Иван Чернов, UserGate: Стандартных функций SIEM уже недостаточно – рынку нужны решения следующего поколения
Компания UserGate разработала SIEM-систему, функциональность которой выходит за рамки стандартных решений. Насколько нужны такие продукты на рынке сегодня? Какие требования предъявляют заказчики? И как будут развиваться SIEM-системы в будущем? Об этом рассказывает Иван Чернов, менеджер по развитию UserGate.
CNews: Каким актуальным требованиям должна отвечать система класса SIEM? Что чаще интересует заказчиков сегодня?
Иван Чернов: Чем крупнее организация, тем больше сотрудников пользуются SIEM-системой и тем сложнее задачи она решает. Вот почему крупные заказчики часто предъявляют требования по сквозной кастомизации продукта.
Также многие хотят получить максимально гибкую настройку рабочей области. Виджеты, графики, индикаторы, логи, события — все, что выводится на монитор специалиста по ИБ, должно настраиваться индивидуально под процесс, бизнес и конкретного сотрудника.
Кроме того, в SIEM-системах обычно работают разные категории специалистов: кто-то отвечает за мониторинг, другие — за расследования, третьи — за принятие экспертных решений и т.д. На каждую группу пользователей нужна своя ролевая модель, с помощью которой заказчики могут разграничить доступ к системе и предоставить сотрудникам только необходимые им функции.
Главное — чтобы система адаптировалась под логику любой организации. У всех заказчиков свои задачи, пользовательские роли и разный уровень экспертизы. В том числе в части подготовки правил, по которым система будет настраиваться и работать. Некоторые заказчики пишут их сами, и производитель SEIM должен этот фактор учитывать.
CNews: А как же традиционные требования? Они изменились?
Иван Чернов: На самом деле нет. Заказчикам по-прежнему нужны коробочные решения, в которых есть возможность нормализации логов со стороны источников и подключения различных коннекторов.
Также многим важна высокая производительность. Хотя здесь все не так однозначно, как кажется. Бывает, что крупные компании с внушительной командой ИБ-специалистов нуждаются в системах с производительностью в 2000–3000 событий в секунду. Хотя со стороны может показаться, что EPS там в десятки раз выше. Тем не менее требование к высокой производительности остается почти у всех заказчиков.
Из традиционных ожиданий от SIEM также отмечу возможность горизонтального масштабирования и отказоустойчивости. Я намеренно указываю два требования в одном, потому что обычно они возникают вместе и обе эти задачи решаются одним набором технологий.
CNews: Какие функции SIEM особенно важны для ваших партнеров?
Иван Чернов: Как правило, заказчики ждут одного, партнеры — абсолютно другого.
Партнеры делятся на две категории. Первая — те, кто только внедряет систему в других организациях. Их запросы совпадают с требованиями заказчиков. Вторая категория — обслуживающие компании, которые используют SIEM для оказания услуг по ИБ. Такие партнеры обычно хотят, чтобы к одной системе можно было подключить сразу несколько клиентов.
Что касается наших заказчиков, то часто для них стандартного набора функций SIEM бывает недостаточно. Как правило, система такого класса собирает данные о событиях, анализирует их и выдает вердикт. Однако процесс в компании на этом не заканчивается — на инциденты нужно реагировать. Именно потому данные передаются в IRP-решение. И уже там проводятся дальнейшие мероприятия по инциденту.
В разработке своего решения мы исходили от процесса управления ИБ и постарались сделать максимально удобный инструмент, благодаря которому пользователю не придется параллельно работать в нескольких системах. Наш продукт включает в себя функции как SIEM, так и IRP. В итоге весь цикл — от обнаружения инцидента и до реагирования на него — проходит в одном окне. И это принципиальное отличие SIEM-системы UserGate от других решений на рынке.
CNews: То есть весь процесс по инцидентам ИБ будет в одном продукте? Читатели, наверняка, скажут, что такое невозможно.
Иван Чернов: Они будут правы. С одной стороны, в MVP нашей системы мы действительно вышли за рамки класса SIEM. И ожидаем, что расширенная функциональность будет очень актуальной для малого и среднего бизнеса. Да и по затратам единое решение для них станет хорошей альтернативой покупке нескольких систем.
С другой стороны, крупные компании могут себе позволить набор из разных решений. Здесь действительно уложить весь процесс в один продукт не получится — слишком много задач. Скорее, для крупного бизнеса важны отдельные фичи в каждой из систем, в том числе есть ли гибко настраиваемая ролевая модель, возможность писать правила нормализации логов и т.д.
CNews: Каким видите будущее SIEM-систем? Как они будут эволюционировать в дальнейшем?
Иван Чернов: Сегодня многие производители присматриваются к термину Next Generation SIEM. Мы, как производители NGFW (Next Generation Firewall), на него тоже поглядываем.
Пока есть две позиции по поводу того, что именно входит в понятие Next Generation SIEM. Одна из них — объединение класса решений с IRP, которое мы поддерживаем и реализуем в своей системе.
К слову, UserGate часто опережает тренды. Так было на протяжении всей истории компании. Наша система SIEM может стать очередным тому подтверждением.
Другое мнение о термине часто звучит в западном ИБ-сообществе. Согласно ему, Next Generation SIEM — это симбиоз SIEM с UEBA. То есть продукт включает анализ пользовательского поведения.
Если говорить про будущее в целом, то многие компании думают про усиление контроля над процессами ИБ и возлагают большие надежды на машинное обучение и искусственный интеллект. UserGate в их числе. Для нас ИИ — это прежде всего помощник, который может давать советы и рекомендации ИБ-специалистам в решении рабочих вопросов.
CNews: Насколько сложно разрабатывать SIEM?
Иван Чернов: SIEM-система сложна в своей простоте и проста в своей гениальности. Казалось бы, механизмы, которые нужно разработать, понятны. И создать SIEM несложно — есть opensourse-продукты и неплохой суммарный опыт производителей на рынке.
Но суть в другом — нужно разработать хороший продукт с высокой скоростью обработки данных, который при этом должен легко масштабироваться. С этим вызовом сталкиваются все производители SIEM.
Еще одна сложность разработки — эргономика продукта, или UI/UX интерфейса. В отличие от истории с NGFW, пользователи SIEM-системы находятся в интерфейсе постоянно. Чтобы он не раздражал их и был удобным, мы проводим исследования и интервью с потенциальными заказчиками. Спрашиваем пользователей о работе в таких системах: на какие кнопки нажимают, где они должны располагаться и т.д. После этого готовим множество прототипов, обсуждаем с заказчиками, вносим изменения.
Конечно, можно было пойти другим путем — взять стандартные библиотеки. Но в этом нет смысла, так как тогда продукт получится неудобным для реального пользователя.
И третья сложность — это экспертиза. Нужна команда хороших экспертов, которые знают, как работают злоумышленники и как их остановить. Я считаю, что это самый важный момент в разработке SIEM. Потому что система может быть супербыстрой, но если она не видит атаки и злоумышленников, то от нее нет никакого толка.
CNews: Какова доля open sourse-кода в вашем продукте?
Иван Чернов: Мы традиционно отдаем приоритет проприетарной разработке. На мой взгляд, в 2023 году уже стыдно использовать открытый код, который всегда можно сделать лучше.
Но обойтись без него совсем нельзя. В разработке SIEM мы использовали СУБД ClickHouse. Так же поступают другие производители таких систем. Писать свою базу данных нет смысла. Этим должны заниматься не мы, а компании, которые специализируются на СУБД. Но, кто знает, может быть, в процессе развития нашего SIEM мы поймем, что потенциал ClickHouse исчерпан и нам требуются уже собственные разработки.
Кстати, новый продукт родился из нашей внутренней SIEM-системы. Продукт для сбора логов совершенствовался несколько лет и эволюционировал до звания SIEM Light (так называется MVP). Хотя по функциональности это, конечно, скорее Pro.
CNews: Вы о том, что ваш продукт заменяет несколько систем?
Иван Чернов: Да, хотя у нас нет такой задачи. Скорее суть в том, что мы предоставляем заказчикам нужные инструменты. Если они не вписываются в определение классической SIEM-системы, то это не страшно. Заказчик сам выбирает, какие задачи он будет решать с помощью нашего набора инструментов. Если заменит ими какую-то систему — это вполне реальный сценарий. Если оставит несколько продуктов со схожими функциями — тоже.
Наша задача — вести заказчиков к новому эволюционному этапу развития ИБ и предлагать инструменты, которые им понадобятся в этом пути. И мы рады, что они готовы идти вместе с нами.
Полный текст статьи читайте на CNews