В новом формате. Компания «СёрчИнформ» провела стрим о SIEM

12.04.2022

Вернуться к списку новостей

Компания «СёрчИнформ» провела свой первый «безопасный» стрим. В прямом эфире эксперты по информационной безопасности обсудили вопросы внедрения и использования SIEM в нынешней ситуации – экстренного импортозамещения и защиты от растущего числа угроз.

Спикерами были представители «СёрчИнформ» Алексей Парфентьев и Павел Пугач, главный специалист по информационной безопасности АО «Реестр» Дмитрий Чучин. Модерировал стрим экспер кибербезопасности Александр Сушко.

Идея провести дискуссию о SIEM появилась, потому что рынок развивается более чем динамично. Влияют на это сразу несколько факторов: 

  • Растут требования по внедрению защитного софта этого класса (как минимум ФЗ-187). 
  • Угрозы внутренних и внешних атак (60% опрошенных прямо во время эфира сказали, что либо сами заметили рост числа атак, либо знают об этом по общению с коллегами);
  • Экстренная необходимость менять ИТ-инфраструктуру из-за ухода крупных ИТ-вендоров, поставщиков программного обеспечения, железа (IBM, HP, Microsoft, Oracle, Fortinet, SAP и др.)
  • Необходимость импортозамещения зарубежных SIEM-систем.

Импортозамещение – одна из самых острых проблем, потому что касается широкого круга частных компаний. Доля зарубежных компаний на рынке SIEM по сравнению с другими сегментами ИБ высокая – почти 60% занято иностранными вендорами. По данным IDC, крупнейшие доли у IBM QRadar – 25,15% (иностранцы), MaxPatrol SIEM – 24,5% (отечественные) и ArcSight – 24,5% (иностранцы). Из отечественных ярко до сих пор был представлен только MaxPatrol.

Дмитрий Чучин из АО «Реестр», участвовавший в дискуссии отметил, что компаниям нужно готовиться к импортозамещению, потому что регуляторы довольно быстро уточняют свои требования.

«У нас регулятор ЦБ РФ, сегодня рекомендаций по импортозамещению от него может не быть, а завтра появятся. Есть сложности с отечественным оборудованием, что касается софта – его много, но мы готовились заранее и сейчас продолжаем просчитывать риски», – отметил Дмитрий Чучин.

Меняются и требования к защищенности. Так, например, внимание к компаниям со стороны ФСТЭК РФ с февраля растет. 26% опрошенных в ходе стрима зрителей отметили, что только и успевают, что разгребать новые письма регулятора.

Актуальность SIEM-системы в такой ситуации только увеличивается. Кроме упомянутого выше ФЗ-187 закрывать требования приказа ФСТЭК № 239 (SIEM), ГосСОПКА (SIEM), требований по защите государственных информационных систем (149-ФЗ, Приказ ФСТЭК России №17, Методические рекомендации ФСТЭК России). Они касаются всех, кто имеет доступ к государственным и муниципальным информационным системам (например, ЕГИСЗ (здравоохранение), ГАС ГОС (оборонная промышленность), портал госуслуг и пр.).

Пока все перечисленные факторы к взрывному росту закупок SIEM-систем не привели, отметил Павел Пугач, системный аналитик «СёрчИнформ», но к росту интереса – привели точно. 

«Компаниям, которые работают на зарубежных решениях, нужно на что-то их менять. Запас прочности и запас по времени у этих систем есть, но он конечен. Кроме того, многие компании сейчас рассматривают варианты развернуть пилот, чтобы когда этот запас прочности иссякнет, можно было без стресса развернуть новое решение», – говорит Павел Пугач.


«Стало больше обращений заказчиков, которые говорят, что у них изменился запрос к SIEM, они должны отвечать требованиям меняющейся инфраструктуры в связи с отключением в рамках санкций того или иного оборудования, источников информации», – говорит Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

«СёрчИнформ» провела мероприятие в подобном формате впервые. Мы планируем продолжать опыт, выбирая для дискуссий с клиентами и независимыми экспертами самые актуальные поводы. 

Посмотреть стрим

Тех же, кому интересна тема SIEM, мы приглашаем на еще один онлайн – гайд-вебинар. Это будет прикладное мероприятие. Павел Пугач, системный аналитик «СёрчИнформ» разберёт типовые вопросы, с которыми сталкивается во время внедрения и эксплуатации SIEM-системы, а также покажет на практике, как выполнить популярные задачи ИБ с помощью SIEM:

  • Работу с картой инцидентов и дашбордами.
  • Встроенные возможности реагирования на инцидент.
  • Как бороться с ложными срабатываниями.
  • Что тестировать в SIEM перед покупкой.
  • Кейс: удаленный вход и оформление платежного поручения.
  • Кейс: обнаружение использования VPN без подключения к AD.

Зарегистрироваться на гайд-вебинар

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними