Рынок SIEM — «клондайк» для профи

Хакеры проявляют поразительную смекалку, изобретая все новые средства и методы кибератак. Но одновременно совершенствуются и инструменты защиты. Ушли в историю времена, когда для спокойной жизни было достаточно антивирусной программы, а безопасность локальной сети гарантировали межсетевые экраны. Сегодня спектр угроз значительно расширился, а число устройств, подключенных к cети, многократно увеличилось. Задачей первостепенной важности стало своевременное обнаружение подозрительной активности, ведь если об угрозе стало известно, то ее нейтрализация — дело техники.

Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о так называемых SIEM-системах (аббревиатура SIEM расшифровывается как security information and event management). Их назначение — обработка и анализ информации, поступающей от антивирусных программ, различных сетевых устройств, продуктов класса IDS и DLP и пр.

Системы SIEM возникли в результате объединения двух классов решений: SIM (Security information management — управление информационной безопасностью) и SEM (Security event management — управление событиями безопасности). Следует отметить, что сами SIEM-системы не борются с угрозами, а лишь выявляют их и сигнализируют о возможной опасности. В конечном итоге это позволяет блокировать многие атаки, в том числе ранее неизвестные. Кроме того, SIEM-системы используются для анализа защищенности ИС и их соответствия стандартам, применяются при расследовании инцидентов, оценке защитных мер, анализе безопасности кода приложений и т. п.

«SIEM-решения не предотвращают атаки, а помогают обнаруживать угрозы, оперативно их анализировать, принимать решения по дальнейшим действиям. В редких случаях устанавливают двухстороннее интеграционное решение, например с межсетевыми экранами, для автоматической блокировки сетевых соединений при срабатывании триггеров атаки», — поясняет Евгений Афонин, ведущий архитектор SIEM-решений компании HPE.

По словам Владимира Бенгина, руководителя практики внедрения продукта MaxPatrol SIEM компании Positive Technologies, SIEM-система — это в первую очередь средство оперативного выявления инцидентов ИБ, которое сводит воедино и анализирует данные, поступающие от используемых средств защиты информации (WF/NGFW, DLP-систем, антивирусов, IDS/IPS и пр.), элементов ИТ-инфраструктуры, бизнес-систем. Также SIEM обеспечивает гарантированное хранение собранной информации о событиях, происходящих в инфраструктуре, и предоставляет широкие возможности для расследования инцидентов в течение длительного срока.

Владимир Бенгин пояснил, что SIEM — система универсальная, может быть запрограммирована на выявление угроз широкого спектра, но она все-таки предназначена для оперативного выявления инцидентов. Вопрос в том, о каких инцидентах идет речь. Например, можно отслеживать изменения в ИТ-инфраструктуре, или регистрировать успешные попытки подбора паролей, появление трафика, выходящего за референсные значения, или аномальное поведение пользователя в бизнес-системах.

«Современный спектр угроз требует от SIEM-систем большего, чем простой сбор информации и продвинутый корреляционный анализ активностей в информационной системе. SIEM-система должна помогать фокусироваться на главных событиях, выявлять действия пользователей, программ и устройств, несущих реальную угрозу, отсеивать все несущественное и неприменимое, — подчеркивает Владимир Бенгин. — Чтобы эффективно справляться с этой задачей, SIEM-система должна понимать работу сетевой инфраструктуры, содержать в себе средства управления уязвимостями и моделирования угроз (или интегрироваться с ними), содержать автоматизированные механизмы передачи в продукт экспертизы ИБ и учета новых опасностей. Разрабатывая свой продукт, мы исходим из того, что SIEM-система должна выявлять широкий круг угроз, в том числе и атаки, распределенные во времени и не обнаруживаемые типовыми средствами защиты. Они выявляются только через множество разрозненных некритичных событий, выстраиваемых в единую цепочку».

Олег Бакшинский, руководитель направления Security Intelligence, IBM Россия и СНГ, говорит, что в общих чертах SIEM-систему можно охарактеризовать как систему мониторинга событий ИБ, которая выполняет сбор, нормализацию, категоризацию, хранение, анализ и корреляцию различной информации, влияющей на информационную безопасность и риски организации, в режиме, близком к реальному времени. Это система в основе своей пассивная и аналитическая. Большинство же других, с которыми знакомы простые пользователи, — это системы активного противодействия различным угрозам. SIEM, по образному сравнению Олега Бакшинского, выступает в роли некоего мозга, который может анализировать и передавать нервные импульсы конечностям и другим органам для того, чтобы те предпринимали какие-то действия.

