Новые слияния на рынке SIEM

В среде западных экспертов активно идет дискуссия на тему «SIEM мертв». Но это не мешает продолжаться активному процессу слияний и поглощений на этом рынке. Сегодня сразу два монстра рынка ИБ — IBM и McAfee объявили о приобретении двух игроков рынка SIEM — Q1 Labs и NitroSecurity соответственно.

Детали первой сделки не разглашаются, но IBM вместе с покупкой Q1 Labs анонсировал и создание нового подразделение по ИБ — Security Systems Division, которое будет включать в себя все продукты (программные и аппаратные) и сервисы по ИБ, включая решения Tivoli, Rational, ISS ит.д. Посмотрим, что выйдет из этой сделки. Пока у IBM ничего путного с приобретениями по ИБ не выходило.Вторая сделка также покрыта завесой тайны в части финансовых условий.

В целом стоит заметить, что из «независимых» игроков на рынке SIEM осталось не так уж и много игроков — Splunk, netForensics, LogLogic и SenSage. netForensics почти «умер» и их уже серьезно не воспринимают — сдали они свои лидерские позиции. А вот остальные игроки очень интересны (в России почти не представлены, кроме Splunk).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. BDV

    ты знаешь, IPS для баз данных — Guardium был неплохой покупкой и вроде не убили пока.

    Ответить
  2. Алексей Лукацкий

    Просто его пока не с кем интегрировать 😉

    Ответить
  3. max7253

    А что это Cisco ничего не покупает? MARSу-то кирдык настает как-никак…

    Ответить
  4. Алексей Лукацкий

    Мы решили не распылять свои усилия и сконцентрироваться на ключевых компетенциях. Тем более, что направление SIEM считается умирающим среди экспертов.

    Ответить
  5. Анонимный

    а что вместо него?

    Ответить
  6. doom

    >Тем более, что направление SIEM считается умирающим среди экспертов.

    Можно мысль пояснить? Управление событиями и управление инцидентами больше не нуждаются в средствах автоматизации?
    Или Prelude на западе так замордовал коммерческих производителей, что они решили закрывать направления? 🙂

    SIEM — хорошая вещь. Несмотря на то, что это средство для автоматизации достаточно высокоуровневых процессов, его не так сложно внедрить, чтобы была полезная отдача + для него понятно строится процесс постоянного улучшения — т.е. через какое-то время действовать SIEM решение начинает очень эффективно…

    А MARS все-таки жаль, что закрыли… Не идеальное решение, но и неплохое (хотя за отсутствие поддержки русского языка в собираемых логах повбывав бы — 21-й век на дворе, везде юникод).

    Ответить
  7. Алексей Лукацкий

    Вместо MARS — http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/ns1090/landing_siem.html

    Ответить
  8. Алексей Лукацкий

    doom: Проблема с любой SIEM-системой — правила корреляции. Кто будет их писать и поддерживать в актуальном состоянии? Чем больше источников SIEM поддерживает, тем сложнее держать базу правил в актуальном состоянии. А писать правила самостоятельно никто не хочет и не будет — слишком сложно. А без этого SIEM превращается просто в хранилище событий, не более.

    Ответить
  9. doom

    Алексей, почему-то многим кажется, что правила корреляции должны быть выданы здесь и сейчас и это целая научная работа их создать. А ведь все гораздо проще в реальности — если инциденты реально обрабатываются, то правила корреляции будут появляться и совершенствоваться сами собой. А если нет управления инцидентами — то даже с супер точными правилами корреляции от SIEM проку не будет.

    Куда хуже — правила нормализации. Если вендор не обновляет свои правила нормализации, то SIEM умрет сам собой. Но все основные вендоры более-менее оперативно обновления выпускают (снова припомню проблему с поддержкой русского языка в логах у марса 🙂 ).

    Ответить
  10. Алексей Лукацкий

    Пример: попала в базу Касперского новая сигнатура Trojan.Win32.Chifrax.a. А у AVAST это Win32:Trojan-gen (AVAST). Как их учесть? А вдруг они используют какую-то новую дыру с таким-то кодом CVE? Как это учесть? А ведь эта информация меняется ежедневно? Как писать правила?

