Positive SIEM

Positive SIEM
Вчера Positive Technologies презентовала свой новый продукт класса SIEM MaxPatrol X.
Шаг логичный и последовательный: от логов и уязвимостей к аналитике и кореляции событий. Продукт  будет построен на одной платформе с MaxPatrol, но может существовать и без сканера. Сертификация во ФСТЭК (и Минобороны) планируется к концу года по НДВ4 и ТУ.
Мысль нормодателей в области ИБ плавно течет в сторону контроля, реакции на инциденты и сбора событий информационной безопасности, поэтому успех отечественному сертифицированному продукту  уже гарантирован только за счёт комплаянса/импортозамещения (что, кстати, создаёт и определенные сложности для будущего продукта. PT рискует вырастить очередной продукт для "домашнего использования", доминирующий в России, но неизвестный на западе).

Для большинства отечественных компаний эпоха SIEM ещё попросту не наступила. Внедрение таких комплексных и дорогих продуктов требует определенной зрелости процессов ИТ внутри компании, а у нас пока кадровый голод (и низкие зарплаты), проблемы с финансированием и осознанием проблем ИБ на уровне топменеджмента, "бумажная безопасность" и пластелин для опечатывания в кабинете каждого ИБ специалиста. В общем, рано.

Еще одной сложностью с внедрением в массовое сознание SIEM (а этот шаг предшествует внедрению в массовую эксплуатацию) является отсутствие бюджетных, дешевых и бесплатных SIEM решений для средних и небольших компаний, а ведь место для SIEM найдётся везде - даже в домашней сети ("а по каким сайтам шастает по ночам мой умный телевизор?").

Предвижу ещё одну проблему с MaxPatrol X - конский ценник, выбранный с оглядкой на ArcSight и QRadar (кстати интерфейс MaxPatrol очень напоминает ArcSight. Особенно визуализация объектов с "резиновыми" связями). Комплаянс, конечно, обеспечит спрос, но "свободные" компании сбегут на дешевые западные продукты или опенсорс, а те, кто может позволить себе солидный бюджет ИБ и отсутствие проблем с регуляторами, будут по-прежнему пользоваться ArcSight и QRadar.

В свое время рынок сканеров защищённости с нуля и до обязательного требования в нормативке ФСТЭК был прорублен полубесплатным xSpider'ом. И сегодня, как мне кажется, рынок контроля за событиями будет захвачен той компанией, которая сможет представить простое и понятное специалисту по ИБ+ответственному за защиту ПДн+ИТ администратору+сотруднику техподдержки (это всё один человек, зачастую!) решение за скромную цену.

Современные SIEM меня откровенно пугают интерфейсом, похожим на кабину боинга. Анализируя Биг Дату на входе, они выдают, фактически, Биг Дату на выходе - большое количество логов/событий/фильтров/настроек, которые сводят на нет информативность интерфейса и приводят к рождению "экспресс-курсов оператора SIEM (40 часов)". Отсутствие высоких уровней абстракции (дашбордов со светофориками для чайников/начальства) резко снижает эффективность таких систем, главная задача которых - собрать всё, перемешать, полить секретным соусом аля "алгоритмы корреляции событий на базе искусственного интеллекта" и выдать вам готовый разжеванный ответ "всё хорошо" или "шеф, всё пропало". Де факто сегодня нам по-прежнему нужен шаман, который будет толковать показания SIEM руководству и на MaxPatrol X это распространяется в полной мере.

PS Само мероприятие было организовано отлично. Я бы подправил только пару моментов: модератору следовало бы лучше модерировать секцию вопросов и ответов, ибо были глупые вопросы и очень долгие слишком общие и развернутые ответы; мне бы был больше по душе формат "лабораторки" (воркшопа), а не немного маркетинговой презентации.

PPS Сергей Гордейчик ушел из ПТ. Для меня, как для человека, незнакомого с внутренней кухней ПТ, он был ПТшником №1. Теперь Сергей будет работать в направлении Кибербезопасности у Касперского.

PPPS Зато Алексей Lexa Андреев теперь официально работает в ПТ. Ждём направление "Киберпанк" в продуктовой линейке компании :).

Alt text