По мере роста киберугроз компании внедряли системы для централизованного сбора и хранения логов с серверов и рабочих станций. Однако, несмотря на эффективную фиксацию событий, возможности анализа и реагирования были ограничены.

Рассмотрим этапы развития SIEM более подробно.

1990-е годы: Зарождение систем управления логами

В конце прошлого столетия системы управления логами, такие как syslog в UNIX, обеспечивали централизованное хранение и доступ к журналам событий. Но анализ данных оставался ручным и занимал много времени.

Это затрудняло обнаружение и реагирование на начало атаки. Компании поняли, что нужны более продвинутые решения для повышения безопасности своих систем.

2000-е годы: Появление SIM и SEM

В начале 2000-х появились системы SIM (Security Information Management) и SEM (Security Event Management):

· SIM-системы сосредоточились на долгосрочном хранении данных и соблюдении нормативных требований. Они упростили аудит и расследование инцидентов, что было важно для соответствия законам и нормативным актам.

· SEM-системы ориентировались на мониторинг в реальном времени и обнаружение угроз. Это позволяло администраторам быстро реагировать на инциденты и минимизировать ущерб.

Дальнейшим логичным шагом стало объединение возможностей SIM и SEM. В 2005 году аналитики Gartner ввели термин SIEM, объединяющий обе концепции. Первые SIEM-системы предоставили централизованное хранение данных с автоматизацией и корреляцией событий, что ускорило выявление угроз и улучшило реагирование на них

2010-е годы: Эволюция SIEM

В эти годы SIEM-системы получили значительный импульс в развитии. Автоматический поиск аномалий и корреляция данных из разных источников повысили точность анализа, позволяя объединять разрозненные данные и находить скрытые угрозы.

Активно развивалось направление машинного обучения и искусственного интеллекта, что позволило сократить число ложных срабатываний и ускорить обработку информации. Алгоритмы обучались на больших объемах данных, распознавая сложные паттерны атак.

Прогнозирование угроз стало возможным благодаря продвинутой аналитике, что позволило предугадывать атаки до их реализации и повышать уровень проактивной защиты.

Внедрение технологий UEBA (User and Entity Behavior Analytics) позволило анализировать поведение пользователей и устройств, помогая выявлять отклонения от нормы, что может указывать на компрометацию учетной записи или внутреннюю угрозу.

Однако внедрение этих технологий не обошлось без трудностей: обработка больших данных требовала значительных вычислительных ресурсов, увеличивая расходы на инфраструктуру и обучение персонала.

Но несмотря на эти проблемы, преимущества перевесили затраты. SIEM-системы стали более проактивными в обнаружении и реагировании на угрозы, существенно повышая уровень кибербезопасности организаций.

Актуальность SIEM в 2024 году

Киберугрозы в последние годы значительно участились и стали сложнее.

Так, Positive Technologies в 2023 году отметили 5-процентный рост целевых атак на российские госучреждения, а по данным отчёта «Лаборатории Касперского», в I квартале 2024 года количество критичных инцидентов в РФ выросло на 39% по сравнению с аналогичным периодом прошлого года.

Особенный рост зафиксирован в секторах телекоммуникаций, где атаки увеличились более чем в 10 раз, и в строительной отрасли, где частота инцидентов выросла вдвое.

Злоумышленники всё чаще используют методы социальной инженерии, фишинг, программы-вымогатели (ransomware) и продвинутые устойчивые угрозы (APT). Эти атаки обычно маскируются и остаются незаметными длительное время, что требует применения сложных технологий для их выявления.

Кроме того, российское законодательство в области защиты данных значительно ужесточилось. Например, поправки к закону «О персональных данных» (152-ФЗ), принятые в 2022 году, обязывают компании обеспечивать повышенный уровень защиты данных россиян.

За несоблюдение этих требований предусмотрены крупные штрафы и риски потери деловой репутации. Для выполнения нормативов SIEM-системы незаменимы: они позволяют компаниям автоматизировать процесс отчётности.

Основные функции и процесс работы SIEM

В крупных компаниях объем событий, записанных в логах, огромен. Если у компании сотни или тысячи устройств, то вручную следить за всеми событиями и выявлять угрозы становится практически невозможно. SIEM решает эту проблему, собирая все логи в одном месте, анализируя их и выявляя потенциально опасные действия.

Как SIEM находит угрозы: основные этапы

1. Сбор данных — построение общей картины сети

Какой часть системы отвечает: за сбор данных отвечают программные агенты, установленные на ПК и серверах. Они собирают логи приложений, системные события и активность пользователей. А безагентская сборка получает данные с сетевых устройств через стандартные протоколы (API, Syslog, SNMP и пр.).

Что происходит: SIEM непрерывно получает логи и данные о событиях со всех устройств в сети: от серверов до компьютеров сотрудников и облачных приложений. Например, если сотрудник удаленно подключается к серверу, сервер фиксирует время, IP-адрес и результат подключения, и этот лог сразу попадает в систему.

Почему это важно: Представьте, что вы собираете все камеры наблюдения в здании в один центр. Если не собрать данные со всех устройств, часть сети останется невидимой для системы, и потенциальные угрозы могут остаться незамеченными.

2. Нормализация данных — приведение к единому стандарту

Какой часть системы отвечает: за этот и следующий шаг отвечает ядро системы.

Что происходит: Данные, полученные от разных устройств, имеют разные форматы. Например, сервер может фиксировать вход в систему как «login», а маршрутизатор — как «access». SIEM приводит все данные к единому виду, чтобы их можно было анализировать и сопоставлять.

Почему это важно: Нормализация данных делает их понятными и позволяет видеть закономерности. На этом этапе видно, например, что одно и то же событие фиксировалось разными устройствами, и сопоставить их.

3. Корреляция событий — поиск закономерностей и выявление угроз

Какой часть системы отвечает: на данном этапе корреляционные движки ядра используют предопределенные правила и механизмы на базе ИИ.

Что происходит: SIEM анализирует нормализированные логи, выстраивает цепочки связанных событий. Допустим, один и тот же пользователь заходит на несколько серверов, меняет пароли и пытается передать данные на внешний сервер.

По отдельности эти события могут показаться безобидными, но их совокупность указывает на потенциально опасное поведение.

Почему это важно: Корреляция — это способность системы «замечать закономерности». Без этого SIEM видел бы только отдельные события, но не мог бы складывать их в общую картину.

Например, система обнаруживает не просто вход по паролю, а связку событий: многократная попытка входа, затем успешный вход, загрузка файлов и их передача за пределы сети. Это позволяет выявлять сложные угрозы, которые иначе остались бы незамеченными.

4. Оповещение аналитиков — момент реагирования

Какой часть системы отвечает: Интерфейс системы позволяет аналитикам безопасности легко просматривать подозрительные события и моментально реагировать на них, а также обеспечивает интуитивно понятный доступ ко всем функциям системы

Что происходит: Когда SIEM обнаруживает подозрительную цепочку событий, он немедленно отправляет уведомление аналитикам. Обычно оповещение содержит подробную информацию: время инцидента, характер действий и уровень угрозы.

Аналитики сразу получают это сообщение и могут оперативно реагировать — например, заблокировать учетную запись, изолировать устройство или даже отключить доступ к сети.

Почему это важно: Этот этап — переход от автоматической работы системы к действиям сотрудников. SIEM не просто сообщает о проблеме, а помогает аналитикам быстро разобраться в инциденте и принять необходимые меры.

Быстрое оповещение помогает предотвратить распространение угрозы и снизить возможный ущерб.

Пример цепочки событий

Допустим, пользователь Иван многократно пытается войти в систему, вводя неправильный пароль.

SIEM реагирует следующим образом:

1. Фиксирует все попытки ввода пароля (сбор данных)

2. Приводит лог попыток входа Ивана к единому виду, чтобы их было легко сопоставить (нормализация).

3. Ивану удается войти в систему, и через минуту он начинает скачивать десятки файлов с сервера, а затем отправляет их на внешний ресурс (корреляция). SIEM замечает, что несколько подозрительных событий следуют одно за другим.

4. SIEM отправляет оповещение аналитикам безопасности, которые сразу проверяют учетную запись Ивана и видят подозрительную активность. Они блокируют учетную запись и предотвращают утечку данных (оповещение).

Дополнительные функции

Помимо основных функций, SIEM-системы предлагают дополнительные возможности.

Они обеспечивают отчетность и соответствие требованиям, генерируя отчеты для аудитов и соблюдения нормативных требований, такими как ГОСТ Р 57580.1-2017 (Защита финансовых организаций).

Кроме того, SIEM предоставляет возможности управления инцидентами, отслеживая жизненный цикл инцидентов от обнаружения до разрешения. А благодаря сохранению всех событий в БД, возможно произвести ретроспективный анализ инцидента.

Возможные вызовы при внедрении SIEM

Хотя внедрение SIEM приносит очевидные преимущества, процесс может сопровождаться рядом трудностей.

Сложность настройки и адаптации

Интеграция SIEM требует значительных ресурсов и времени на настройку и обучение персонала. Без должной подготовки система может работать неэффективно, что приведет к пропущенным угрозам или неверной интерпретации данных.

Важно привлекать опытных специалистов и регулярно обучать сотрудников, чтобы обеспечить эффективную работу системы.

Высокие затраты на внедрение и поддержку

Инвестиции в SIEM включают покупку лицензий, оборудования и расходы на техническую поддержку. Однако использование облачных решений и моделей подписки помогает снизить начальные затраты, облегчая финансовую нагрузку для малого и среднего бизнеса.

