Разработка российской системы управления событиями информационной безопасности (SIEM) стартовала в 2014 году, после введения санкций иностранными компаниями против российских клиентов. За шесть лет разработчикам не только удалось создать качественный продукт, но и найти стратегического инвестора для дальнейшего развития компании — им стала группа компаний «Программный Продукт», представители которой в конце 2020 года вошли в состав учредителей компании RuSIEM. За счет стратегического инвестора компания рассчитывает активизировать свою деятельность на рынке и предложить российским и зарубежным пользователям новые технологии обнаружения вредоносной активности и организации автоматизированной защиты от нее.
Санкции и институты развития
После введения санкций стало понятно, что доминирующие на рынке в тот момент иностранные SIEM-решения могут в самый неподходящий момент отказаться от обслуживания российских клиентов. Тогда-то Максим Степченков и Олеся Шелестова и приступили к разработке российского SIEM-продукта. В 2016 году была образована компания RuSIEM, которая стала резидентом Сколково — собственно именно для получения льгот этого института развития 12 мая 2016 года и было образовано новое юридическое лицо. Первые два-три года продукт тестировался на дружественных клиентах, которые помогли сформировать базовый набор функционала. Правда, обычно друзья не готовы платить адекватные деньги, и компании пришлось искать другие методы финансирования
Для расширения круга для тестирования продукта RuSIEM выпустила бесплатную версию, которая фактически только собирает события, но не занимается их подробным анализам и тем более реагированием. Зато она позволила отработать технологии интеграции ядра системы с самыми разнообразными ИТ и ИБ решениями. Сейчас API для интеграции с любыми решениями открыт, и партнеры или сами клиенты компании могут использовать его для разработки коннектора для интеграции с новым источником информации. Сейчас у RuSIEM уже около 10 тыс. бесплатных пользователей продукта, некоторые из которых постепенно превращаются в коммерческих клиентов. Хотя процент конвертации пока и незначительный, тем не менее компания обеспечивает технической поддержкой как коммерческих, так и бесплатных пользователей.
С определенного момента компания начала строить партнерскую сеть, и на текущий момент у RuSIEM уже около сотни партнёров по всему миру, которые обеспечивают внедрение продукта в том числе и у иностранных клиентов. По заверениям Максима Степченкова у продукта есть внедрения и в Индии, и в Великобритании, и в некоторых африканских странах. Бизнес компания ведет исключительно через партнеров, среди которых есть практически все российские интеграторы. А недавно RuSIEM заключила и дистрибьюторское соглашение с компанией OCS. Появление стратегического инвестора, который к тому же реализовал несколько проектов для ГИБДД, Государственной думы, МФЦ Москвы и других клиентов, позволяет надеяться на устойчивое развитие компании в дальнейшем. И если на текущий момент в RuSIEM работает 70 сотрудников, то в течении ближайших двух лет компания рассчитывает нанять еще около 30 специалистов и ускорить разработку новых продуктов.
Планы на будущее
Собственно RuSEIM уже начала определенную трансформацию — в прошлом году она изменила схему лицензирования. Основной функционал SIEM — обработка сообщений о событиях, поступающих из систем журналирования (Syslog) и средств защиты с их последующим анализом и выявлением инцидентов безопасности. Производительность решения измеряется в количестве событий, сведения о которых система может обработать в секунду (Events Per Second — EPS). До недавнего времени у компании было три варианта поставки — 10 тыс., 20 тыс. и 30 тыс. EPS. В прошлом году было принято решение изменить сетку лицензирования — сделать девять различных вариантов поставки от 2 тыс. до 20 тыс. EPS. По словам коммерческого директора RuSIEM Александра Булатова цены получились несколько выше, чем раньше, но клиенты получили возможность выбрать наиболее подходящий для них вариант поставки SIEM-решения.
В дальнейшем компания собирается сделать свое решение модульным и предложить клиентам дополнительные функциональные возможности — реагирование на инциденты (IRP), аналитику и даже полноценное решение по оркестрации деятельности защиты (SOAR). В самое ближайшее время компания планирует интегрировать свою SIEM-систему с FinCERT и ГосСОПКА, а также с системами управления активами. До лета компания собирается выпустить базовый функционал системы реагирования на инциденты IRP, реализовать механизмы динамических списков правил для определения реакции на инциденты, а также разделить систему хранения на оперативную и архивную. Последняя позволит проводить ретроспективный анализ собираемых данных. На осень запланировано создание полноценной TI-платформы, которая будет работать с сообщениями об уязвимостях, инцидентами и индикаторами атаки. Кроме того к этому времени планируется разработка нескольких моделей искусственного интеллекта для решения некоторых задач по выявлению сложных атак, типа динамически меняющихся DNS-адресов. Также компания будет активнее заниматься облачными технологиями.
RuSIEM, войдя в группу компаний «Программный Продукт», получила как доступ к новым клиентам, так и более широкие финансовые возможности. В связи с этим планируется также проведение ребрендинга компании, который давно назрел. Также компания планирует провести серию маркетинговых мероприятий с партнерами и заказчиками для активизации своей коммерческой деятельности. Сейчас разработки компании уже включены в реестр российского ПО, а в ближайшем времени ожидается и получение сертификата ФСТЭК — многие компании считают сертификацию одним из важнейших критериев для покупки лицензии. RuSIEM уже имеет собственную тестовую лабораторию, однако насколько она соответствует требованиям стандарта на безопасную разработку — пока не ясно. Впрочем, у компании есть в том числе и большой потенциал для международного развития.
