Импортозамещение SIEM: выбираем варианты миграции

Импортозамещение SIEM: выбираем варианты миграции

Статья дополняет опубликованное сравнение SIEM-систем с точки зрения возможности импортозамещения. Эта статья является продолжением цикла аналитических материалов, посвященных импортозамещению средств защиты.

 

 

 

 

 

  1. Введение
  2. Методология расчета полноты импортозамещения зарубежных SIEM-систем
  3. Полнота импортозамещения зарубежных SIEM-систем
  4. Выводы

 

Введение

В недавно опубликованном нами «Сравнении SIEM-систем» приведены сравнительные характеристики популярных российских и иностранных SIEM-систем (Security Information and Event Management) по 116 различным критериям, а также подробная методика выбора оптимальной SIEM-системы, ориентированная на конечного потребителя.

В этой статье мы постарались представить сведения о полноте замещения SIEM-систем, взглянув на приведенные ранее в обзорах «Что такое SIEM-системы и для чего они нужны», «Обзор мирового и российского рынка SIEM-систем» и cравнении SIEM-систем немного с другой стороны.

Перечень рассматриваемых в статье SIEM-систем зарубежного производства и их российских аналогов представлен ниже в таблице в алфавитном порядке. Подобно предыдущим нашим материалам, касающимся импортозамещения антивирусов для рабочих станций и импортозамещения DLP-продуктов, здесь мы также указываем присутствие продукта в «Едином реестре российских программ для электронных вычислительных машин и баз данных», приводя рядом с соответствующим наименованием – значок .

Важно! В статье рассматриваются только две наиболее известные российские SIEM-системы. Но есть и другие, подробно проанализированные по второй части сравнения SIEM-систем. Оценить их потенциал импортозамещения можно самостоятельно.

 

Таблица 1. Перечень наиболее распространенных на отечественном рынке SIEM-систем зарубежного и российского производства

SIEM-система
(производитель)

Ссылка на обзор продукта на нашем сайте

Сведения о наличии сертификатов

AM Test Lab

ФСТЭК России

Замещаемые зарубежные продукты

Платформа Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA)

Для версии ArcSight ESM:
№3605 (12.08.2016)
Срок действия до 12.08.2019

IBM QRadar Security Intelligence Platform

McAfee Enterprise Security Manager

RSA NetWitness Suite

Splunk Enterprise + Splunk App for Enterprise Security

Российские аналоги

MaxPatrol SIEM

 

Обзор MaxPatrol SIEM

№177 (14.11.2016
Срок действия до 14.11.2021

MaxPatrol SIEM:
№3734 (12.04.2017)
Срок действия до 12.04.2020

RuSIEM, RuSIEM Analytics и RvSIEM free

 

 

Методология расчета полноты импортозамещения зарубежных SIEM-систем

Методология заключается в проведении сравнительного анализа характеристик SIEM-систем по ряду критериев и определении полноты замещения, выраженной в процентном соотношении. В качестве критериев рассматривались представленные в «Сравнении SIEM-систем» группы критериев:

  • архитектура решения;
  • общая информация;
  • функциональные особенности;
  • интеграционные возможности;
  • дополнительные критерии;
  • соответствие направлению импортозамещения.

Полнота замещения представлена нами в следующем разделе статьи в форме таблицы, с отображением:

  • По вертикали — зарубежных продуктов.
  • По горизонтали — возможных российских аналогов.
  • На пересечении горизонтали и вертикали — значения, выраженного в процентах и характеризующего полноту замещения зарубежного продукта его российским аналогом. Также для наглядности применяется цветовая интерпретация: большей полноте замещения соответствует более темный цвет, а меньшей — светлый.

Если российский продукт превосходит потенциально замещаемого зарубежного конкурента по отдельному набору параметров (возможно, даже отсутствующих у зарубежного конкурента), то такой аспект не учитывается при анализе. Данное допущение принято исходя из того, что замещается именно зарубежный продукт на российский аналог, а не наоборот, так как для конечного потребителя важно обеспечить как минимум текущий набор функций и услуг.

 

Полнота импортозамещения зарубежных SIEM-систем

В таблицах ниже представлена полнота замещения зарубежных продуктов российскими аналогами.

 

Таблица 2. Полнота импортозамещения SIEM-систем

Зарубежные продукты
(вендоры)

Российские продукты
(вендоры)

MaxPatrol SIEM
(АО «Позитив Текнолоджиз»)

RuSIEM, RuSIEM Analytics
(ООО «РУСИЕМ»)

Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA)
(Micro Focus International PLC)

78%

79%

IBM QRadar Security Intelligence Platform
(IBM)

77%

75%

McAfee Enterprise Security Manager
(McAfee LLC)

82%

82%

RSA NetWitness Suite
(RSA Security LLC)

86%

83%

Splunk Enterprise + Splunk App for Enterprise Security
(Splunk Inc)

75%

75%

 

Выводы

SIEM-системы российского производства, представленные на отечественном рынке, уже сейчас способны составить достойную конкуренцию зарубежным продуктам. Рынок SIEM-систем существенно вырос за последние пару лет. За это время на российском рынке появились и уже хорошо обосновались новые отечественные игроки MaxPatrol SIEM и RuSIEM. А также целый ряд других российских SIEM-систем.

Интерес к системам такого класса и спрос на них вырос за последнее время. При этом спрос подогревается в том числе желанием потребителей — построить у себя центры оперативного управления информационной безопасностью (Security Operations Center, SOC-центры).

Очевидным катализатором процесса является вступивший в силу ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017. Под влиянием требований ФСБ и ФСТЭК России стали появляться новые отечественные SIEM-системы, в которых набор функций напоминает копию выкладки из методических указаний ФСБ России по построению корпоративного центра ГосСОПКА и взаимодействию с НКЦКИ. Однако по широте функциональных возможностей такие системы пока не могут оказывать серьезную рыночную конкуренцию зарубежным SIEM-системам.

Кроме того, для охвата такого значимого сектора как государственные учреждения многие вендоры, в том числе и зарубежные, стараются сертифицировать свои продукты на соответствие требованиям регуляторов. Также, чтобы не терять своих позиций на рынке, вендоры совершенствуют не только свои продукты, но и способы и подходы их предоставления конечному потребителю, например:

  • интегрируя решения с платформами Big Data и данными киберразведки;
  • предоставляя при развертывании SIEM сопутствующие услуги мониторинга, экспертного анализа и реагирования на выявленные инциденты ИБ.
Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru