Развитие софтверного рынка немыслимо без появления, роста и смены небольших игроков, способных быстро развивать новые продукты с интересной функциональностью. Этот процесс идет везде, но в России имеет свои примечательные особенности. Годовой отчет фирмы RuSIEM, представленный прессе 31 марта, дал много фактов для размышления на эту тему.
В России есть несколько популярных продуктов класса SIEM (Security information and event managеment – управление событиями и информацией о безопасности), и существуют они довольно давно, так что к моменту появления нового вендора рынок был далеко не пуст. Собирать с сетевых устройств и устройств безопасности информацию, анализировать ее и представлять в удобном виде – это задача SIEM-системы. В такие продукты обычно входят приложения для управления идентификацией и доступом, инструменты управления уязвимостями.
Компания была создана в 2016 году, разработка продукта началась на два года раньше. Сооснователь RuSIEM Максим Степченков рассказал, что в самом начале создания продукта он пытался спрогнозировать, каких затрат это потребует. Более опытные коллеги дали оценки, на которые он вначале и опирался. К настоящему времени стало ясно, что эти первоначальные ориентиры были превышены не кратно, а на порядок.
На начало 2021 года в RuSIEM около семидесяти сотрудников, более сотни партнеров в мире, включая Великобританию, Индию, страны Африки. Более десяти тысяч инсталляций свободно распространяемой версии. Продукт RuSIEM входит в Реестр отечественного ПО.
Как шло развитие бизнеса? Вначале, по словам Максима Степченкова, продажи шли через знакомых в интеграторских компаниях, и это путь был не слишком коммерчески успешным. Затем фирма стала резидентом Сколково, что дало, как считает Максим, весомые на тот момент налоговые преференции. Бесплатная версия успешно знакомила и продолжает знакомить клиентов с продуктом. Постепенно сложился двухуровневый канал, ключевым дистрибьютором в России является OCS Distibution. Совместно с Академией информационных систем вендор обучает партнеров и специалистов клиентов.
В конце 2020 года RuSIEM привлек крупного инвестора: ГК «Программный Продукт», которому теперь принадлежит половина бизнеса. Максим называет эту сделку успешной, поскольку она придала RuSIEM вес и стабильность, необходимые в работе с крупными заказчиками из госсектора, составляющими ядро клиентов фирмы.
Существенную роль сыграли законодательные новации и требования регуляторов, в том числе указания ЦБ о необходимости наличия у финансовых организаций установленных продуктов класса SIEM. Антон Фишман, технический директор RuSIEM, уверен, что эти требования не только оправданны, но и даже несколько запоздали, поскольку реальная ситуация с атаками настоятельно требует адекватных инструментов мониторинга и анализа.
Александр Булатов, коммерческий директор RuSIEM, считает, что при всей важности следования нормам и законам покупка продукта приносит больше пользы клиентам, когда делается с целью решения реальных бизнес-проблем. Он рассказал о сложностях, которые испытывают компании среднего масштаба, у которых нет развитого штата специалистов по ИБ. Типовая для них ситуация часто наблюдается на тестировании, рассказывает Булатов: видно, что атака идет, но непонятно, на что она направлена, а главное как ее можно быстро остановить. Решение RuSIEM дает нужную картину немедленно.
К основным драйверам рынка SIEM Булатов относит ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ФЗ РФ от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», ISO/IEC 27001, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018. Однако в своей практике он использует не только аппеляции к законам, но и простые яркие подходы. Например, показывает, как просто выявить уязвимости ИТ-систем без всяких хакерских уловок. Для этого достаточно позвонить ИТ-директору, который недавно ушел из компании N и ищет новую работу. Нужно представиться новым работодателем и задать вопросы о том, что получилось и что не получилось на прежнем месте. Тут заинтересованный кандидат начинает увлеченно рассказывать о том, с какими проблемами он боролся и как их решал, а затем и о тех, которые решить не удалось, потому что руководство так и не дало ему бюджета для этого. Что предпринять против компании N после такой беседы становится предельно ясно.
Дело не в технологиях, дело в людях, поэтому от атак себя не может считать защищенным никто, а значит, их нужно видеть своевременно. Антон Фишман считает особенно важным максимально упрощать для клиентов задачи анализа, предлагая готовые решения, которые не потребуют участия специалистов высочайшего класса. Решение RuSIEM должны помогать уверенно и правильно действовать сотрудникам среднего уровня квалификации.
В ближайших планах компании получение сертификации ФСТЭК России. Александр Булатов рассчитывает, что это случится уже весной 2021 года. Антон Фишман представил Road map развития продукта на текущий год. В первом квартале: оптимизация производительности, интеграция с ФинЦЕРТ, модуль НКЦКИ и новый модуль активов. Во втором квартале появится модуль IRP – это первая версия системы реагирования на инциденты, включающая playbooks, задачи, роли и выполнение SLA. Станут доступны динамические списки, то есть создание списков значений из сработок правил корреляций для их дальнейшего использования при выявлении угроз. В этом же квартале можно будет использовать разделение зоны хранения на участки для оперативного и неоперативного использования с разным выделением ресурсов – так называемое горячее и холодное хранение. Будет запущен модуль активов v2, обеспечивающий обогащение информации из активов и событий, учет активов в событиях и инцидентах.
К третьему кварталу будет готов модуль TI, дающий полноценный функционал подгрузки IoC и фидов киберразведки, их различных источников в удобном интерфейсе с использованием стандартных протоколов. Появятся ML-модели – реализация нескольких моделей машинного обучения, включая DGA и автопарсеры. Станут доступны табличные списки для создания и управления табличными списками для хранения IoC и использования в симптоматике и корреляции.
К концу года будет реализован расширенный функционал SOAR с возможностью писать и выполнять автоматизированные скрипты, создавать разветвленные структуры реагирования на инциденты – IRP v2. Ожидается ввод информации об источниках событий для улучшения корреляции и уменьшения нагрузки на нормализацию. В четвертом квартале будет доступен и модуль TIv2, дающий расширенный функционал работы с фидами киберразведки – создание своих парсеров и учет информации из нескольких источников с разыми весами.
Машинное обучение и нейросети, гибкость использования при сохранении производительности и работу с облаками и в облаках Антон Фишман считает магистральными направлениями развития продукта.
Смотреть все статьи по теме “Информационная безопасность”