Как инвестировать в безопасность компании – дело индивидуальное. Кто-то ежегодно перечисляет миллионы на счета вендоров, а кто-то самостоятельно разрабатывает SIEM-системы на базе открытого кода.
Что выгоднее на практике – оплачивать проприетарное решение или полагаться на Open Source? Какие бесплатные SIEM-решения используют в компаниях сегодня? И почему ИБ-специалисты их часто обходят стороной? Подробности – в этой статье.
Обзор SIEM-систем с открытым кодом
Чем меньше ограничений в opensourse-решении, тем больше компаний его используют. Самые популярные бесплатные SIEM-системы могут работать с любым количеством пользователей и данных, легко масштабируются и поддерживаются ИТ-сообществом.
В топ-список популярных SIEM-систем с открытым исходным кодом входят:
Также при создании собственной системы в компаниях часто используют ELK SIEM, Snort, Suricata, SecurityOnion, Apache Metron и другие бесплатные продукты. Многие из них – ограниченные версии проприетарного ПО. Как правило, они предлагаются вендорами для ознакомления с их основной системой
Когда можно использовать открытый код
Тест-драйв коммерческой системы, пусть и с минимальным набором функций – одна из самых популярных причин внедрять Open Source SIEM сегодня. Бесплатные версии с открытым исходным кодом помогают специалистам проверить дорогостоящий продукт в боевых условиях и заодно заглянуть под его капот.
[...]
Нехватка квалифицированных специалистов – одна из главных проблем, с которыми сталкиваются компании при использовании ПО с открытым исходным кодом. Чтобы разрабатывать и поддерживать такие SIEM-системы, нужны опытные администраторы Linux, аналитики и эксперты по подключению новых источников, разработке правил корреляции, дашбордов и пр. Так как бесплатное ПО обладает минимумом функций и настроек на борту, этой работы будет много. Во всяком случае, в первые месяцы после внедрения – отмечают эксперты.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
Также потребуются DevSecOps-инженеры, способные гарантировать безопасность применяемых opensource-решений – отсутствие уязвимостей и закладок, способных нанести вред всей инфраструктуре.
Нелишним будет привлечь и высококвалифицированных архитекторов. Ошибка в архитектуре может обернуться невозможностью масштабирования или развития решения, что приведет к существенным дополнительным инвестициям.
Множество таких факторов, по словам эксперта, может сказаться на стоимости владения системой. Поэтому Open Source SIEM может выбирать только тот, кто отлично знает свои задачи и обладает необходимыми ресурсами.
Почему лучше обратиться к вендору
На Западе есть поговорка: «Linux бесплатна, только когда вы не цените свое время». То же самое можно сказать и об инструментах SIEM с открытым исходным кодом.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
Стоимость владения Open Source и коммерческим решением может различаться. Но в большинстве случаев владение «бесплатным ПО» дороже: все издержки по созданию и развитию собственного решения ложатся на клиента, а затраты на персонал могут быть выше затрат на лицензии.
Сложности с доработкой продуктов – причина, по которой страдает безопасность opensource-продуктов. Выявленные уязвимости могут устраняться неделями или месяцами, чем активно пользуются киберпреступники.
[...]
Выводы
Open Source SIEM-системы – это вариант, который подходит далеко не всем компаниям в России. С одной стороны, чтобы адаптировать открытый исходный код под свои задачи, нужно иметь в штате много первоклассных IT-специалистов и внушительный ФОТ. С другой – есть требования регуляторов, по которым в большинстве случаев нужно устанавливать только сертифицированное ПО.
Однако отказываться от opensource-инструментов полностью не стоит, говорят эксперты. Как минимум, их можно приводить в пример при подготовке требований и пожеланий к платной SIEM.
Подробнее на сайте издания по ссылке.
Что выгоднее на практике – оплачивать проприетарное решение или полагаться на Open Source? Какие бесплатные SIEM-решения используют в компаниях сегодня? И почему ИБ-специалисты их часто обходят стороной? Подробности – в этой статье.
Обзор SIEM-систем с открытым кодом
Чем меньше ограничений в opensourse-решении, тем больше компаний его используют. Самые популярные бесплатные SIEM-системы могут работать с любым количеством пользователей и данных, легко масштабируются и поддерживаются ИТ-сообществом.
