Information Security: SIEM на распутье. Мнение экспертов рынка

Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?

Для коммерческих организаций выбор между Open Source или коммерческим решением (и вообще между различными решениями) определяется экономической целесообразностью и способностью решать задачи, стоящие перед организацией. Поэтому ключевыми факторами для оценки являются функциональные возможности решения и совокупная стоимость владения. В текущем контексте дефицита экспертизы на рынке очень мало сценариев, при которых организация способна получить более выигрышное решение на Open Source.

Функциональность каких смежных классов ИБ- и ИТ-решений вы планируете добавить в свой SIEM в ближайшие 2–3 года?

В составе Alertix уже есть функционал решений классов IM, TIP, ITAM, UBA, BI. Следуя тенденциям, мы планируем добавить возможность Response (IRP) и функции проверки соответствия стандартам (Сompliance Сheck как часть функций SGRC). Мы видим развитие нашей платформы в создании множества функциональных приложений, которые позволяют решать как ИБ-, так и распространенные ИТ- или бизнес-задачи. Например, мы активно развиваем собственный инструмент визуализации и разграничения доступа, что позволит применять решение и накопленные данные ИТ-специалистам для диагностики или оценки утилизации ресурсов.

Как изменяется подход к управлению данными в SIEM, учитывая возрастающее разнообразие источников и увеличение объема событий?

Есть несколько стратегий, реализуемых на практике. Если смотреть на мировой опыт, большинство вендоров двигаются в сторону Security Data Lakes, спроектированных для работы с Big Data. Есть альтернативный сценарий – использование более жестких моделей данных, которые позволяют оптимизировать объемы хранилищ и скорость обработки, но требуют больше усилий на этапах подготовки данных.