В новом формате. Компания «СёрчИнформ» провела стрим о SIEM
12.04.2022
Вернуться к списку новостейКомпания «СёрчИнформ» провела свой первый «безопасный» стрим. В прямом эфире эксперты по информационной безопасности обсудили вопросы внедрения и использования SIEM в нынешней ситуации – экстренного импортозамещения и защиты от растущего числа угроз.
Спикерами были представители «СёрчИнформ» Алексей Парфентьев и Павел Пугач, главный специалист по информационной безопасности АО «Реестр» Дмитрий Чучин. Модерировал стрим экспер кибербезопасности Александр Сушко.
Идея провести дискуссию о SIEM появилась, потому что рынок развивается более чем динамично. Влияют на это сразу несколько факторов:
- Растут требования по внедрению защитного софта этого класса (как минимум ФЗ-187).
- Угрозы внутренних и внешних атак (60% опрошенных прямо во время эфира сказали, что либо сами заметили рост числа атак, либо знают об этом по общению с коллегами);
- Экстренная необходимость менять ИТ-инфраструктуру из-за ухода крупных ИТ-вендоров, поставщиков программного обеспечения, железа (IBM, HP, Microsoft, Oracle, Fortinet, SAP и др.)
- Необходимость импортозамещения зарубежных SIEM-систем.
Импортозамещение – одна из самых острых проблем, потому что касается широкого круга частных компаний. Доля зарубежных компаний на рынке SIEM по сравнению с другими сегментами ИБ высокая – почти 60% занято иностранными вендорами. По данным IDC, крупнейшие доли у IBM QRadar – 25,15% (иностранцы), MaxPatrol SIEM – 24,5% (отечественные) и ArcSight – 24,5% (иностранцы). Из отечественных ярко до сих пор был представлен только MaxPatrol.
Дмитрий Чучин из АО «Реестр», участвовавший в дискуссии отметил, что компаниям нужно готовиться к импортозамещению, потому что регуляторы довольно быстро уточняют свои требования.
«У нас регулятор ЦБ РФ, сегодня рекомендаций по импортозамещению от него может не быть, а завтра появятся. Есть сложности с отечественным оборудованием, что касается софта – его много, но мы готовились заранее и сейчас продолжаем просчитывать риски», – отметил Дмитрий Чучин.
Меняются и требования к защищенности. Так, например, внимание к компаниям со стороны ФСТЭК РФ с февраля растет. 26% опрошенных в ходе стрима зрителей отметили, что только и успевают, что разгребать новые письма регулятора.
Актуальность SIEM-системы в такой ситуации только увеличивается. Кроме упомянутого выше ФЗ-187 закрывать требования приказа ФСТЭК № 239 (SIEM), ГосСОПКА (SIEM), требований по защите государственных информационных систем (149-ФЗ, Приказ ФСТЭК России №17, Методические рекомендации ФСТЭК России). Они касаются всех, кто имеет доступ к государственным и муниципальным информационным системам (например, ЕГИСЗ (здравоохранение), ГАС ГОС (оборонная промышленность), портал госуслуг и пр.).
Пока все перечисленные факторы к взрывному росту закупок SIEM-систем не привели, отметил Павел Пугач, системный аналитик «СёрчИнформ», но к росту интереса – привели точно.
«Компаниям, которые работают на зарубежных решениях, нужно на что-то их менять. Запас прочности и запас по времени у этих систем есть, но он конечен. Кроме того, многие компании сейчас рассматривают варианты развернуть пилот, чтобы когда этот запас прочности иссякнет, можно было без стресса развернуть новое решение», – говорит Павел Пугач.
«Стало больше обращений заказчиков, которые говорят, что у них изменился запрос к SIEM, они должны отвечать требованиям меняющейся инфраструктуры в связи с отключением в рамках санкций того или иного оборудования, источников информации», – говорит Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
«СёрчИнформ» провела мероприятие в подобном формате впервые. Мы планируем продолжать опыт, выбирая для дискуссий с клиентами и независимыми экспертами самые актуальные поводы.
Тех же, кому интересна тема SIEM, мы приглашаем на еще один онлайн – гайд-вебинар. Это будет прикладное мероприятие. Павел Пугач, системный аналитик «СёрчИнформ» разберёт типовые вопросы, с которыми сталкивается во время внедрения и эксплуатации SIEM-системы, а также покажет на практике, как выполнить популярные задачи ИБ с помощью SIEM:
- Работу с картой инцидентов и дашбордами.
- Встроенные возможности реагирования на инцидент.
- Как бороться с ложными срабатываниями.
- Что тестировать в SIEM перед покупкой.
- Кейс: удаленный вход и оформление платежного поручения.
- Кейс: обнаружение использования VPN без подключения к AD.