Блог

Отечественные SIEM, DLP, SOC-решения: что предлагают разработчики?

Защита корпоративной информации – задача, без решения которой не обойтись ни государственным, ни частным структурам. С уходом иностранных компаний российский бизнес столкнулся с нехваткой собственных SIEM-систем, функция которых – отслеживание сетевой активности, выявление попыток несанкционированного доступа, их своевременное пресечение.
Впрочем, постепенно эта проблема была решена. Отечественным IT-компаниям удалось создать функциональные и надежные альтернативы, не уступающие западным разработкам. Какие SIEM, DLP, SOC-решения доступны на отечественном рынке? В чем их особенности? Каковы преимущества?

Аббревиатуры и понятия

Для начала следует разобраться в базовой терминологии:
  • SOC. Security operation center. Особый отдел компании, сотрудники которого сосредоточены на решении задач, связанных с информационной безопасностью. Они должны контролировать состояние сетевой инфраструктуры, выявлять и пресекать попытки постороннего доступа. Одно из средств контроля – специализированное программное обеспечение.
  • DLP. Data Leak Prevention. Система, обнаруживающая и предотвращающая информационную утечку. Позволяет установить, кто именно из сотрудников попытался похитить защищенную информацию, передать ее третьим лицам.
  • SIEM. Security Information and Event Management. Мощные программные платформы, осуществляющие постоянный сбор и анализ информации о состоянии IT-инфраструктуры. Они многофункциональны. Базовая задача – фиксация угроз в режиме реального времени, независимо от масштаба и специфики, активация алгоритмов, направленных на противодействие и отражение. В случае успешных атак платформа поможет провести расследование, определить причины и уязвимости, свести к минимуму последствия, определить виновных.

Российские разработки: преимущества

SIEM, равно как и другие комплексы информационной безопасности, должны соответствовать законодательным требованиям. Важнейшие документы – ГОСТ Р 57580.1, ФЗ-187, ГОСТ Р ИСО/МЭК 27002-2001. Надежная система – основа построения SOC, эффективный инструмент повышения уровня информационной безопасности, защиты организации от внешних угроз. Аналитические модули и алгоритмы автоматически изучают происходящие события, делают выводы о степени угрозы. Сетевые администраторы могут сосредоточиться на действительно важных записях, не тратя время на те, что не представляют опасности и интереса.
Современная SIEM-система должна уверенно справляться со следующими задачами:
  • Повышение общего уровня IT-безопасности за счет четкого контроля всех процессов, связанных со взаимодействием с данными.
  • Фиксация в реальном времени сетевых атак и других происшествий, нарушающих политику безопасности.
  • Подготовка отчетов для изучения собственными специалистами организации, передачи уполномоченным контролирующим инстанциям и структурам.
  • Сбор и анализ происшествий, связанных с нарушениями информационной политики, определение тяжести последствий, выработка мер противодействия с целью недопущения повторных неприятностей.
Если сравнивать отечественные разработки с западными, то главное преимущество первых – полное соответствие положениям законодательства РФ, требованиям, обозначенным Минцифры и другими контролирующими структурами.
Конечно, российские продукты исключают и любые сложности, связанные с поддержкой. Пользователи гарантированно не столкнуться с ограничениями функционала, могут устанавливать обновления, расширяющие исходный функционал, патчи безопасности.

Популярные продукты

Одно из наиболее востребованных решений – MaxPatrol SIEM, представленное компанией Positive Technologies. Оно сертифицировано по стандартам ФСТЭК, допускает интеграцию с ГосСОПКА. Многофункциональность, надежность разработки сделало ее востребованной в различных сферах, в том числе коммерческих, где действуют максимально жесткие требования по информационной безопасности.
Достоинства MaxPatrol таковы:
  • Скорость развертывания. Шаблоны ускоряют интеграцию, исключают необходимость множества дополнительных ручных настроек.
  • Полная совместимость с другими разработками Positive Technologies. Грамотное комбинирование расширяет исходный функционал, помогает в достижении соответствия максимально строгим стандартам безопасности.
  • Интуитивно понятный интерфейс, допускающий возможность персональной настройки. Легко активировать отображение нужных параметров для более быстрого взаимодействия с системой.
  • Сертификация по стандартам ФСТЭК, полное соответствие ФЗ-152 и 187.

KUMA

Разработка хорошо известной “Лаборатории Касперского”. Комплекс, способный справиться даже с наиболее масштабными атаками. В пользу выбора этого продукта можно привести следующие доводы:
  • Гибкость архитектуры, за счет чего достигается совместимость с сетевой инфраструктурой вне зависимости от масштабов и специфики.
  • Активное применение ИИ, алгоритмов, анализирующих пользовательское поведение. Это позволяет пресекать потенциальные нарушения, определять лиц, виновных в утечках информации, нанесении ущерба IT-инфраструктуре предприятия.

RuSIEM

Разработка, представленная в платной и бесплатной редакциях. Примечательно, что даже возможностей бесплатной версии будет достаточно для небольших организаций, не предъявляющих особо жестких требований к сетевой безопасности. Платная – ориентирована на коммерческие, крупные торговые и другие предприятия.
Такая система проста во внедрении, ее развертывание занимает минимум времени. При помощи API можно синхронизировать RuSIEM с другими модулями и компонентами.

Российские DLP-системы

Базовая функция российских DLP-комплексов – защита информации, предотвращение несанкционированного доступа к ней и утечек, однако, этим дело не ограничивается. Современные комплексы справляются и с другими задачами, в том числе:
  • Повышение мотивации персонала. Сотрудники знают, что их действия находятся под контролем, что стимулирует производительность, дисциплинирует, помогает в формировании благоприятного рабочего микроклимата.
  • Формирование резервных копий особенно ценных информационных структур. DLP-системы в этом отношении не столь функциональны, как специализированные приложения, но вполне достаточных для базовых массивов данных.
  • Определение прав доступа, автоматическая блокировка действий, угрожающих целостности информационной структуре. К примеру, система проверяет содержимое отправляемых сообщений, реагирует на присутствие в них вредоносных файлов.
  • Ведение журнала действий. Сведения из архива помогут аналитикам повысить уровень информационной безопасности организации. Вдобавок они могут использоваться в ходе судебных разбирательств как доказательства, улики.
  • Анализ поведенческих факторов, выявление подозрительной, аномальной активности сотрудников, что позволяет предотвращать нарушения.
Одна из наиболее мощных DLP-систем – Solar Dozor. Она обладает всеми функциями, перечисленными выше, реагирует не только на фактические, но и на скрытые угрозы. Автоматическая проверка сообщений, отправленных через мессенджеры или почту, позволяет пресекать попытки отправки третьим лицам конфиденциальных корпоративных данных, устанавливать виновных.

Подведение итогов

Согласно статистическим данным, свыше 97% отечественных организаций крупного и среднего масштабов – пользователи SIEM-систем. Почти 60% уже полностью завершили переход на российские продукты, еще 30 – планируют сделать это в ближайшие месяцы.
Продукты от IT-компаний из России становятся все более совершенными, разработчики уверенно справляются с задачей по импортозамещению. Практика показывает, что ПО из РФ не просто не уступает западным аналогам, но зачастую – превосходит их!