Образованная в 2016 г. компания RuSIEM занимается разработкой и продвижением на мировом рынке одноименного решения класса SIEM. По словам совладельца компании Максима Степченкова, к настоящему времени установлено нескольких десятков экземпляров коммерческой версии продукта и более 10 тыс. свободно распространяемой версии в организациях из банковского, страхового, строительного, энергетического, медицинского, государственного сегментов стран Азии, Африки и Европы.
В начале 2021 г. в состав учредителей RuSIEM вошла с половинной долей владения ГК «Программный продукт» (входит в список системообразующих компаний России). Как считают руководители RuSIEM, эта сделка способствует повышению доверия к их продукту, уверенности клиентов и партнеров в стабильности разработчика системы, она также открывает возможность привлечения большого штата разработчиков ГК «Программный продукт» к развитию RuSIEM и перспективы инвестирования в другие совместные проекты. По словам коммерческого директора RuSIEM Александра Булатова, за короткий срок со дня появления в качестве соучредителя ГК «Программный продукт» у компании в разы увеличилось количество пилотных проектов.
Со своей стороны заместитель генерального директора ГК «Программный продукт» Георгий Лагода отметил, что вхождение в состав учредителей RuSIEM позволяет холдингу улучшить компетенции в области ИБ, расширить портфель предлагаемых решений и услуг, а также активно участвовать в развитии решения RuSIEM.
Как сообщил Александр Булатов, учитывая сложившуюся к 2021 г. ситуацию с конкуренцией на российском рынке систем SIEM и рынке ИБ в целом, действие политики импортозамещения, одной из основных задач для компании стал пересмотр ценовой политики и политики лицензирования с позиций их релевантности актуальным запросам заказчиков.
По результатам исследования рынка компания перешла в лицензировании на более детальную шкалу зависимости цены от производительности предлагаемой ею системы. Например, вместо единой лицензии для системы с производительностью до 10 000 epc были введены раздельные лицензии на системы с производительностью 2000, 3000, 4000, 5000, 7500, 10 000 событий в секунду. Это позволяет вендору и его партнерам, сохранив цены конкурентными, увеличить маржинальность проектов за счет выбора систем, более адекватных инфраструктуре заказчиков.
В прайс-лист были также введены модульные спецификации, позволяющие заказчикам выбирать конфигурацию системы только с действительно востребованным функционалом. Сегодня модулей три: RvSIEM (свободно распространяемое решение класса Log Management), RuSIEM (традиционная коммерческая система класса SIEM) и Analytics (дополняет коммерческую версию функциями искусственного интеллекта, которые повышают возможности своевременного обнаружения связанных со сложными кибератаками аномалий в инфраструктуре).
Первое, на что обращают внимание разработчики RuSIEM, строя планы ее развития, это ее производительность и устойчивость. Как заявляет технический директор компании Антон Фишман, их система сегодня не уступает в производительности таким зарубежным продуктам, как HP ArcSight или IBM QRadar SIEM, и демонстрирует хорошие показатели даже на слабом «железе». Это достигается за счет оптимизации программных модулей системы, которые написаны программистами компании, в том числе на низком уровне.
Для успешной работы на российском рынке компания стремится выполнять требования национальных регуляторов, относящиеся к системам SIEM. Поэтому около месяца назад завершена интеграция с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT); в течение ближайшего месяца компания обещает выпуск модуля подключения к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Согласно планам RuSIEM, до завершения весны 2021 г. компания получит на свой продут сертификат ФСТЭК на четвертый уровень доверия.
В RuSIEM считают, что рынок традиционных систем SIEM придет к насыщению через три-пять лет, и заказчиков будут интересовать все более глубокая обработка больших данных, накапливаемых системами SIEM.
В разработке нового модуля активов RuSIEM исходила из того, что современная система SIEM должна использовать собственный функционал работы с ИКТ-активами, предназначенный для сбора информации об уязвимостях из национальных и зарубежных источников, увязывающий систему с данными об активах и данными со всевозможных ИБ-сканеров и позволяющий эти данные автоматически обогащать для формирования инцидентов и принятия решения по ним.
Планируется развивать функционал реагирования на инциденты, с тем чтобы к концу года довести его до уровня инструментария оркестровки, автоматизации и реагирования на инциденты (Security Orchestration, Automation and Response, SOAR) для организации и автоматизации процессов расследования ИБ-инцидентов и принятия мер реагирования по их результатам.
Выявлению наиболее критичных угроз помогут динамические списки событий, которые в отличие от обычных списков строятся сразу в оперативной памяти и пополняются не из всех доступных внешних источников ИБ-событий (к примеру, из системы ГосСОПКА), а из собственного потока событий для принятия решений по событиям в реальном времени.
Для экономии вычислительных ресурсов в системе будет реализовано горячее и теплое, а позднее и холодное (архивное) хранение данных.
Внутренняя интеграция системы со всевозможными протоколами получения индикаторов компрометации для их агрегации, выверения и присвоения весов значимости позволят заказчикам реализовать функционал выявления киберугроз на ранних стадиях (Threat Intelligence).
В этом году компания планирует встроить в свою систему несколько новых моделей машинного обучения (МО), обеспечивающих на их основе и использовании нейросетей детектирование событий. Среди нововведений в МО алгоритм генерации доменов (Domain Generation Algorithm, DGA) и мало где реализованный функционал автопарсеров.
Как стратегически важное направлением развития системы RuSIEM Антон Фишман определил упрощение ее установки, эксплуатации и обслуживания, что особенно важно для заказчиков из сегмента среднего и малого бизнеса, не располагающих мощным ресурсом ИКТ-средств и многочисленным квалифицированным ИТ- и ИБ-персоналом. При этом система должна сохранить гибкость для эксплуатации теми заказчиками, которые в состоянии проводить своими силами глубокую кастомизацию.
Как утверждает Антон Фишман, система RuSIEM не зависит от «железа», что позволяет устанавливать ее поверх любой из присутствующих на рынке систем виртуализации. Это является залогом возможности успешного развертывания RuSIEM в облачных средах и реализации системы по сервисной модели «SIEM-as-a-Service». Готовясь к переходу в облака, разработчик развивает в RuSIEM поддержку мультиарендности (multi-tenancy).