«SIEM-системы выявляют подозрительные инциденты, обратив внимание на которые компании могут предотвратить серьезные угрозы или атаки. Развивая возможности платформы QRadar Security Intelligence, мы можем предложить в том числе и функционал предотвращения/предсказания возможных угроз, — сказал Олег Бакшинский. — Таким функционалом обладает наш модуль Vulnerability and Risk Manager, а также модули поведенческой и временной аналитики, которые позволяют предсказать возможный вектор атаки до ее проведения, наличие уязвимых узлов, нехарактерное или аномальное поведение пользователей, систем и приложений.

«Отличие SIEM от других систем ИБ состоит в том, что они обеспечивают более гибкое прикладное применение — от хранения журналов до мониторинга мошеннических банковских транзакций, построения метрик и показателей эффективности, контроля бизнес-процессов ERP-систем», — считает Евгений Афонин.

Спрос растет, но до его насыщения еще далеко

Системы SIEM — весьма специфический продукт. Они далеко не всем компаниям по карману, да и по силам тоже. Основные заказчики — банки, крупные корпорации и государственные учреждения. Эти клиенты прекрасно понимают, что экономить на безопасности — себе дороже, поэтому рынок SIEM стабильно и устойчиво растет.

Как утверждает Артем Медведев, директор по продажам HP Enterprise Security Russia, в последние 10 лет объемы поставок SIEM-систем в среднем ежегодно увеличиваются на 10–15%. Меняется и структура спроса. Более популярными становятся аналитические инструменты SIEM-решений. О зрелости рынка говорит и тот факт, что в следующем году большое число крупных заказчиков планируют внедрить у себя полноценные SIEM-системы.

«Большинство из потенциальных клиентов уже прошли определенные первичные этапы внедрения различных систем ИБ класса AV, FW, Email и/или Web Gateway, некоторые попробовали IDS/IPS, UTM, DLP, WAF, DAM/DBF, Sandbox, — комментирует Олег Бакшинский. — Оценив эти решения и получив определенный эффект, многие компании тем не менее чувствуют, что интегрированного подхода и единой платформы управления ИБ недостаточно. Тогда и приходит идея о внедрении централизованного сбора и корреляции, отчетности и уведомления. Тут-то и приходит на помощь SIEM.

Спрос, как известно, рождает предложение. За последние два года на российском рынке появилось довольно много новых продуктов, значит, спрос есть. Велик ли он? Не сказал бы, особенно в сравнении с другими продуктами ИБ и с учетом не самых благоприятных экономических условий. Однако в рамках нашего объема продаж мы наблюдаем увеличение спроса, растет число проектов и внедрений по сравнению с предыдущим годом».

Владимир Бенгин считает, что российский рынок еще далек от насыщения, многие компании пока только осознают необходимость использовать системы данного класса и пытаются сформировать свои требования к ним. «SIEM-система необходима любой компании, переросшей уровень внедрения базового набора средств защиты информации, имеющей бизнес-критичные активы, хранящиеся в ИТ-инфраструктуре: платежные системы и финансовая отчетность, персональные данные клиентов, сведения, составляющие коммерческую тайну, и т. п.», — заявил Владимир Бенгин.

В 2014 г. на динамике рынка негативно отразились кризисные явления российской экономики и резкое изменение курсов валют, так как на тот момент его основные игроки предлагали свои решения по долларовому прайс-листу. В 2015 г., по словам Владимира Бенгина, российский рынок SIEM возобновил рост. Существовал отложенный спрос на технологичные отечественные решения, и за неполный год система MaxPatrol SIEM компании Positive Technologies заняла около 10% рынка. Cегодня этот поставщик демонстрирует стабильный рост в данном сегменте и имеет все шансы вдвое увеличить продажи продукта в 2016 г. по сравнению с 2015 г. Но основной рывок, по оценке специалистов компании, будет сделан в 2017 г.

