Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Новости

SIEM-системы: важное звено в архитектуре защиты данных

SecureNews от 31 октября 2017 г.

Технология SIEM (Security information and event management) подразумевает анализ в реальном времени событий безопасности в сетевых устройствах и приложениях. В линейку решений SIEM входят различные приложения, приборы и услуги, которые применяются для сбора и анализа инцидентов информационной безопасности.

В новом материале мы с помощью экспертов, среди которых Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline, постараемся подробно разобраться, что скрывается за аббревиатурой SIEM, как, зачем и кем используются SIEM-системы.

На российском рынке встречаются системы, позиционирующие себя как SIEM, однако вызывающие споры относительно принадлежности их к этому классу продукта. Что вы можете об этом сказать?

Павел Коростелев, старший менеджер по продукту компании «Код безопасности»:

«Производитель может позиционировать свой продукт так, как он считает нужным, в том числе, и как SIEM-систему. Так как критерии отнесения того или иного продукта к SIEM-системе достаточно расплывчаты, то рынок это позволяет. Но при этом, когда речь заходит о применении SIEM-системы по прямому назначению, то есть по сбору и централизованному анализу событий безопасности, выясняется, что продукты не отвечают серьезным требованиям в части производительности, инструментов анализа и так далее. Излишний оптимизм вендора может негативно сказаться на его продажах и бренде, так как у заказчиков может возникнуть вопрос: «А насколько корректно позиционирование других продуктов этого производителя?».

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:   

«Сложно сказать, у кого вызывает споры принадлежность российских SIEM-систем к этому классу. У меня лично таких сомнений нет. Да, российские SIEM-системы весьма молоды по сравнению с «грандами» этого сегмента. Однако они безусловно относятся к SIEM-системам: их задача заключается в том, чтобы путем импорта и анализа логов с конечных устройств, серверного и сетевого оборудования, а также анализа зеркалированного трафика выявлять инциденты ИБ. Другой вопрос, что дьявол кроется в деталях. Поэтому российские SIEM-системы, безусловно, отличаются как набором коннекторов к системам, так и возможностями анализа трафика на различных уровнях сетевой модели OSI, наличием Workflow для обработки инцидентов, наличием встроенного сканера уязвимостей и рядом других параметров. К интересным российским решениям я бы отнес, в частности, PT MaxPatrol SIEM и RuSiem».

Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ):

«Если в целом разобрать аббревиатуру SIEM, то можно сказать, что это система управления событиями безопасности. Под управлением, в общем случае, понимается процесс сбора и обработки (нормализации, агрегации, корреляции) событий безопасности, поступающих из различных источников данных (средств защиты, элементов общей ИТ-инфраструктуры) для обеспечения возможности последующего реагирования на возникающие инциденты ИБ. Поэтому вполне вероятно, что некоторые производители могут трактовать термин в свою пользу, реализуя (либо давая возможность реализовать) лишь определенный пул операций управления. В любом случае, при выборе заказчики скорее опираются не на название класса, к которому относится та или иная система, а обращают внимание на конкретный функционал, который она может предоставить».

Рушан Айсин, менеджер по направлению SIEM, департамент информационной безопасности ГК Softline:

«Действительно, на рынке присутствуют решения, которые не являются SIEM-системами, хоть и позиционируют себя так. Как правило, они предлагают заказчикам некую похожую функциональность – например, являются системами сбора и хранения событий, но не могут в режиме реального времени выявлять инциденты. С развитием SIEM на сегодня системы характеризуются довольно конкретным набором инструментов, отсутствие хотя бы одного из которых уже вызывает вопросы – можно ли относить данный продукт к SIEM.

Основные инструменты, которые можно использовать как критерии:

  • Расследование. SIEM-система должна предоставлять возможность расследовать инцидент. Администратор в ежедневных задачах проводит анализ инцидентов, изучает логи, обращается к данным, которые предвещали событие. Анализ инцидента позволяет более точно принять меры по предотвращению.
  • Threat Intelligence. Каждая SIEM-система должна не просто получать информацию, но быть «умной» и обогащать события дополнительной информацией, которая сможет расширить аналитику событий ИБ.
  • Отчетность в SIEM позволяет визуально увидеть состояние ИБ организации, оценить изменения и предоставить данные для высшего руководства организации как эффективность работы службы ИБ».

Какие у них есть преимущества и недостатки в сравнении с другими ИБ-решениями?

Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»:

«Достоинства и недостатки – вопрос стратегии использования. Каждый инструмент предназначен для решения конкретной задачи и если решать с его помощью другую задачу, то такое решение может оказаться неэффективным. Есть, конечно, универсальные инструменты, но, если ты пользуешься таким инструментом, используя только 50% функций – ты переплачиваешь. Отверткой удобно заворачивать шурупы, но если вы решите использовать ее для забивания гвоздей – вам она покажется неудобной. Если вы выбирали SIEM с целью выявления мошенничества в автоматизированной банковской системой, а потом решили подать на нее события с антивируса и межсетевого экрана, то вполне возможно, вы будете недовольны производительностью. У некоторых современных средств защиты, например, DLP-систем или WAF (Web Application Firewall, защитный экран для приложений), есть встроенный функционал управления инцидентами, сфокусированный на анализе контента или трафика – поэтому часть работы SIEM можно переложить на сами приложения. Но если вы их внезапно отключите, то не факт, что ваш SIEM сможет без существенной перенастройки и дополнительных расходов взять на себя их функции».

Яков Гродзенский:    

«Как и любые российские решения, SIEM-системы имеют определенные преимущества в части локализованного интерфейса, возможности анализа русских логов, наличия сертификатов ФСТЭК. Кроме того, они имеют хорошие шансы для проникновения в госсектор и другие сектора экономики, где есть тренд к импортозамещению. Недостатками отечественных решений являются не очень широкая функциональность по сравнению с западными аналогами, например, отсутствие автоматизированного управления рисками».

Алина Хегай:

«Системы SIEM не совсем корректно сравнивать с другими ИБ-решениями, так как у любого решения есть область применения, к примеру, определенный вектор атак, против которого она позволяет защититься. SIEM-системы, в этом плане, скорее находятся на стыке ИТ и ИБ и сами по себе не обеспечивают реализацию защитных механизмов, без соответствующих интеграционных шин с другими решениями, которые позволяют активно реагировать на возникающие угрозы. SIEM – это платформа управления, основа ситуационных центров ИБ (SOC), предназначенная, в первую очередь, для определения факта события или инцидента безопасности в компании посредством корреляции различных данных, определения критичности инцидента для возможности приоритизации его обработки командой реагирования, и предоставления необходимых данных для последующей обработки инцидента. SIEM также в большинстве своем позволяют организовать процессы управления кейсами и знаниями. Также существуют на рынке системы класса IRP, которые расширяют возможности SIEM в некоторых областях».

Рушан Айсин:

«Не могу сказать, что сравнивать SIEM-системы с другими ИБ-решениями корректно. У SIEM свой сегмент и свои задачи. Использование SIEM выводит организацию на высокий уровень контроля за информационной безопасностью. Позволяет централизовать мониторинг и повысить аналитику ИБ. Сложность внедрения системы обуславливает обязательную двустороннюю работу, как со стороны поставщика/интегратора, так и со стороны заказчика. С появлением новых задач возрастает загруженность сотрудников, однако в дальнейшем эта работа в несколько раз облегчает задачу управления ИБ организации. Проекты по внедрению могут занимать от 2 до 10 месяцев в зависимости от конкретной организации, оборудовании и инфраструктуры».

Дмитрий Романченко, директор Центра технологий безопасности IBS:

«SIEM-системы относятся к разряду «зонтичных» систем, которые агрегируют в себя события безопасности, получаемые от других ИБ- и ИТ-систем организации. Далее в системе производится агрегация данных, корреляция с использованием системы решающих правил, выявление инцидентов ИБ, информирование офицеров безопасности, формирование аналитики в различных форматах и разрезах. Современные SIEM-системы эффективно интегрируются с системами, поддерживающими процесс расследования инцидентов ИБ и управления конфигурациями ИТ-систем. Таким образом формируется замкнутый цикл выявления и реагирования на инциденты ИБ.

В выигрыше оказываются решения, обеспечивающие наиболее широкое покрытие по количеству источников, наиболее широко масштабирующиеся, обеспечивающие эффективное сжатие, хранение и поиск информации, реализующие эффективное выявление различных инцидентов ИБ, обладающие богатой аналитикой и инструментами интеграции с системами реагирования на инциденты ИБ».

Людмила Игнатова, генеральный менеджер компании TEGRUS:

«Их главное преимущество в том, что в единой консоли можно увидеть все события ИБ организации и получить полную картину происходящего, а не отдельные ее кусочки, предоставляемые другими системами.

Основной минус – сложный и трудоемкий процесс внедрения. Достаточно непросто создавать правила корреляции событий, настраивать систему для работы, выстраивать грамотный сбор информации из различных источников. Достаточно высокую стоимость также можно отнести к минусам. С другой стороны, здесь некоторые преимущества получают решения российских производителей».

Для каких организаций актуально использование SIEM-систем?

Рустэм Хайретдинов:

«Каждая организация сама решает, нужна ли ей SIEM-система или нет. Экономическая эффективность такой системы под вопросом – это довольно сложная система, требующая постоянного внимания и доработки, поэтому без выделения существенных ресурсов на поддержку она не будет эффективной. Функции управления инцидентами безопасности можно проводить и в системах мониторинга инфраструктуры и приложений, с помощью систем управления журналами событий (лог-менеджмент), а также с использованием внутренних систем управления событиями в разных системах защиты. На практике нужда в выделенной SIEM-системе не зависит от размера компании – есть большие компании, справляющиеся с угрозами без SIEM и есть маленькие с SIEM, все зависит от того, как выстроены в компании внутренние процессы информационной безопасности. Статистически чаще SIEM покупают банки (из-за частых аудитов на соответствие различным требованиям), территориально распределенные компании (из-за желания мониторинга из центра событий в удаленных филиалах) и организации, однажды встретившиеся со сложной атакой, которую не заметили типовые средства защиты».

Яков Гродзенский:

«В определенных случаях наличие SIEM-системы продиктовано требованиями стандартов и законодательства. Например, это относится к банкам, обрабатывающим данные пластиковых карт, так как для них обязательно соответствие PCI DSS (стандарт безопасности данных индустрии платежных карт). Говоря об отраслях и размерах компаний, то это средние и крупные организации из банковского сектора, страховые компании, операторы связи и ряд других отраслей. Другими словами, это те компании, где последствия инцидента, например, вторжения в сеть, могут иметь серьезные финансовые и репутационные последствия».

Дмитрий Романченко:

«Использование решений класса SIEM обязательно для большинства крупных организаций, обрабатывающих персональные данные, конфиденциальную информацию, эксплуатирующих государственные информационные системы, использующих системы АСУ ТП. Недавно утвержденный пакет Федеральных законов о безопасности критической информационной инфраструктуры предполагает выстраивание процессов сбора событий ИБ, расследования инцидентов и реагирования на них, а это как раз и является основной функциональностью SIEM-систем. Согласно отраслевому списку организаций, которые могут быть отнесены к критической информационной инфраструктуре, большинство крупных коммерческих и государственных компаний, а также все федеральные ведомства могут быть отнесены к категории КИИ. В этой связи потребность в эффективных SIEM-решениях будет только возрастать».

Людмила Игнатова:

«Чем больше источников мы подключаем к SIEM-системе, тем больше интересных событий мы в ней увидим. Поэтому логично использовать такие системы в достаточно зрелых организациях с развитой ИТ-инфраструктурой.

Если, грубо говоря, в офисе сидит всего несколько десятков человек и из продуктов по безопасности установлен только антивирус и NGFW (next generation firewall, «фаервол следующего поколения»), то внедрение SIEM-системы, скорее всего, не даст желаемых результатов по той причине, что решение не раскроет свои возможности в полной мере».

Новости, истории и события
Смотреть все
Компания Bell Integrator FabricaONE.AI (акционер — ГК Softline) реализовала проект по разработке специализированного ПО для крупной российской страховой компании
Новости

Компания Bell Integrator FabricaONE.AI (акционер — ГК Softline) реализовала проект по разработке специализированного ПО для крупной российской страховой компании

15.08.2025

Администрация Петербурга ускорила отбор кандидатов с помощью нейросети и робота ROBIN от SL Soft FabricaONE.AI (акционер – ГК Softline)
Новости

Администрация Петербурга ускорила отбор кандидатов с помощью нейросети и робота ROBIN от SL Soft FabricaONE.AI (акционер – ГК Softline)

15.08.2025

«Инферит» (кластер «СФ ТЕХ» ГК Softline) сообщает о включении десктопного ПК Inferit Desktop v2 D4 в реестр Минпромторга
Новости

«Инферит» (кластер «СФ ТЕХ» ГК Softline) сообщает о включении десктопного ПК Inferit Desktop v2 D4 в реестр Минпромторга

