IDC по заказу Positive Technologies провела опрос среди представителей российских компаний-владельцев систем управление событиями информационной безопасности (Security Information and Event Management, SIEM), сосредоточившись при этом на наиболее продвинутых в части использования ИТ рыночных вертикалях: ресурсы и энергетика (добыча, извлечение и переработка полезных ископаемых); выработка электроэнергии; дискретное и процессное производство; финансовые услуги (банки, страховые компании, услуги в сфере ценных бумаг и инвестиций); торговля (розничная и оптовая); государственный сектор; операторы связи. Основная часть (76%) предприятий и организаций, представленных в исследовании, имеет более 500 сотрудников. Разумеется, важным фактором отбора респондентов была их компетентность в предметной области.
Как сообщил директор по консалтингу IDC в России и СНГ Владислав Сидевич, уровень насыщения российского рынка SIEM не превышает 15%, что оставляет большие перспективы для его развития. Оперируя данными, накопленными компанией Positive Technologies, ее директор по развитию бизнеса в России Максим Филиппов оценивает объем российского рынка SIEM в 2016 г. в 2,2 млрд. руб. и прогнозирует его возрастание до 3,2 млрд. руб. в году текущем.
Согласно IDC, лидирующими SIEM-инструментами на российском рынке примерно с равными долями в 25% являются IBM Qradar, MaxPatrol SIEM и HP ArcSIght. Важно отметить, что молодой российский продукт MaxPatrol SIEM (присутствует на рынка около трех лет) лидирует не только в государственном секторе (что несложно объяснить регуляторным влиянием), но также в дискретном и процессном производстве и торговле.
Аналитики отмечают, что иностранные SIEM-разработки постепенно уступают свои доли рынка российским, чему способствует политика импортозамещения, требования регуляторов включать в ИБ-системы (пока только для критически важных инфраструктур в рамках
Основная часть внедрений систем SIEM в России, по оценкам Максима Филиппова, происходит (в силу сложности и дороговизны систем) по результатам пилотных проектов, средняя протяженность которых составляет около трех месяцев. В ходе пилотных проектов прежде всего реализуется интеграция SIEM c информационными системами заказчика, которые тот относит к важным поставщикам данных для управление событиями ИБ. Лидирующие на рынке SIEM-продукты уже располагают необходимыми для интеграции с большинством ИС коннекторами.
По мнению руководителя практики внедрения MaxPatrol SIEM компании Positive Technologies Владимира Бенгина, среди заказчиков систем SIEM преобладают крупные компании с количеством сотрудников более 500 человек, более чем с 1000 узлами в ИКТ-инфраструктуре. Однако, считает он, при определении потребности в системе SIEM правильнее исходить не из упомянутых структурных показателей, а из главных бизнес-задач, на решении которых нацелен заказчик, и из используемой для этого ИКТ-инфраструктуры.
По оценкам Максима Филиппова, стоимость типового российского проекта внедрения SIEM лежит сегодня в диапазоне
Примерно 66% представителей российских корпоративных пользователей систем SIEM выразили удовлетворение своими инструментами. Оставшаяся треть респондентов оказалась ими недовольна, приводя в качестве доводов нехватку необходимых кадров (и как следствие сильную зависимость от внешних экспертов), невозможность обнаруживать с помощью SIEM новые угрозы до инцидента (при этом предполагается, что инструментарий злоумышленников богаче и пополняется чаще, чем происходят обновления SIEM), большие расходы на поддержку системы. Среди прочих претензий были названы недостаточно быстрая реакция SIEM на инциденты; трудности настройки; недостаточная функциональность (отсутствие возможности интеграции с другими системами, недостаточное количество статистических отчетов).
Новые технологические вызовы для разработчиков систем SIEM Владимир Бенгин видит в движении ИТ в облака, а также в распространенности среди крупных компаний собственных проприетарных платформенных ИКТ-разработок (особенно распространенных в банковской среде и госсекторе). Связанные с этим задачи решаются всякий раз индивидуально, требуют от систем SIEM большей открытости и гибкости в процессах интеграции с ИКТ-средой заказчиков, где должны использоваться удобные программные интерфейсы приложений (API), позволяющие «врезаться» в SIEM в любом необходимом заказчику месте.
Сегодня в мире нет стандартных практик оценки эффективности систем SIEM. Это, с одной стороны, усложняет владельцам систем обосновывание их эффективности перед бизнес-руководством, а с другой актуализирует необходимость обобщения разработчиками лучших практик использования SIEM для выработки критериев оценки качества их функционирования. Решение этой задачи поможет расширить перспективы внедрения SIEM, в том числе за счет повышения их результативности, а также снижения стоимости SIEM-продуктов и их обслуживания. Решать ее вендорам приходится (в процессе предоставления технической поддержки) с учетом того, что ИКТ-инфраструктура заказчиков меняется наполовину примерно за три года, т. е. по сути это решение представляет собой процесс.
По мнению экспертов IDC, разработчики систем SIEM смогут повысить потребительские свойства своих продуктов прежде всего за счет повышения их автоматизации (т. е. снижения зависимости от человеческого фактора за счет включения в SIEM-продукты обобщенной и нормализованной экспертизы разработчиков), а также реализации в них механизмов, позволяющих оперативно выявлять новые угрозы.