    Ответить
  11. doom

    Да очень просто.
    Начнем с того, что это надо учитывать только тем организациям, которые используют Kaspersky и AVAST параллельно и у которых есть реальные инциденты заражения этим трояном — т.е. это уже будет происходить далеко не каждый день.
    Далее. Имеем 2 инцидента (один от Kaserpsky, второй от Avast) — расследование быстро покажет, что в реальности инцидент один и тот же. Анализируем — видим, где проблема. Создаем правило. Да это рутина определенная — но это вполне подъемно. Более того, там где нет какого-то промышленного SIEM'а подобную же работу делают кустарными методами (пишутся различные скрипты и т.п.).

    Кроме того, есть же еще быстро набирающая обороты тема Security Automation — SCAP'ы, OVAL'ы и прочее — т.е. движение к унификации тоже есть и очень активное (я недавно увидел, что DISA стали делать STIG'и в XCCDF).

    Ответить
  12. Алексей Лукацкий

    Это надо учитывать вендору SIEM. В противном случае будет ситуация, когда SIEM не знает о новых атаках и дырах.

    Что касается расследования, то это как раз то, чего нормальный SIEM позволяет избежать. Если я знаю, что у меня не Винда, а Linux, заданные узлы некритичные и данные сигнатуры у меня в базе, то я помечу правило как низкоприоритетное и мне не понадобится проводить расследование. Иначе на каждое событие не отреагируешь — ресурсов не хватит.

    Ну а SCAPы и т.д. пока не сильно поддерживаются вендорами SIEM ;-( Они только присматриваются ко всем этим протоколам унификации наименований и обмена.

    Ответить
  13. doom

    >Это надо учитывать вендору SIEM. В противном случае будет ситуация, когда SIEM не знает о новых атаках и дырах.

    Некоторые так и делают (не буду рекламировать уж). Но подобную задачу они решают на уровне нормализации (ведь приводить к общему знаменателю тоже можно с различной глубиной) и активно привлекают вендора средства защиты. Вот здесь, конечно, общий язык в лице семейства SCAP очень помог бы…

    >Что касается расследования, то это как раз то, чего нормальный SIEM позволяет избежать.

    Не соглашусь. Задача SIEM эффективно регистрировать (ну и иногда еще классифицировать и проиритезировать) инциденты ИБ с минимальным числом ошибок первого и второго рода. Если же инцидент оказался неактуальным — это просто ошибка второго рода — бывает 🙂
    Так можно сказать, что и комплексные системы мониторинга невозможны — потому что порождают шибко много инцидентов ИТ, а задать взаимосвязи для сложного ИТ сервиса это невероятно сложная задача.
    Да вообще для большой системы все сложно: и права актуальными поддерживать, и в политике МЭ не скатиться к permit any any…

    Ответить
  14. Алексей Лукацкий

    Если нужно только регистрировать, то достаточно обычно syslog-коллектора 😉

    Ответить
  15. doom

    syslog регистрирует события, а не инциденты 😉

    Ответить
  16. biakus

    Присоединюсь к сожалению про MARS..
    Отличную систему от Protego Networks похоронили. Рановато.
    Возможно, SIEMы сегодняшнего дня, лишь определенная ступень развития в данном направлении. Но для сетевиков MARS является "глазами и ушами", поскольку эффективно осуществляет экспертную обработку событий на сетевом уровне в контексте ИБ. По сути, используется для поддержания здоровья сетевой и вычислительной инфраструктуры, выявления и устранения проблем в ней.
    Но, поскольку, проблемы на прикладном уровне начинают сказываться на сетевом, то у SIEMов начинаются свои проблемы при попытке корреляции событий с прикладным уровнем: на прикладном уровне больше разнообразия, конкуренции, нет стандартизации и на порядки больше возможных типов инцидентов. Все это поддерживать в актуальном состоянии затратно и невыгодно в текущей ситуации.

    Отдельно стоит отметить негативное влияние конкуренции среди разработчиков ПО и сетевого оборудования. Они не хотят делиться форматами и типами событий, протоколов, интерфейсов, документов и т.п., надеясь получить конкурентное преимущество. О какой корреляции событий тут может потом идти речь?

    Ответить
  17. mike

    "Тем более, что направление SIEM считается умирающим среди экспертов." — Леш как сейчас помню твой титанический труд по переводу статьи — эксперты дискутируют системы IDS мертвы …. ну иили как то так. Результат — мы знаем.

    Насчет МАРСА — ну система была недоSIEM и вроде и не логгер с сохранением всех событий в нативном виде на диске …. Продукт был достаточно интересен, но явно не доделан и проигрывал основным игрокам.

    Ответить