Аналитическое агентство Gartner опубликовало магический квадрант поставщиков систем управления информацией о безопасности и событиями безопасности (Security Information and Event Management, SIEM*), которые помогают компаниям выявлять и предотвращать кибератаки на ранних стадиях, анализируя данные корпоративной ИТ-инфраструктуры в режиме реального времени для идентификации потенциальных рисков безопасности.
В квадрант лидеров из компаний, представленных на российском рынке, попали HP, IBM Security и McAfee.
Наиболее высоко в текущем рейтинге Gartner стоит компания IBM Security. Ее продукт QRadar обеспечивает управление журналами и событиями, отчеты и анализ поведения сетевых приложений. Заказчики ценят в этом решение легкое развертывание и обслуживание независимо от масштаба инсталляции, однако у QRadar гранулярность определения ролей более грубая, чем у конкурентов.
HP предлагает три системы SIEM в своем семейства ArcSight. Продукт ArcSight Enterprise Security Manager (ESM) рассчитан на крупные организации, ArcSight Express – это версия ESM для средних компаний на базе приставки с заранее настроенными функциями мониторинга и отчетов, а приставка и пакет программ ArcSight Logger для сбора данных из журналов и управления, которые могут работать как отдельное решение либо вместе с ESM.
По утверждению Gartner, ряд заказчиков HP недовольны излишней сложностью и высокой ценой ESM, однако в последней шестой версии этого продукта значительно улучшены функции обработки событий. Дополнительные модули ESM реализуют мониторинг активности пользователей, интеграцию с системами управления идентификационными данными и доступом (IAM), выявление случаев мошенничества. Недостатком ESM аналитики Gartner считают отсутствие возможности построения профилей и обнаружения аномалий на основе данных реального времени.
Компания McAfee, входящая в состав Intel Security, продвигает McAfee Enterprise Security Manager (ESM), которая комбинирует функции управления информацией о безопасности (Security Information Management (SIM) с функциями SEM. Это решение доступно как отдельная виртуальная приставка либо сервис от партнеров McAfee. McAfee ESM по мнению экспертов Gartner обеспечивает лучшие в своем классе продуктов производительность обработки событий, мониторинг приложений и баз данных, а также мощные функции для обслуживания АСУТП, однако для использования его продвинутых функций нужна интеграции с другими продуктами McAfee.
Кроме того, по мнению Gartner, McAfee ESM уступает конкурентам по возможностям фильтрации сетевого трафика и генерации предупреждений на основе анализа пакетов.
Компания RSA, входящая в состав корпорации EMC, попала в квадрант претендентов. Платформа RSA Security Analytics обеспечивает комбинацию функций аналитики и базового мониторинга событий для сбора пакетов и анализа журналов событий. Ее можно инсталлировать если у заказчика уже используется система SIEM, в которой нет возможной сбора пакетов. Однако в этой платформе только недавно реализована сложная корреляция данных и у нее неудобный пользовательский интерфейс.
*Технологии SIEM агрегируют данные о событиях, генерируемые пользовательскими устройствами, сетевой инфраструктурой, системами и приложениями. Основным источником данных для SIEM являются журналы регистрации событий, однако эти системы способны обрабатывать и другие типы данных, например, NetFlow и передаваемые по сети пакеты с данными. Данные о событиях комбинируются с контекстуальной информацией о пользователях, угрозах и слабых местах системы защиты. События, данные и контекстуальная информация из разных источников коррелируется и затем анализируется для мониторинга защиты сети, действий пользователя и проверки соответствия требованиям стандартов безопасности. Технологии SIEM обеспечивают мониторинг безопасности в реальном времени, анализ исторических данных и подготовку отчетов о выполнении требований стандартов безопасности. .
