Security Guardium - сильное решение, хорошо доработанное за многие годы использования. Тут у нас есть Гарда БД, не IBM, конечно, но очень достойно.
PAM и MFA - отечественные решения показывают себя достойно
АВПО - тут исторически сложившийся лидер в виде касперского. Однако к KSC/KES много вопросов. Я тут говорю не стоящий у вас на домашней ПК антивирус, а именно KSC и администрирование большой распределенной инфры. Моё имхо - в попытке сделать из АВПО швейцарский нож, вендор перестарался и добавил кучу ненужного функционала, что в теории может заменить большой спектр других СЗИ, но на практике используется крайне редко и большинство модулей просто отключается. А при упоминании KESL (АВПО каспера для линукс) у инженеров, что с ним работают, начинается нервный тик.
Песочницы - PT Sandbox и Kaspersky Sandbox работают и дело своё делают, но сыры и создают проблемы при администрировании.
Статический и динамический анализ кода - за Solar AppScreener и PT Blackbox ничего не скажу. А вот с PT AI успели достаточно поработать и это полный треш. Команда разработки сменилась несколько раз, продукт сырой и багованный. Был недавно случай, когда вендор зарелизил и выдал нам новую версию. Мы пошли обновлять заказчика и в пакете от вендора был баг, что не позволял обновиться и при этом крашил текущую инсталляцию. Конвейер разработки крупной российской компании встал почти на двое суток. Баг в итоге починили сами, ТП вендора отвечала что-то невразумительное.
SOAR - работаем со всей продуктовой линейкой R-Vision. Продукты сыроваты, но жить можно. Основные проблемы - сопряжение с SIEM, ломающееся время от времени.
NGFW - это самая боль. В попытке обогнать конкурентов и занять долю рынка, отечественные вендора выбрасывают очень сырые решения на рынок. Почему нельзя взять бест практис от западный решений мне решительно непонятно. Мы успели поработать с несколькими решениями и все они на текущий момент неконкурентоспособные. Тут дело не в производительности (для замены одной Cisco ASA отечественный вендор предложил нам кластер из ... 5! своих NGFW, потому что не вввывозит), а в ужасных детских болячках и просчетах архитектуры. На текущий момент ни одно отечественное решение не может стабильно работать, чем сильно недовольны заказчики. Те компании, что не обязаны здесь и сейчас выполнять требования регуляторов по импортозамещению, продолжают эксплуатировать западные решения и покупают CheckPoint по параллельному импорту.