Следует тщательно оценивать различные модели развёртывания SIEM, такие как локальные решения, облачные системы и гибридные варианты, и выбирать оптимальный вариант с учётом бюджета и потребностей.

Ложные срабатывания и объём данных

SIEM генерирует значительное количество уведомлений, включая ложные срабатывания, что может снизить эффективность работы команды. Избыточные предупреждения могут вызвать «усталость от алертов», когда важные сигналы пропускаются.

Для решения этой проблемы рекомендуется внедрять механизмы фильтрации и приоритизации событий с помощью машинного обучения и правил корреляции. Также следует регулярно оптимизировать настройки системы для снижения количества ложных срабатываний.

Критерии выбора SIEM

Выбор SIEM-системы — важный шаг для обеспечения кибербезопасности в организации. Рассмотрим основные критерии выбора, особенности российского рынка и практические рекомендации.

Функциональные возможности

Один из ключевых параметров SIEM — её функциональность. Система должна справляться с основными задачами: сбором и анализом данных из различных источников, корреляцией событий, управлением логами.

Например, MaxPatrol SIEM известна мощными инструментами корреляции, которые позволяют быстро выявлять потенциальные инциденты, а СёрчИнформ SIEM предоставляет удобные механизмы логирования для ускорения расследования событий.

Также важно, чтобы SIEM поддерживала автоматизацию реагирования на инциденты, что позволяет сокращать время на обработку угроз и минимизировать ущерб.

Для оценки функциональности рекомендуется тестировать SIEM в реальных сценариях, проверяя её на способность обрабатывать большие объёмы данных и быстро выдавать анализ.

Масштабируемость

Кибербезопасность должна расти вместе с бизнесом, поэтому масштабируемость SIEM крайне важна. Это особенно актуально для компаний, планирующих расширение своей ИТ-инфраструктуры.

Так, MAXPatrol демонстрирует высокую производительность при больших объёмах данных, показывая отличные результаты даже при десятках тысяч событий в секунду, что критично для крупных организаций.

При выборе SIEM стоит провести нагрузочные тесты и проверить производительность в различных сценариях роста. Обратите внимание на метрики, такие как время обработки событий, задержка при корреляции данных и объём поддерживаемых источников. Эти показатели помогут оценить, насколько хорошо система выдержит будущие нагрузки.

Соответствие нормативным требованиям

Для российских компаний критически важно, чтобы SIEM соответствовала нормативным требованиям законодательства, таким как 152-ФЗ о защите персональных данных, ГОСТ Р 56545-2015, ГОСТ Р 56546-2015 и Приказ ФСТЭК России № 17. Это особенно актуально для финансовых и государственных организаций.

Например, СёрчИнформ и MaxPatrol SIEM предлагают встроенные шаблоны отчётов, которые позволяют автоматизировать создание документов, соответствующих ГОСТ и регламентам ЦБ. Наличие таких шаблонов снижает нагрузку на ИТ-отделы и упрощает процессы внутреннего контроля и аудита.

Стоимость внедрения и эксплуатации

Внедрение SIEM-системы — это не только первоначальные затраты, но и регулярные расходы на поддержку и эксплуатацию. Чтобы избежать неожиданно высоких затрат, стоит заранее оценить все элементы совокупной стоимости владения.

Ниже — основные аспекты, которые помогут принять взвешенное решение и оптимизировать бюджет.

Из чего складывается стоимость владения SIEM

Лицензия: краткосрочная или бессрочная?

Лицензирование — один из первых и ключевых расходов. У российских SIEM-систем, как правило, есть два варианта лицензий: разовая покупка (бессрочная лицензия) или подписка с регулярными платежами.

· Подписка лучше подходит для компаний, которые только начинают использовать SIEM и могут увеличить объём данных в будущем. Подписка позволяет гибко масштабировать систему по мере роста бизнеса.

· Бессрочная лицензия требует значительных вложений на старте, но оказывается выгоднее для компаний, которые точно знают свои потребности в обработке данных и объёмы.

Техническая поддержка: неотъемлемая часть владения

Техническая поддержка — важный элемент работы SIEM. В зависимости от уровня поддержки, её стоимость может составлять от 10% до 20% от стоимости лицензии в год.

· Базовый пакет обычно включает ограниченное количество консультаций и ограниченный SLA.

· Расширенные пакеты предлагают оперативную помощь и дополнительные услуги, что полезно при высокой интенсивности работы системы.

Оборудование и инфраструктура

В зависимости от выбранной SIEM и объёмов обрабатываемых данных, компании может понадобиться закупка и обслуживание серверов или аренда облачной инфраструктуры. Например, MAXPatrol требует серверов высокой производительности для работы с большими объёмами данных.

Размещение в облаке может оказаться удобнее и позволит избежать капитальных вложений в собственные серверы, но такой вариант развертывания поддерживают не все системы.

Объем обрабатываемых данных и количество источников

Затраты на SIEM зачастую также зависят от количества обрабатываемых событий (EPS) или данных в сутки, поэтому каждый новый источник данных может потребовать дополнительной оплаты.

Этот аспект особенно важен для компаний с растущей сетевой активностью — чем больше событий нужно анализировать, тем выше затраты на лицензии и поддержание системы.

Что входит в лицензию, а что оплачивается отдельно

При планировании бюджета важно понять, что включено в лицензию, а какие расходы потребуют дополнительных вложений. Большинство российских SIEM предлагают базовый функционал по сбору и анализу событий, но для полной адаптации часто нужны дополнительные модули:

· Аналитические алгоритмы и модули для обнаружения угроз: сложные алгоритмы для углубленного анализа стоят отдельно, так как они увеличивают вычислительные нагрузки и требуют регулярного обновления.

· Интеграция с внешними сервисами: если для работы SIEM нужно подключать внешние базы данных уязвимостей, платформы для обмена данными о киберугрозах и другие сервисы, это также может потребовать доплат.

· Услуги по настройке и адаптации: начальная настройка системы и её адаптация под потребности бизнеса могут быть отдельной статьей расходов.

Пример расчета стоимости владения на основе MAXPatrol

Для понимания совокупных расходов рассмотрим примерную стоимость владения SIEM MAXPatrol для компании со небольшой нагрузкой:

Лицензия: базовая стоимость — от 3 млн рублей за возможность обрабатывать до 300 событий в секунду (EPS).

Техническая поддержка: от 150 до 300 тысяч рублей в год (5–20% от стоимости лицензии), в зависимости от выбранного уровня.

Оборудование: затраты на сервер составят от 3 млн рублей в зависимости от объёмов данных.

Дополнительные модули: продвинутые аналитические функции могут добавить к стоимости ещё 200–500 тысяч рублей.

Таким образом, итоговая стоимость владения для MAXPatrol может начинаться от ~6,3 млн рублей разово и ~3 млн рублей ежегодно, включая расходы на лицензии, техподдержку и инфраструктуру, но не учитывая дополнительные модули и расширение EPS или активов.

Рекомендации по оптимизации затрат

· Выберите подходящую модель лицензирования: возможно вам подойдет SIEM с бессрочной лицензией, чтобы избежать ежегодных трат.

· Оптимизируйте инфраструктуру: если вы не готовы приобретать собственный сервер на старте, то облачное развертывание может стать удобным вариантом. Также следует провести приоритетизацию источников событий для их возможного сокращения. Это поможет снизить начальные затраты и упростить масштабирование.

· Избегайте переплаты за функции, которые можно приобрести позже: не обязательно покупать все модули сразу. Выберите те функции, которые критически важны сейчас, и добавляйте дополнительные по мере необходимости.

Поддержка и развитие

Надёжная поддержка и регулярное обновление системы — обязательные условия для эффективного использования SIEM. Убедитесь, что выбранное решение имеет чётко прописанную политику обновлений и обучающие программы для сотрудников.

Многие российские поставщики предлагают круглосуточную поддержку на русском языке. Важно, предоставляются ли SLA на решение критических инцидентов и насколько оперативно доступна помощь экспертов.

Адаптация к изменениям законодательства

Нормативные требования в России часто изменяются, и важно, чтобы SIEM-система могла быстро адаптироваться к этим изменениям. Это особенно актуально для финансового сектора, где ЦБ регулярно обновляет свои регламенты по безопасности.

Российские SIEM, как правило, быстрее обновляются в соответствии с новыми регламентами и ГОСТ. Проверьте, как оперативно SIEM обновляется при появлении новых нормативных требований — это поможет избежать трудностей с соответствием на будущее.

Механизмы отчетности для аудитов

Готовые шаблоны отчётов и возможность автоматического создания документов, соответствующих российским стандартам, значительно упрощают аудиты. MaxPatrol SIEM, например, включает предустановленные шаблоны для соответствия требованиям 152-ФЗ и другим стандартам.

Такие функции помогают не только в подготовке отчётности, но и упрощают внутренние проверки на соответствие требованиям безопасности.

Экономические факторы и поддержка отечественных разработчиков

Выбор SIEM-системы от российского производителя может быть выгодным благодаря программам импортозамещения и льготным условиям для отечественных ИТ-решений. Это актуально в условиях экономических санкций и государственной поддержки.

Поддержка российских разработчиков не только снижает зависимость от зарубежного ПО, но и стимулирует развитие отечественных технологий. Такие меры повышают конкурентоспособность российских решений на международном рынке кибербезопасности.

Интеграция с системами безопасности

Интеграция SIEM с другими инструментами безопасности помогает быстрее выявлять угрозы и предотвращать инциденты. Совместная работа с фаерволлами, антивирусами, системами IDS/IPS, DLP и IDR позволяет SIEM собирать и анализировать информацию о безопасности из разных источников.