Евгений Афонин считает, что в следующем году объем рынка SIEM-проектов в России составит от 5 до 10 млрд. руб. «Мировой рынок Threat Intelligence-систем, включающий SIEM, Log Management, IAM, SVM, Risk Management, Incident Forensics, в 2015 г. оценивался примерно в 3 млрд. долл., а потенциал роста — почти 14% в год, — сообщил Олег Бакшинский. — Таким образом, к 2020 г. этот показатель достигнет 6 млрд. долл. При этом доля SIEM-решений составляет порядка 75–80%. Это значит, что через пару лет объем мирового рынка SIEM-систем выйдет на отметку 4,5 млрд. долл.».

Какие же SIEM-системы сегодня доступны российским заказчикам и сильна ли конкуренция в этом сегменте рынка? На последний вопрос Владимир Бенгин отвечает утвердительно: «Уровень конкуренции в этом сегменте можно считать высоким. До последнего времени в нем были представлены мировые вендоры, помещенные аналитической компанией Gartner в категорию лидеров. Однако конкурентный ландшафт быстро меняется: согласно последнему отчету Gartner, многолетние лидеры теряют свои позиции, уступая место производителям, которые официально в РФ не представлены. Столь кардинальные изменения в оценках аналитиков, безусловно, отражают проблемы индустрии SIEM (которые, кстати, подтверждает и статистика по времени выявления инцидентов), а также тот факт, что былые лидеры не способны надежно защитить от новых угроз, предложить новые механизмы выявления инцидентов». Вместе с тем Владимир Бенгин отметил, что, в отличие от других систем класса SIEM, продукт MaxPatrol использует новую платформу, дополненную функциональностью решений класса Asset Management, содержит ряд уникальных технологий для построения эффективной SIEM (с разумными трудозатратами) и передачи в продукт ИБ-экспертизы исследовательского центра Positive Research.

По словам Олега Бакшинского, сегодня на рынке представлено достаточное количество западных и российских решений с заявленным функционалом класса SIEM. Часть из них можно найти в магическом квадранте Gartner, другие решения за пределами РФ неизвестны. Но далеко не все игроки считают для себя российский рынок приоритетным. Большинство компаний, имеющих представительства на территории РФ, развивают продажи SIEM-решений, а те западные игроки, которые не готовы инвестировать в российский рынок, действуют, как правило, через отдельных локальных интеграторов либо вовсе никак. К числу лидеров мирового рынка можно отнести такие системы, как IBM QRadar, ArcSight, Splunk, McAfee и пр. Локальные производители выпускают в основном продукты MaxPatrol SIEM, RuSIEM, Eshelon и др. «Конкуренция есть, но она в значительной степени сегментирована требованиями заказчиков и их предпочтениями, — подчеркнул Олег Бакшинский. — Крупным корпорациям нужны продукты, способные удовлетворить их потребности по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор стремится получить лучшее качество за лучшую цену. Государственный сектор выполняет требования регуляторов и смотрит на наличие сертификатов соответствующего уровня».

Артем Медведев также отмечает, что рынок SIEM растет и вслед за ним обостряется конкуренция. «Сейчас в России присутствуют более десятка вендоров решений SIEM, как местных, так и зарубежных, — пояснил он. — Решения Arcsight используются уже в течение 10 лет, и текущая база заказчиков HPE Security насчитывает более 300 компаний. Наши продукты хорошо адаптированы для российского рынка, имеется сертификат соответствия требованиям ФСТЭК по 4-му уровню контроля, создано локализованное ОЕМ-производство продукта Ankey SIEM на базе технологий HPE Arcsight, успешно работают локальные партнеры, отработаны различные финансовые механизмы продажи продуктов».

Вместе с тем специалисты считают, что ввиду довольно сильной конкуренции значительного увеличения числа игроков не произойдет. «Более того, вполне вероятно, что рынок покинет ряд вендоров, которые не смогут предложить эффективные технологии и поддержку заказчиков при помощи своей ИБ-экспертизы, — заявил Владимир Бенгин. — Также нельзя не отметить и влияние такого фактора, как структурные изменения у ряда глобальных производителей, связанные с решениями о продаже security-подразделений, и то, что объемы российского рынка могут показаться новым владельцам незначительными».

