12 Мая, 2015

HP в России больше, чем ArcSight

Алексей Комаров
Лет 6-7 назад компания Hewlett-Packard (HP) с информационной  безопасностью не ассоциировалась почти никак, но ситуация изменилась радикально после нескольких крупных поглощений, пик которых пришёлся на 2010 год: Приобретения компании HP в сфере информационной безопасности .

Помимо приобретения SPI Dynamics, ArcSight, Fortify и TippingPoint (в составе 3Com), в 2014 году HP анонсировала HP Atalla для шифрования данных, но в России самым известным из всех упомянутых решений, пожалуй, является всё же ArcSight. Убедиться в его популярности мне довелось лично на Встрече сообщества пользователей HP ArcSight — мероприятии для заказчиков и партнёров, проходившим в конце апреля.

Что ни говори, а оценивать доли рынка, основываясь на мнениях экспертов (см. изображение ниже) — это одно, а видеть аудиторию, где собрались представители реальных заказчиков — совсем другое.

Доли рынка SIEM в России

Вообще, судя по аудитории, темам докладов и осуждавшимся вопросам, HP ArcSight не просто хорошо представлен у нас, но и активно используется для реальных задач. За время присутствия в России ( с 2007 года ) продукт « оброс » успешными внедрениями  (МТС, ПромСвязьБанк, ГазПромБанк…) и интеграторами с требуемыми компетенциями (Диалог Наука, Информзащита, Актуальные Технологии Безопасности…).

Такое положение дел позволяет заказчикам быть уверенным в том, что они не станут «подопытными кроликами» и не получится как в прозвучавшей на семинаре шутке:

— А как конкретно работает эта функция в вашем новом продукте?
— Пока не знаю… Давайте сделаем пилот! 😀
С другой стороны, чудес не бывает и для конкретной задачи более подходящим может оказаться другой инструмент. В конце концов, заказчика может не устроить цена, сложность настройки, или избыточный функционал. Но целью поста не является сравнение HP ArcSight с конкурентами (самые активные из них иногда делают это самостоятельно — см. изображение ниже), хотя даже новые игроки здесь появляются и тема для дискуссии есть.

Вопросы компании Эшелон к игрокам рынка SIEM
К слову, краткое резюме по некоторым SIEM (IBM QRadar, HP ArcSight, Комрад, Splunk, McAffee, RSA) было представлено в подкасте Аркадия Прокудина: http://it.podfm.ru/opensec/19/ (обсуждение начинается с 45 минуты).
Возвращаясь непосредственно к семинару, кратко перечислю некоторые заинтересовавшие меня моменты (полный список твитов доступен по тегу #семинарHP ).

Для HP ArcSight теперь будет доступен модуль корреляции событий User Behavior Analytics (UBA) на базе решений Securonix , позволяющий использовать данные о поведении пользователей для более интеллектуального анализа событий безопасности. Любопытная дополнительная возможность в и без того функционально небедном продукте.

Сама компания HP разделится на два бренда — HP Inc (персональные компьютеры и принтеры) и  Hewlett-Packard Enterprise с новым логотипом, куда и будет отнесено направление по безопасности (Enterprise Security).


Логотипы HP Inc и Hewlett Packard Enterprise

В силу тематики мероприятия про другие решения компании в области безопасности говорили немного, отдельное выступление было посвящено новинке в портфеле HP — Voltage Security. Не думаю, что про него слышали многие, но тем не менее, в России есть (как минимум одно) крупное внедрение — 40 000 пользователей в 26 доменах . Решения Voltage Security, предназначенные для шифрования почты, данных и токенизации, очевидно, дополнят уже упомянутое выше HP Atalla.

Из относительных новинок (новинок для тех, кто не следит за решениями HP пристально) отмечу ещё продукт для борьбы с целенаправленными атаками HP TippingPoint Advanced Threat Appliance (ATA), созданный в соавторстве с Trend Micro на базе их отличнейшего Trend Micro Deep Discovery, а также межсетевой экран следующего поколения HP TippingPoint Next-Generation Firewall (NGFW). Да-да, оказывается межсетевые экраны TippingPoint тоже существуют.

Подытоживая, скажу, что моё представление о HP как о security-вендоре после более близкого знакомства с портфелем решений поменялось с «знаю, что у них есть SIEM, IPS и что-то ещё» на «это действительно сильный игрок со значительным портфелем решений по информационной безопасности«. Полный каталог HP по Enterprise Security (не так давно стал доступен на русском языке) представлен на сайте и в диаграмме связей (майндкарте) .

P.S. Свежая аналитика от HP — отчёт HP Security Research 2015 .