Основные системы безопасности:

· IDS/IPS (Системы обнаружения и предотвращения вторжений) предупреждают и блокируют подозрительные подключения, помогая SIEM фиксировать потенциальные угрозы.

· DLP (Data Loss Prevention) контролирует передачу конфиденциальных данных и предотвращает утечки, отправляя сигнал в SIEM, если обнаружены аномалии, связанные с возможными утечками информации.

· IDR (Identity Detection and Response) управляет правами доступа и отслеживает подозрительные изменения в привилегиях пользователей, помогая предотвратить внутренние угрозы.

Пример применения интеграции Если фаерволл блокирует подозрительное подключение, SIEM получает от IDS/IPS информацию о попытке вторжения, а DLP предупреждает о риске утечки данных. В это время IDR фиксирует подозрительное изменение прав доступа, что указывает на возможную внутреннюю угрозу.

Эти сигналы в совокупности подтверждают, что инцидент требует немедленного реагирования, помогая исключить ложные тревоги. Такой многоуровневый подход позволяет точнее выявлять реальные угрозы, ускоряет реакцию и снижает число ложных тревог.

Автоматизация реагирования

Компании, которые стремятся не только выявлять инциденты, но и ускорять реакцию на них, могут интегрировать SIEM с SOAR. Эта платформа обеспечивает автоматическое выполнение заранее настроенных сценариев реагирования на угрозы, таких как блокировка подозрительных IP-адресов или отключение скомпрометированных учетных записей.

Например, при выявлении аномалии SIEM может передавать информацию в SOAR, который автоматически выполнит действия по изоляции подозрительных устройств, уведомлению ответственных сотрудников и сбору данных для дальнейшего анализа.

Такой подход позволит минимизировать человеческий фактор, сократит время обработки инцидентов и повысит общую эффективность работы команды безопасности.

По данным Gartner, компании, интегрировавшие SIEM и SOAR, сокращают среднее время реагирования на инциденты на 50%, повышая свою устойчивость к кибератакам.

Внедрение SIEM-системы: шаги и лучшие практики

Рассмотрим, как внедрить SIEM-систему, следуя основным этапам и лучшим практикам.

1. Оценка текущей инфраструктуры и угроз

Первым шагом при внедрении SIEM является детальный анализ существующей инфраструктуры. На этом этапе проводится первичная оценка безопасности. Это позволяет выявить уязвимости и понять, насколько эффективны текущие системы безопасности.

Второй шаг — определить ключевые потребности компании и выяснить, какие аспекты безопасности требуют усиления в первую очередь.

2. Выбор подходящей SIEM-системы

Правильный выбор SIEM-системы критичен для обеспечения защиты и эффективной работы. Решение должно соответствовать стратегическим целям компании и поддерживать её потребности в масштабируемости, интеграции с существующими инструментами и гибкости в настройках.

Стоит учитывать функциональные возможности системы: скорость обработки данных, аналитические функции, поддержка нормативных требований и возможность кастомизации под конкретные задачи. Оценка этих факторов поможет сделать правильный выбор.

3. Настройка и развертывание: ключевые шаги

После выбора SIEM-системы начинается этап её развертывания. Этот процесс требует продуманной стратегии. На этапе установки важно настроить серверы и агентов, а также подключить необходимые источники данных.

Затем настраиваются правила корреляции для выявления подозрительных событий и автоматизации анализа. Завершается этап сбором данных с различных устройств и приложений, что обеспечивает полный охват и точный мониторинг.

4. Обучение команды: подготовка специалистов к работе

Для успешной работы с SIEM-системой необходимы подготовленные специалисты. Обучение ИБ-команды включает проведение тренингов и семинаров. Это помогает сотрудникам овладеть всей функциональностью системы.

Практические занятия и симуляции, включая сценарии реагирования на инциденты, способствуют повышению уровня подготовки. Такие тренировки обеспечивают уверенность команды в своих действиях при возникновении реальных угроз.

5. Постоянный мониторинг и регулярное обновление

Внедрение SIEM-системы — это не разовая задача, а процесс, требующий постоянного внимания. Регулярное обновление системы помогает защититься от новых угроз и улучшает функциональность.

Постоянный мониторинг включает круглосуточное наблюдение за событиями, анализ инцидентов и адаптацию правил корреляции для повышения эффективности работы. Периодические аудиты выявляют слабые места и позволяют вносить необходимые улучшения.

Вывод: внедрение SIEM-системы требует последовательного подхода и внимания к деталям на каждом этапе. Следование этим шагам и лучшим практикам помогает минимизировать риски, улучшить защиту данных и повысить устойчивость компании перед киберугрозами.

Регулярно анализируйте эффективность системы и вовлекайте команду в поиск новых решений для постоянного улучшения уровня безопасности.

Российские и open-source SIEM-решения

Как российские, так и open-source решения в сфере SIEM пользуются популярностью благодаря своей функциональности и адаптивности.