Олег Бакшинский подчеркивает, что для выхода на рынок SIEM-решений производитель ПО должен отвечать определенным требованиям, начиная с объема возможных инвестиций в новый продукт и заканчивая наличием большого штата разработчиков. «Поэтому я не ожидаю серьезного увеличения количества игроков. Те немногие решения, которые можно было купить, уже в основном поглощены более крупными вендорами. А развитие существующих решений целиком и полностью зависит от приоритетов игроков, — заметил Бакшинский. — Если компания развивает инновации в области ИБ, это отражается на расширяющемся функционале ее решений. Если компания копирует чьи-то инновации, — это тоже видно по некачественным подделкам. А если компания перестает развивать свой продукт, то за довольно короткий промежуток времени рынок отреагирует конкурентной заменой на более качественные решения других производителей».

«Клондайк» для партнеров

Поставка и внедрение SIEM-систем — бизнес сложный и потому прибыльный. Реализовать серьезный проект по силам только крупным дистрибьюторам и системным интеграторам, обладающим достаточными финансовыми и интеллектуальными ресурсами.

Как заявил Владимир Бенгин, инсталляция таких высокоуровневых систем, как SIEM, — сложнейшая задача, ею могут заниматься только ведущие широкопрофильные интеграторы, имеющие опыт работы с масштабными проектами, а также специализированные интеграторы, фокусирующиеся на данном классе решений. К тому же сам проект построения SIEM-системы нельзя назвать дешевым. Здесь обязательно нужно учитывать не только само внедрение, но и стоимость эксплуатации.

Олег Бакшинский сообщил, что внедрением SIEM-систем занимаются бизнес-партнеры (системные интеграторы и VAR’ы), аккредитованные по направлению ИБ. Таких компаний в РФ сегодня сравнительно немного, несколько десятков. В основном клиенты IBM нуждаются в квалифицированных сервисах по развертыванию системы, подключению стандартных и нестандартных источников, настройке правил и политик, форм отчетов, особенно в привязке к требованиям локальных регуляторов. «Компании, занимающиеся внедрением SIEM-систем, должны иметь практический опыт работы в сфере ИТ и ИБ, разбираться в различных аспектах интеграции систем ИТ и ИБ, а также зачастую знать требования российского законодательства в части ИБ, — комментирует Олег Бакшинский. — Кроме того, заказчики хотят видеть примеры успешных реализаций похожих проектов и рекомендации довольных клиентов. Никто не хочет покупать „кота в мешке“».

По словам Артема Медведева, внедрения — это бизнес партнеров. В настоящее время у HPE насчитывается более 30 авторизованных реселлеров. У заказчиков среднего размера востребованы типовые работы по имплементации, тестированию и настройке отчетов. Более крупные компании интересуются дополнительными сервисами, такими как построение процессов управления инцидентами, мониторинг бизнес-процессов, борьба с мошенничеством, консалтинг по эффективному использованию средств защиты, а также разными учебными программами. К партнерам предъявляются серьезные требования как на техническом уровне, так и в части бизнес-сертификации. Артем Медведев добавил, что количество игроков в этом сегменте рынка в 2017 г. может увеличиться на 20 и 30% в период до 2019 г.

Говоря о стоимости проекта, наши эксперты подчеркнули, что этот показатель сильно зависит от размера компании-заказчика. Как отметил Олег Бакшинский, решение IBM предоставляет полный функционал за приемлемую стоимость для любых клиентов — от предприятий СМБ до крупнейших международных корпораций. Развертывание системы происходит достаточно быстро, в течение нескольких часов. Первичная настройка обычно занимает от нескольких дней до нескольких недель. Полную настройку заказчик может проводить самостоятельно на протяжении всего срока эксплуатации системы. Многое будет зависеть от статичности систем и источников и изменяющихся условий бизнеса. Для нормальной эксплуатации системы потребуется несколько администраторов, аналитиков или операторов. В среднем небольшой отдел ИБ в компании состоит из 3–5 человек, и каждому из них будет чем заняться в рамках работы с SIEM-системой, хотя бы в роли оператора в части разбора инцидентов.