14.08.2025

Академия АйТи FabricaONE.AI (акционер - ГК Softline) организовала экспертную дискуссию по развитию корпоративной культуры для успешной цифровой трансформации
Новости

Академия АйТи FabricaONE.AI (акционер - ГК Softline) организовала экспертную дискуссию по развитию корпоративной культуры для успешной цифровой трансформации

14.08.2025

Технологический Кластер «СФ ТЕХ» ГК Softline и компания POKKELS объявляют о стратегическом партнерстве
Новости

Технологический Кластер «СФ ТЕХ» ГК Softline и компания POKKELS объявляют о стратегическом партнерстве

13.08.2025

Оборудование производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включено в реестр российской промышленной продукции
Новости

Оборудование производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включено в реестр российской промышленной продукции

13.08.2025

«Инферит» (кластер «СФ ТЕХ» ГК Softline) готовит инженеров будущего: студенты МГТУ им. Н.Э. Баумана прошли практику на базе российского ИТ-вендора
Новости

«Инферит» (кластер «СФ ТЕХ» ГК Softline) готовит инженеров будущего: студенты МГТУ им. Н.Э. Баумана прошли практику на базе российского ИТ-вендора

13.08.2025

ГК Softline вошла в рейтинг российских провайдеров IaaS Enterprise 2025
Новости

ГК Softline вошла в рейтинг российских провайдеров IaaS Enterprise 2025

13.08.2025

«Инферит» (кластер «СФ ТЕХ» ГК Softline) и ОКБ САПР подтвердили совместимость ноутбуков INFERIT с решениями «Аккорд» для защищенных ИТ-сред
Новости

«Инферит» (кластер «СФ ТЕХ» ГК Softline) и ОКБ САПР подтвердили совместимость ноутбуков INFERIT с решениями «Аккорд» для защищенных ИТ-сред

12.08.2025

Инвестиционная компания Sk Capital приобретает долю в акционерном капитале ПАО «Софтлайн»
Новости

Инвестиционная компания Sk Capital приобретает долю в акционерном капитале ПАО «Софтлайн»

12.08.2025

Dev Platform от VK Tech внедрила платформу Test IT («Девелоника», кластер FabricaONE.AI (акционер – ГК Softline) для повышения качества разработки ПО
Новости

Dev Platform от VK Tech внедрила платформу Test IT («Девелоника», кластер FabricaONE.AI (акционер – ГК Softline) для повышения качества разработки ПО

11.08.2025

ГК Softline вошла в ТОП-10 крупнейших компаний России
Новости

ГК Softline вошла в ТОП-10 крупнейших компаний России

11.08.2025

Компания SL Soft FabricaONE.AI (акционер – ГК Softline) представила технологию для миграции финансовых моделей из Excel в Polymatica EPM с помощью LLM
Новости

Компания SL Soft FabricaONE.AI (акционер – ГК Softline) представила технологию для миграции финансовых моделей из Excel в Polymatica EPM с помощью LLM

08.08.2025

ГК Softline вошла в рейтинг самых эффективных ИТ-компаний России
Новости

ГК Softline вошла в рейтинг самых эффективных ИТ-компаний России

08.08.2025

ActiveCloud (ГК Softline) помог крупнейшему производителю безалкогольных напитков повысить качество обслуживания клиентов
Новости

ActiveCloud (ГК Softline) помог крупнейшему производителю безалкогольных напитков повысить качество обслуживания клиентов

07.08.2025

Polymatica EPM компании SL Soft FabricaONE.AI (акционер – ГК Softline)  включена в Единый реестр российского программного обеспечения
Новости

Polymatica EPM компании SL Soft FabricaONE.AI (акционер – ГК Softline) включена в Единый реестр российского программного обеспечения

07.08.2025

Академия АйТи FabricaONE.AI (акционер – ГК Softline) обучила российских HR-специалистов навыкам и инструментам для цифровой трансформации компаний
Новости

Академия АйТи FabricaONE.AI (акционер – ГК Softline) обучила российских HR-специалистов навыкам и инструментам для цифровой трансформации компаний

07.08.2025

ГК Softline заняла 2 место в рейтинге крупнейших ИТ-поставщиков в банках
Новости

ГК Softline заняла 2 место в рейтинге крупнейших ИТ-поставщиков в банках

07.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025