2023/02/13 12:01:25

Как заменить иностранную SIEM-систему на российскую и сохранить накопленную годами экспертизу

Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies.

Начиная с марта 2022 года иностранные производители программного обеспечения стали отключать сервисы обновлений и техподдержки для российских клиентов: Microsoft, Oracle, VMware, Micro Focus, Cisco, Fortinet попрощались с рынком, а IBM официально использовала в своих анонсах слово stop. В этом материале я расскажу, как эффективно перейти на отечественные решения в области кибербезопасности на примере SIEM-систем.

Содержание

Без обновлений и техподдержки

Как выглядел уход иностранных вендоров ИБ в реальности? Компания Fortinet, к примеру, не просто приостановила техподдержку, а заблокировала работу своего оборудования и проходящий через него трафик. IBM лишила российских клиентов возможности скачивать новые версии ПО и не принимает он них запросы технической поддержки. Ряд иностранных компаний существенно сократил свое присутствие и в других странах СНГ, что усложнило ведение бизнеса с ними.

Но главная сложность для пользователей решений ушедших вендоров — отсутствие обновлений экспертизы. Без актуальных данных продукты для ИБ быстро теряют свою эффективность. Появление новых типов угроз требует обновлений правил детектирования в пакетах экспертизы. Если таких обновлений нет, то даже если компания использует средства ИБ, она становится практически беззащитной перед новыми атаками. Без подписок и апдейтов контента некоторые классы решений при таких условиях становятся бесполезными уже через пару месяцев или даже недель.

Кроме того, пользователи иностранных продуктов не могут расширить свои лицензии, а значит, не могут масштабировать их на всю инфраструктуру.

Установка обновлений ПО вручную, скачанных самостоятельно из сторонних источников, сопряжена с рисками блокировки ПО для пользователей из России. Но даже если бы иностранные продукты для ИБ продолжали полностью поддерживаться, компаниям, подпадающим под Указ Президента России от 1 мая 2022 г. № 250 — «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» — все равно пришлось бы от них отказаться.

Нормативы по переходу на отечественное ПО

В Указе от № 250 определенным компаниям поставлена задача заместить зарубежные решения информационной безопасности к 1 января 2025 года. К таким компаниям относятся органы власти, предприятия с государственным участием, субъекты критической информационной инфраструктуры (КИИ), стратегические и системообразующие организации. Документ затрагивает около 500 тысяч организаций. Начиная с 1 января 2025 года им запрещается использовать средства защиты информации, произведенные в недружественных государствах либо компаниями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.

Помимо этого, 30 марта 2022 года Указом № 166 Президента РФ были введены ограничения на приобретение иностранного ПО и оборудования для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц». Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Что касается применения продуктов из дружественных государств, то и оно несет в себе риски внезапного ухода с российского рынка, например при слиянии с западным вендором. Кроме того, следует учитывать региональную специфику производителей ПО. Так, решения из Латинской Америки и Ближнего Востока сложно применимы к нашим реалиям. В частности, пользователи могут испытывать трудности, связанные с технической поддержкой (языковой барьер, разные часовые пояса).

Времени мало

Два года — столько времени в среднем занимает миграция с одного решения на другое в большинстве крупных российских компаний. Это обусловлено сроками бюджетирования проектов и необходимостью переноса всего контента, наработанного за годы эксплуатации решения, в сложных, разветвленных инфраструктурах. А значит, начинать такую миграцию надо уже сегодня, планируя шаги по переходу еще вчера.

Ниже вы можете ознакомиться с верхнеуровневым планом миграции, который позволяет существенно упростить и ускорить переход с зарубежного продукта на отечественный, на примере нашего MaxPatrol SIEM.

Что сделать для перехода

Шаг первый — осознать, что дальнейшие трудозатраты экспертов на развитие иностранного SIEM в своей инфраструктуре, скорее всего, означают потерянные время и ресурсы. Любая система ИБ — это не только софт, но и уникальный пользовательский контент. В SIEM такой контент играет огромную роль и влияет на эффективность работы. Подключение источников, разработка коннекторов, написание правил корреляции, создание white/black-листов, настройка отчетов и дашбордов — все это требует экспертизы и сотен человеко-часов работы с ПО. Чем больше контента создано в зарубежной системе, тем больше времени потребуется на его перенос в другое решение. И хотя для миграции с других SIEM создаются технические средства автоматизации, например, как для перехода с Micro Focus ArcSight на MaxPatrol SIEM, это все равно требует ресурсов.

Шаг второй — установить MaxPatrol SIEM параллельно с пока еще используемой зарубежной системой SIEM. Существуют различные способы быстрого старта: через пилотный проект или покупку начальной лицензии на MaxPatrol SIEM. Это позволит наполнять его новой экспертизой и постепенно переносить наработанный контент. MaxPatrol SIEM закроет задачи, решаемые западными системами SIEM, и обеспечит эффективную работу за счет своей экспертизы: мы регулярно пополняем продукт новыми пакетами экспертизы, в которых аккумулированы знания специалистов компании о новейших тактиках и техниках злоумышленников.

Шаг третий — полный переход на MaxPatrol SIEM. Благодаря проработанному плану миграции мы поможем спланировать внедрение и заранее ответим на все вопросы. Для миграции на MaxPatrol SIEM мы предоставим экспертную поддержку центра компетенций Positive Technologies (разработку коннекторов, перенос правил и прочего контента) и помощь в разработке интеграций MaxPatrol SIEM с решениями, с которыми взаимодействовала иностранная система SIEM (IRP, тикетинг, TI и другими). Разумеется, пользователи также получат одну из лучших, по отзывам наших действующих клиентов, техническую поддержку в отрасли и регулярно пополняемые пакеты экспертизы со свежими знаниями о способах детектирования новых угроз.

MaxPatrol SIEM существует и развивается уже более 7 лет, его используют более 600 компаний России и СНГ, а объем продаж перевалил за 17 млрд рублей. Мы постоянно анализируем новые тренды атак и несем эти знания в продукт в виде экспертизы. Благодаря предложенному нами подходу к миграции мы уверены в сохранении вложенных ресурсов и дальнейшем совместном развитии центров мониторинга российских компаний.