В топ-список популярных SIEM-систем с открытым исходным кодом входят:
- AlienVault OSSIM SIEM – версия AlienVault USM, одного из лидеров среди данного класса решений в мире. Пользователь бесплатно получает фреймворк с системами обнаружения вторжений, мониторинга сетей и узлов, сканера уязвимости и других инструментов с открытым исходным кодом;
- MozDef – разработка Mozilla, которую программисты написали с нуля. Как и в предыдущем случае, SIEM-система создавалась на проверенных временем opensource-проектах. По словам разработчика, она может обрабатывать более 300 млн событий ежедневно;
- Wazuh – это бесплатное решение, которое изначально развивалось в рамках другой Open Source SIEM-системы (OSSEC). Позже оно стало отдельным продуктом, который может одновременно собирать данные с помощью агентов и системных журналов. К преимуществам Wazuh относят современный веб-интерфейс, REST API и расширенный набор правил;
- OSSEC SIEM – старший брат системы Wazuh. В ИБ-сообществе продукт больше известен как неплохое бесплатное решение для обнаружения вторжений;
- Sagan – SIEM-инструмент, который может анализировать входы в сеть режиме реального времени и оценивать их корреляции. Одно из преимуществ – высокая производительность, которая достигается благодаря многопоточной архитектуре решения;
- Prelude OSS – opensource-вариант Prelude SIEM, платной системы от французского разработчика CS. Решение работает с множеством форматов логов, легко интегрируется с популярными opensource-инструментами от других разработчиков.
Также при создании собственной системы в компаниях часто используют ELK SIEM, Snort, Suricata, SecurityOnion, Apache Metron и другие бесплатные продукты. Многие из них – ограниченные версии проприетарного ПО. Как правило, они предлагаются вендорами для ознакомления с их основной системой
Когда можно использовать открытый код
Тест-драйв коммерческой системы, пусть и с минимальным набором функций – одна из самых популярных причин внедрять Open Source SIEM сегодня. Бесплатные версии с открытым исходным кодом помогают специалистам проверить дорогостоящий продукт в боевых условиях и заодно заглянуть под его капот.
[...]
Нехватка квалифицированных специалистов – одна из главных проблем, с которыми сталкиваются компании при использовании ПО с открытым исходным кодом. Чтобы разрабатывать и поддерживать такие SIEM-системы, нужны опытные администраторы Linux, аналитики и эксперты по подключению новых источников, разработке правил корреляции, дашбордов и пр. Так как бесплатное ПО обладает минимумом функций и настроек на борту, этой работы будет много. Во всяком случае, в первые месяцы после внедрения – отмечают эксперты.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
Также потребуются DevSecOps-инженеры, способные гарантировать безопасность применяемых opensource-решений – отсутствие уязвимостей и закладок, способных нанести вред всей инфраструктуре.
Нелишним будет привлечь и высококвалифицированных архитекторов. Ошибка в архитектуре может обернуться невозможностью масштабирования или развития решения, что приведет к существенным дополнительным инвестициям.
Множество таких факторов, по словам эксперта, может сказаться на стоимости владения системой. Поэтому Open Source SIEM может выбирать только тот, кто отлично знает свои задачи и обладает необходимыми ресурсами.
Почему лучше обратиться к вендору
На Западе есть поговорка: «Linux бесплатна, только когда вы не цените свое время». То же самое можно сказать и об инструментах SIEM с открытым исходным кодом.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
Стоимость владения Open Source и коммерческим решением может различаться. Но в большинстве случаев владение «бесплатным ПО» дороже: все издержки по созданию и развитию собственного решения ложатся на клиента, а затраты на персонал могут быть выше затрат на лицензии.
Сложности с доработкой продуктов – причина, по которой страдает безопасность opensource-продуктов. Выявленные уязвимости могут устраняться неделями или месяцами, чем активно пользуются киберпреступники.
[...]
Выводы
Open Source SIEM-системы – это вариант, который подходит далеко не всем компаниям в России. С одной стороны, чтобы адаптировать открытый исходный код под свои задачи, нужно иметь в штате много первоклассных IT-специалистов и внушительный ФОТ. С другой – есть требования регуляторов, по которым в большинстве случаев нужно устанавливать только сертифицированное ПО.
Однако отказываться от opensource-инструментов полностью не стоит, говорят эксперты. Как минимум, их можно приводить в пример при подготовке требований и пожеланий к платной SIEM.
Подробнее на сайте издания по ссылке.