На свою долю рынка SIEM могут рассчитывать и дистрибьюторы. Константин Савченко, руководитель отдела поддержки и развития продаж корпоративного ПО компании Axoft, рассказал, что решение начать работу в сегменте SIEM было принято в 2012 г. «В нашем портфеле появились продукты ArcSight компании HPE, — вспоминает он. — На тот момент Arcsight для большинства заказчиков означал SIEM, а при слове SIEM обязательно возникала ассоциация с Arcsight. Но сегодня на рынке многое изменилось: сегмент SIEM показал взрывной рост в мире и в России. Данным направлением заинтересовались многие производители решений ИБ, в том числе российские. Axoft за четыре года удалось наработать экспертизу и опыт внедрений. В настоящее время в нашем портфеле представлено уже четыре производителя: Positive Technologies, НПО „Эшелон“, HPE и Tripwire. Если рынок SIEM продолжит развиваться такими же темпами, этот список вполне может пополниться новыми игроками».

Константин Савченко добавил, что рост популярности данного направления усиливает конкуренцию, а это подталкивает вендоров быстрее совершенствовать свои решения и предлагать заказчикам лучшие условия. Доля SIEM на фоне других ИБ-сегментов пока не столь значительна, но растет довольно быстро: по данным Forecast Analysis, в мировых масштабах сегмент SIEM вырос с 1,67 млрд. долл. в 2014 г. до 1,73 млрд. долл. в 2015 г. И интерес игроков рынка к нему не снижается. По итогам прошлого года именно у вендоров SIEM наибольшие показатели прироста в обороте Axoft. Но буквально каждый год появляются новые вводные — импортозамещение, OEM’изация, рост сервис-провайдеров, специализирующихся на ИБ, и аутсорсинг ИБ. Все эти тенденции размывают возможную оценку перспектив дальнейшего развития сегмента SIEM.

«Эти решения — проектные, а потому требуют от участников — дистрибьютора и партнеров — максимум экспертизы. Axoft в этом плане понимает свою роль и потребности канала. В последние четыре года нам удалось создать базу, которая позволяет оказывать помощь и реселлерам, и системным интеграторам. В нашем багаже предусмотрена комплексная поддержка партнеров на любом этапе знакомства с SIEM: заготовки для пилотных проектов, демостенды, адаптированные материалы, консультации специалистов, которые позволяют не только и не столько подготовить расчет, сколько помочь партнеру и заказчику выбрать наиболее эффективную архитектуру решения, получить возможность в дальнейшем ее развивать и масштабировать. Важную роль мы отводим обучению партнеров. Централизованные и индивидуальные семинары, тренинги — эти инструменты в нашем арсенале постоянно востребованы», — подытожил Константин Савченко.

Несколько слов надо сказать и о проблемах, с которыми сталкиваются заказчики и игроки рынка SIEM. Как сообщил Владимир Бенгин, ссылаясь на опыт работы, в 80% случаев у компаний-заказчиков SIEM-системы были успешно внедрены, но перестали использоваться буквально через два-три года и фактически «лежат на полке». При этом заказчикам по-прежнему необходимо оперативно обнаруживать, своевременно реагировать и расследовать инциденты, соответствовать многочисленным требованиям регуляторов, т. е. делать все то, для чего SIEM-системы предназначены.

Основная причина такой ситуации — высокие требования к экспертизе и объему ресурсов заказчика (и их существенная недооценка на этапе старта проекта по внедрению SIEM) для поддержания в актуальном состоянии правил корреляции и коннекторов к целевым системам, а также поддержка работоспособности SIEM-системы в целом. Еще одна причина связана с тем, что при внедрении SIEM-системы использовался подход, при котором осуществлялся сбор данных обо всем, что происходит в рамках инфраструктуры без приоритизации источников данных. Нельзя также обойти вниманием вопрос подключения к SIEM-системе источников информации, число типов которых может исчисляться десятками. Это длительный и трудозатратный процесс, так как ни одна SIEM-система не обеспечивает покрытие всех источников «из коробки».

Олег Бакшинский в качестве основных причин неэффективного использования SIEM-систем называет недостаточное финансирование, нехватку человеческих ресурсов для администрирования системы, а также отсутствие квалифицированных партнеров в регионах для внедрения.