Российские продукты особо активно внедряются в крупные корпоративные, финансовые и государственные структуры, а open-source системы выбираются за возможность гибкой адаптации к специфическим нуждам.

Для повышения доверия пользователей и соответствия требованиям регуляторов многие российские системы проходят сертификацию ФСТЭК и других органов.

Российские решения для крупных организаций

MaxPatrol SIEM от Positive Technologies появилась в 2015 году и поддерживает обработку более 540 тысяч событий в секунду на одном ядре, что делает её одной из лидирующих систем по производительности.

Встроенный ML-помощник BAD (Behavioral Anomaly Detection) помогает выявлять сложные и скрытые атаки, что особенно важно для защиты критической инфраструктуры. Продукт сертифицирован ФСТЭК и Минобороны России и используется в более чем 650 компаниях различных отраслей.

KUMA от Лаборатории Касперского была разработана в 2020 году и поддерживает интеграцию с более чем 191 источником данных, включая сетевые устройства, базы данных и облачные сервисы. Система соответствует требованиям ГосСОПКА и обеспечивает комплексную защиту с автоматизацией процессов. Сертифицирована ФСТЭК.

RuSIEM оснащена мощным механизмом обработки логов, который позволяет собирать данные из различных источников и анализировать их с минимальными задержками, что делает её оптимальной для крупных коммерческих SOC. Сертифицирована ФСТЭК и соответствует требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ.

Платформа Радар от компании «Пангео Радар» поддерживает производительность до 90 000 событий в секунду и гибкое масштабирование. Интеграция с различными источниками данных через API делает её подходящей для организаций с высокими требованиями к производительности и гибкости.

Российские решения для организаций среднего масштаба

UserGate SIEM выделяется высоким уровнем адаптации под корпоративные процессы. И поддерживает мощные механизмы корреляции событий в реальном времени и интеграцию с внешними источниками данных. Подходит для организаций среднего и крупного масштаба.

Smart Monitor от компании «ВолгаБлоб» предназначена для сбора, анализа и корреляции событий с различных источников данных, включая серверы, сетевые устройства и IoT-устройства. Система поддерживает модульную структуру, которая позволяет настраивать её под различные масштабы и нагрузки, делая её подходящей для среднего бизнеса.

Российские решения для небольших организаций и специализированных задач

KOMRAD Enterprise SIEM от компании «Эшелон Технологии» представляет собой гибкую и масштабируемую систему для централизованного управления событиями информационной безопасности. Система сертифицирована ФСТЭК по 4-му уровню доверия, что подтверждает её соответствие высоким требованиям безопасности.

Security Capsule SIEM — легко настраиваемая система, адаптированная под российские требования. Включает поддержку стандартов и требований российского законодательства, таких как ГОСТ, ФЗ-152 (о персональных данных) и ФСТЭК. Поддерживает интеграцию с популярными российскими системами мониторинга и защиты информации.

R-Vision SIEM поддерживает комплексный подход к обработке событий, охватывая все этапы работы с данными и оптимизируя использование ресурсов компании. Подходит для организаций, которым требуется надежная защита с умеренным объёмом данных.

Alertix от NGR Softlab собирает данные более чем с 75 источников и включает свыше 180 встроенных правил корреляции. Интеграция со сканерами уязвимостей и функцией «блокнот» для аналитиков позволяет использовать такие инструменты, как VirusTotal, для проверки значений.

Ankey SIEM NG, разработанная «Газинформсервис» совместно с Positive Technologies, основана на ядре MaxPatrol SIEM. Обеспечивает комплексный мониторинг инфраструктуры и сертифицирована ФСТЭК. Подходит для компаний, нуждающихся в надежном решении для управления инфраструктурой.

СёрчИнформ SIEM предоставляет инструменты для сбора, анализа и корреляции событий. Интеграция с различными источниками данных и возможности визуализации делают её полезной для анализа и отчетности в малом и среднем бизнесе.

Open-source решения

Elastic Stack (ELK) отличается мощной визуализацией и масштабируемостью. Платформа поддерживает сбор и анализ данных с помощью Elasticsearch, Logstash, Kibana и Filebeat. Встроенные функции машинного обучения позволяют выявлять аномалии и делать предсказания, что усиливает возможности обнаружения угроз.

Wazuh изначально был расширением OSSEC и теперь поддерживает мониторинг хостов, анализ логов, сканирование на уязвимости и соблюдение стандартов безопасности. Легко интегрируется с Elastic Stack для создания настраиваемых дашбордов, что позволяет отлично визуализировать различные метрики

Security Onion представляет собой комплексную платформу для мониторинга и обнаружения угроз, отличаясь широким спектром встроенных инструментов, таких как Zeek и Suricata, для глубокого анализа сетевого трафика.

Настройка требует высокой квалификации, включая продвинутые знания в конфигурации инструментов анализа сетевого трафика. Однако система обеспечивает полное покрытие для безопасности сети, что делает её надёжным выбором для сложных инфраструктур.

