Статті

Какие SIEM лидируют на рынке кибербезопасности в Украине?

Юрий Калинчук, технический директор СВІТ ІТ
Юрий Калинчук, технический директор СВІТ ІТ
09 октября, 2015. 09:10 Олег Пилипенко
В ходе ежегодной SIEM-конференции «In Logs We Trust 3.0”, проведенной компанией CВІТ ІТ 30 сентября, издание Channel4it.com взяло flash-интервью у технического директора компании Юрия Калинчука, в ходе которого задало несколько вопросов, в том числе - о лидирующих на рынке средств информационной безопасности системах SIEM.

Channel4it.com: как Вы оцениваете украинский рынок SIEM? Насколько велик интерес украинских компаний к SIEM-решениям?

Юрий Калинчук: Подобными системами интересуются, в первую очередь, те заказчики, которым необходимо выполнять требования регулятора. Например, банки должны отвечать стандартам PCI DSS. Кроме того, компаниям необходимо расследовать различные инциденты в области ИБ. Вначале, когда направление SIEM только возникало на рынке, заказчики, в основном, интересовались решениями класса Log Management и корреляцией событий, позволяющей сопоставить два события и выявить в них какие-либо закономерности. Сегодня же, по нашим данным, многие крупные компании уже инсталлировали SIEM-систему, что помогает им расследовать инциденты.

В силу вышесказанного рынок SIEM уже трансформировался. Теперь у многих заказчиков появилась необходимость в разработке контента под различные задачи при расследовании инцидентов. Для этого требуется выделенный специалист. Такое заказчики не всегда могут позволить — ведь в компаниях сегодня зачастую существенно сокращают штат. Поэтому многие организации заинтересованы в аутсорсинге. И мы как интегратор предлагаем аутсорсинг для таких процессов – у нас хорошая экспертиза в данной области. Компания СВІТ ІТ фокусируется на решениях информационной безопасности, причем один из основных продуктов нашей специализации — SIEM-решения.

Channel4it.com: какие продукты сегодня пользуются спросом на рынке? Какими критериями руководствуется заказчик при подборе оптимальной системы?

Ю. К.: HP ArcSight — это наиболее мощный продукт в данной области, и он первым пришел на рынок Украины. Кроме того, на рынке популярны решения QRadar от IBM, McAfee от Intel Security и AlienVault. Последний – достаточно новый продукт для нашего рынка, в котором есть интересный функционал по бесплатным модулям. И если заказчику нужны только минимальная корреляция, Log Management и бесплатный сканер уязвимостей, а также репутационная база Threat Intelligence, то AlienVault представляет собой хороший выбор.

Что касается HP ArcSight — это большая «песочница». Если компания выросла до уровня, когда она хочет строить сложные антифрод-решения, если она готова разрабатывать контент, когда при выполнении операций команда будет выполняться на внешнем сервере, либо передавать какие-то данные – то в этом случае для заказчика оптимально использование ArcSight. Конечно же, QRadar от IBM Security также обладает расширенным функционалом – кроме стандартных для всех SIEM возможностей, решение производит мониторинг сетевого трафика «из коробки» (NetFlow, IPFIX, sFlow, J-Flow), отслеживает конфигурацию сетевых устройств, что позволяет расширить контекст, уменьшить количество ложных срабатываний и правильно расставить приоритеты при реагировании на инциденты безопасности. Также, в решении QRadar есть функционал по управлению уязвимостями (QRadar Vulnerability Manager) который позволяет прогнозировать уязвимые области защиты сетевых устройств и приложений, что в свою очередь помогает специалистам смягчить потенциальные риски. McAfee SIEM обладает модулем Advanced Correlation Engine (ACE), который позволяет выполнят корреляцию по историческим события. Этот модуль интересен следующим: допустим, сегодня была обнаружена уязвимость нулевого для (zero day). С помощью ACE можно скоррелировать исторические события, и понять, была ли в прошлом подобная активность по этой уязвимости.

Channel4it.com: сколько времени занимает внедрение?

Ю. К.: Процесс внедрения, включающий подключение стандартных источников данных, занимает около трех месяцев. Однако в компаниях зачастую используются нестандартные источники данных, например, «самописные» системы. СВІТ ІТ способна разработать под такие системы специальные коннекторы, которые будут адаптировать такие данные под SIEM заказчика. Разработка такого коннектора и настройка системы занимает еще некоторое время.

Подобная интеграция позволяет вплотную интегрировать окружение заказчика с SIEM-системами, независимо от их типа: БД, файлы, syslog, XML, SNMP.

Channel4it.com: каковы планы компании на ближайшую перспективу?

Ю. К.: В первую очередь, планируется дальнейшее расширение портфеля SIEM. Также мы акцентируем внимание на поиске возможностей дальнейшего расширения функционала SIEM за счет использования дополнительных модулей – расследование инцидентов (Threat Intelligence); поведенческим анализом User Behavior Analysis и прочее.

В приоритете остается рост компетенции инженерных кадров компании. С другой стороны, для нас важно продолжать повышать компетенции и техническую грамотность наших заказчиков. Мы регулярно проводим технические тренинги, курсы, лабораторные занятия и прочее.

Материалы по теме:
Комментарии: