Новая система мониторинга безопасности была разработана инженерами компании. Сейчас она анализирует более 1,5 млн событий в секунду (EPS, events per second), исходящих от инфраструктуры компании, сетевых устройств и приложений сообщили «Телеспутнику» в компании.
При разработке SIEM-решения применялась практика ведущих высоконагруженных систем обработки данных. Гибкая архитектура позволяет быстро горизонтально масштабироваться без снижения общей производительности — расчётная пропускная способность составляет до 3,5 млн EPS и может быть увеличена под запросы бизнеса. Кроме того, благодаря расширенной функциональности движка корреляции правил на потоке специалисты SOC (Security Operations Center) получают углублённую аналитику данных, создают новые правила и быстрее реагируют на возможные инциденты, предупреждая наступление ущерба, отметили в компании.
По словам руководителя SOC VK Дмитрия Куколева, в последние годы нагрузка на системы выросла в 5 раз, до 1 млн событий в секунду. «Наша инженерная команда смогла разработать функциональный и высокопроизводительный инструмент для поиска, корреляции и обработки событий безопасности, который позволяет специалистам по безопасности ещё быстрее и точнее выявлять угрозы, минимизировать риски и принимать обоснованные решения в режиме реального времени, даже в условиях самых сложных кибератак и огромного объёма телеметрии», — сказал Дмитрий Куколев.
Рынок всё больше ориентируется на облачные и масштабируемые сервисы и несмотря на зрелость рынка, спрос на результативные системы управление событиями и информацией о безопасности продолжает расти, отмечает руководитель продукта MaxPatrol SIEM Positive Technologies Иван Прохоров. «Эффективно ли решение обнаруживает угрозы, какие аппаратные ресурсы необходимы для поддержания заявленных пользователями запросов, как будет осуществляться внедрение SIEM и дальнейшая продуктовая адаптация — это те вопросы, ответы на которые будут характеризовать уровень результативности продуктов этого сегмента рынка ИБ», — прокомментировал «Телеспутнику» Иван Прохоров.
Эксперт по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского» Евгения Лагутина, вспомнила, что, когда состоялся первый публичный релиз SIEM-системы «Лаборатории Касперского» в 2020 году, этот рынок выглядел достаточно «укомплектованным»: было несколько зрелых западных решений и ряд нишевых российских продуктов. Соответственно, основной вопрос, который возникал тогда у заказчиков — зачем на рынке ещё один продукт? Поэтому основной задачей было сформировать понимание того, что это не просто ещё один продукт «для галочки» в портфолио, а система, отличающаяся функционально и архитектурно от существующих на рынке, отвечающая актуальным запросам. И показать, что несмотря на отсутствие двадцатилетней истории, решение, может эффективно справляться с задачами даже крупных заказчиков за счёт функциональности и производительности системы при её низких системных требованиях и тесной интеграции всех решений компании. «На данный момент новые игроки сталкиваются со схожим недоверием рынка, однако у них нет необходимости соревноваться с западными решениями», — заключила Евгения Лагутина.
«Если VK выпустит свой сервис мониторинга безопасности как отдельный продукт, он может стать востребован в медиаиндустрии, где онлайн-платформы, телеканалы и контент-провайдеры все чаще ищут готовые решения для обеспечения кибербезопасности. У многих из них просто нет достаточных ресурсов и экспертизы, чтобы разрабатывать и поддерживать собственную SIEM-систему, поэтому это предложение могло бы закрыть этот пробел», — считает директор проекта «Медиалогистика» компании MSK-IX Григорий Кузин.
«Запуск VK собственного SIEM-решения — интересный шаг для компании, которая ранее не специализировалась на разработке систем информационной безопасности. Оценивая предыдущие коммерческие проекты, можно отметить успешный опыт в создании корпоративных порталов, мессенджеров и игровых платформ. Однако опыта в продаже корпоративных решений по кибербезопасности у компании пока нет. Рынок таких решений в России активно развивается, особенно в свете растущих киберугроз и необходимости импортозамещения, но конкуренция не слишком высока из-за специфики продукта. Потенциальными покупателями могут стать крупные структуры, банки, промышленные предприятия, которые заинтересованы в отечественных решениях для защиты критической инфраструктуры», — поделился мнением основатель компании «Юнисофт» Алексей Оносов.