Преимущества и недостатки российских и open-source SIEM-решений

Российские SIEM-решения имеют ряд преимуществ, которые делают их привлекательными для крупных компаний и государственных организаций. Например, они гарантируют надежное соблюдение требований к безопасности и строгие регуляторные нормы, что обеспечивает уверенность в защищенности данных.

Как правило, они полностью соответствуют требованиям российских регуляторов, таких как ФСТЭК и ФСБ, что позволяет пользователям соблюдать все нормы безопасности и законодательства.

Сотрудники могут рассчитывать на техническую поддержку на русском языке, что значительно упрощает взаимодействие и устранение проблем.

Российские SIEM-системы легко интегрируются с отечественными системами учета и мониторинга, включая системы контроля доступа и корпоративные сети, что повышает их ценность. Дополнительно доступна возможность использования сертифицированных криптографических средств для защиты данных.

Однако у российских решений есть и недостатки. Основной из них — высокая стоимость, обусловленная сложностью разработки и соблюдением всех регуляторных норм, что делает их менее доступными для малого и среднего бизнеса.

Также некоторые компании сталкиваются с ограниченными возможностями кастомизации, что может стать препятствием при адаптации системы под специфические нужды.

Внедрение новых технологий идет медленнее по сравнению с западными аналогами. Существует и ограниченная поддержка интеграций с международными платформами, что может затруднять работу в глобальном контексте. Иногда возникают трудности при работе с мультиязычными данными.

Open-source SIEM-решения представляют собой другую категорию инструментов, которые тоже имеют свои сильные стороны. Основное преимущество — бесплатная лицензия, что снижает затраты на внедрение и эксплуатацию. Такие решения предоставляют пользователям полную свободу кастомизации.

Широкое сообщество разработчиков и пользователей предоставляет доступ к разнообразной документации, активным форумам и готовым решениям, что способствует обмену опытом и внедрению новых идей. Поскольку исходный код открыт, продукт легко адаптируется под специфические задачи.

Например, пользователи могут добавлять модули для анализа данных, такие как плагины для обработки логов из различных источников, включая веб-сервисы и сетевые устройства.

Благодаря активному сообществу, обновления и патчи внедряются быстро, что обеспечивает своевременную поддержку и актуальность системы.

Среди недостатков open-source решений выделяется отсутствие официальной поддержки. Пользователи могут столкнуться с проблемами масштабируемости и интеграции при больших объемах данных. Внедрение и настройка таких систем требует больше времени и ресурсов, чем при использовании коммерческих решений.

Обновления и патчи не всегда проходят строгую проверку безопасности, что требует повышенного внимания со стороны специалистов. Для полноценной работы часто необходимо глубокое техническое знание, особенно при разработке пользовательских решений.

Выводы

Крупные компании и госучреждения с высокими требованиями безопасности предпочитают российские решения благодаря широкому функционалу, включая мониторинг сетевой активности и защиту от утечек данных.

Это помогает соответствовать регуляторным нормам и обеспечивать надежную защиту конфиденциальной информации. Часто они интегрируются с другими отечественными системами безопасности, что усиливает комплексный уровень защиты.

Малые компании и стартапы часто выбирают open-source решения. Эти системы помогают существенно экономить на лицензиях и дают возможность гибкой настройки. Они особенно популярны среди организаций, где требуется высокая степень адаптации и интеграции с уже существующими инструментами, такими как Elasticsearch и Kibana.

Обучение специалистов по информационной безопасности

Современные SIEM-системы насыщены деталями, требующих к себе внимания. Для корректной настройки и реагирования на события работать с ней должен специалист достаточного высокого уровня.

Сотрудники, отлично владеющие навыками работы с такими системами, лучше распознают угрозы на ранних стадиях. Это позволяет компании быстрее реагировать и предотвращать развитие инцидентов. Применение методов анализа, таких как корреляция событий и машинное обучение, повышает надежность защиты.

Также, компании сталкиваются с риском ложных срабатываний. Плохо подготовленный сотрудник может принять аномальное, но безопасное поведение за угрозу, что приводит к ненужным проверкам и стрессу в команде.

Обучение специалистов может включать различные форматы, такие как курсы на специализированных образовательных платформах, где предлагаются детальные программы по работе с SIEM-системами.

· Специалист по внедрению SIEM от OTUS готовит к работе с разными SIEM-системами. Программа включает практику на реальных кейсах, знакомит с установкой, настройкой и эксплуатацией SIEM, а также обучает автоматизации процессов мониторинга и управления инцидентами.

· Основы SIEM и SOC от Edwica по основам работы с SIEM-системами и централизованными центрами безопасности (SOC). В программе — теория и практические задания по управлению событиями, настройке систем и основам мониторинга и реагирования на инциденты.

У многих разработчиков SIEM также есть онлайн-курсы и сертификации, которые помогут прокачать как базовые, так и продвинутые навыки.

· MaxPatrol SIEM от Positive Technologies обучает внедрению и управлению MaxPatrol SIEM. Участники осваивают базовые функции системы, автоматизацию мониторинга и администрирование инцидентов безопасности.

· Kaspersky KUMA ­­— курс по работе с Kaspersky Unified Monitoring and Analysis Platform. Программа охватывает установку, настройку и интеграцию платформы с другими продуктами Kaspersky.

Очень важны практические тренировки и моделирование инцидентов. Они дают возможность отработать навыки в условиях, приближенных к реальным. Платформы для симуляции атак, такие как Cyber Range, обеспечивают полноценные тренировки.

Рабочие сессии в SOC-центрах с опытными аналитиками помогают новичкам быстрее адаптироваться и нарабатывать практический опыт. А семинары по анализу угроз научат разбирать сценарии атак и разрабатывать методы противодействия.

· Threat Intelligence 2.0 — практический курс по проактивному реагированию на угрозы кибербезопасности для организации.

Обучение специалистов оказывает значительное влияние на киберустойчивость компании, особенно в части подготовки к новым типам атак и совершенствования ответных действий в условиях постоянного изменения угроз.

Другие полезные ресурсы и материалы:

· Руководство ФСТЭК России по управлению уязвимостями Методические рекомендации от ФСТЭК, утвержденные в мае 2023 года. Описывают организацию работы по поиску и устранению уязвимостей в информационных системах. Документ ориентирован на государственные структуры и критическую инфраструктуру.

· Telegram-канал Александра Леонова Канал о практическом управлении уязвимостями и актуальных угрозах.

· Книга «Информационная безопасность: защита и нападение», А.А. Бирюков Книга знакомит с основами компьютерной безопасности, методологией и принципами защиты данных. Включает практические советы и примеры, полезные для начинающих администраторов ИБ и корпоративных пользователей, работающих с киберугрозами.

· Книга «You’ll see this message when it is too late», Josephine Wolff Книга, обязательная к прочтению для специалистов по ИБ, подробно анализирует известные случаи утечек данных за последние 15 лет. Автор не только описывает сами атаки, но и разбирает их развитие и дает советы по предотвращению угроз.

Будущее SIEM

Современные вызовы кибербезопасности заставляют компании переосмысливать подходы к защите информации. Мировая статистика показывает, что число кибератак ежегодно увеличивается на 15%, что требует от компаний новых стратегий и решений.

Сегодня SIEM переживают значительные изменения благодаря внедрению передовых технологий, таких как искусственный интеллект, машинное обучение и автоматизация процессов. Многие системы уже используют эти технологии для повышения эффективности обнаружения угроз.

Автоматизация процессов в SIEM-системах помогает ускорить обработку инцидентов и минимизировать участие человека. Это не только экономит ресурсы, но и снижает вероятность ошибок, связанных с человеческим фактором.

В сочетании с ИИ, автоматизированные процессы способны выполнять многие задачи, начиная от предварительной классификации инцидентов и заканчивая их устранением.

В ближайшие годы ожидается дальнейший рост интеграции SIEM с другими системами, в том числе с SOAR. Это обеспечит полную автоматизацию процессов, где SIEM не только собирает данные, но и запускает сценарии реагирования, минимизируя участие человека.

Такой подход позволит объединить сбор и обработку данных с автоматизированным реагированием, ускоряя ликвидацию угроз и снижая нагрузку на команды специалистов, а также эффективно управлять инцидентами и ускорять реагирование за счет слаженной работы различных систем.

В России тенденции развития SIEM также характеризуются повышенным вниманием к локальным требованиям безопасности и специфике нормативных актов, таких как Федеральный закон № 152-ФЗ о персональных данных и требованиий ФСТЭК.

Разработчики российских решений стремятся к максимальной интеграции с национальными платформами и увеличению автоматизации процессов для более эффективного обнаружения и реагирования на угрозы. Российские SIEM будут уделять большее внимание защите критической инфраструктуры государственных предприятий и финансовых организаций.

Будущее SIEM лежит в их дальнейшей автоматизации и расширении функций. Например, внедрение технологий автоматического анализа с помощью UEBA позволит выявлять сложные паттерны поведения пользователей, что значительно повысит уровень проактивной защиты.

Уже идет внедрение более развитых систем UEBA и интеграция с облачными решениями для комплексного мониторинга. Прогнозируется, что роль этих систем в ИТ-экосистемах будет лишь расти, становясь неотъемлемой частью комплексной стратегии защиты.

С учетом развития технологий ИИ, машинного обучения и интеграции с другими инструментами, SIEM-системы смогут обеспечить еще более высокий уровень кибербезопасности и оперативности в реагировании на инциденты, что в конечном итоге укрепит доверие пользователей и безопасность данных в цифровом пространстве.