При этом по словам эксперта, коммерческие перспективы выглядят неоднозначно. «С одной стороны, компания обладает серьёзными техническими ресурсами и опытом работы с большими данными. Заявленная производительность в 1,5 млн событий в секунду впечатляет и может заинтересовать крупных клиентов. С другой стороны, отсутствие опыта в продаже B2B-решений по безопасности может стать серьёзным препятствием. SIEM – это сложный продукт, требующий глубокой экспертизы в области кибербезопасности, которую ещё предстоит наработать. Кроме того, для успешных продаж нужно будет выстроить специализированные каналы сбыта и обучить партнёров», — отметил он.
Среди факторов успеха Оносов назвал способность адаптировать своё решение под специфические требования разных отраслей и интегрировать его с существующими системами безопасности клиентов. Также важно будет обеспечить высокий уровень технической поддержки и постоянное обновление базы правил для выявления новых угроз. «Если компании удастся преодолеть эти вызовы и правильно позиционировать свой продукт, то есть шансы занять заметную долю на российском рынке. Однако это потребует значительных инвестиций и времени на развитие продукта и построение экспертизы. В целом, выход на рынок SIEM — это смелый шаг, который может принести успех в долгосрочной перспективе при грамотной реализации стратегии», — резюмировал эксперт.
Управляющий практикой информационной безопасности RAMAX Group Алексей Колодка, отмечает, что такая крупная организация как VK всё чаще сталкивается с необходимостью усиления безопасности своих систем и в этом контексте логичным выглядит решение усилить мониторинг и сбор информации об атаках на свои продукты в нужном формате.
«Предваряя создание SIEM компания усилила команду по направлению кибербезопасности, создала SOC для того, чтобы обезопасить своих клиентов как можно серьёзнее с точки зрения защиты персональных данных. Ну и поскольку эта система является одним из основных компонентов SOC, решили провести собственную разработку. Как я понимаю, это пилотный проект, созданный для тестирования и оценки работоспособности на собственных сервисах и инфраструктуре. В дальнейшем, учитывая большую клиентскую базу, вероятно планируется предложить это решение как сервис своим клиентам, в первую очередь тем, кто уже использует другие продукты компании», — предположил Алексей Колодка.
По его мнению, создание собственного решения такого класса, учитывая экспертизу разработчика и востребованность технологий, позитивный шаг для рынка кибербезопасности и ИТ-холдинг сможет предложить клиентам комплексный подход: не только продукт, но и сервис.
По данным аналитической компании Mordor Intelligence, объем мирового рынка SIEM оценивается в $ 10,78 млрд в 2025 году и, как ожидается, достигнет $ 19,13 млрд к 2030 году, при среднегодовом росте в 12,16 % в течение прогнозируемого периода c 2025 по 2030 годы. Среди лидеров рынка называются продукты таких компаний, как IBM, Splunk, Fortinet и LogRhythm.
Мировой тренд в том, что системы управления событиями и информацией о безопасности кардинально меняются с внедрением облачных технологий и развитием технологий. Отраслевые эксперты прогнозировали, что к 2024 году уже более 90 % таких решений будут предлагать возможности, предоставляемые исключительно через облако: хранение журналов, аналитику и управление инцидентами.
Уход иностранных вендоров с российского рынка привёл к появлению увеличению количества отечественных решений и росту российского рынка систем класса SIEM. По оценкам экспертов, доля отечественных продуктов и систем на базе открытого кода увеличилась, в то время как доля зарубежных продуктов этого класса снизилась, а также сократилось количество компаний, в которых подобная защита не использовались вообще. Востребованность таких систем на рынке информационной безопасности значительно увеличилась с ростом активности хакеров в последние годы.
Как правило, решения класса SIEM являются значимым элементом экосистемы, этой стратегии на рынке придерживаются такие вендоры, как «Лаборатория Касперского», Positive Technologies, R-Vision, UserGate. Практически все решения этого класса входят в реестр отечественного ПО, обладают сертификатами ФСТЭК России и имеют модули для взаимодействия с ГосСОПКА.
