На базе иностранных продуктов с открытым исходным кодом можно вполне построить полноценную систему защиты. Решения есть практически во всех классах, например, Wazuh (XDR), ELK и OpenSearch (SIEM), Snort и Suricata (IPS/NTA), PacketFence (NAC), pfSense (FW), MISP (TI), TheHive (IRP), Faraday (VM) и т.д.
Естественно их функционал в чём-то ограничен, в основном это отсутствие правил и экспертизы из коробки и отсутствие какой либо поддержки, но достаточен при наличии квалификации даже для большой компании. Дополнительно существуют платные enterprise-подписки на которые можно перейти и получить полный сервис.
В процессе импортозамещения у нас появилось много условно российских продуктов, в основе которых лежит open source. Начиная с банального перевода и перерисовки интерфейса для включения западного решения в реестр отечественного ПО, до ощутимой переработки Suricata в основе NGFW и ELK в основе SIEM.
Задумался, можно ли так же построить ИБ на базе нашего бесплатного и открытого ПО 🤔 Вносят ли отечественные вендоры ИБ вклад в российский open source?
Да, многие разработчики являются контрибьюторами в существующие западные решения, но есть ли примеры средств защиты, разработанных с нуля и выложенных для бесплатного использования сообществом внутри России?
Я вспомнил только платформу обнаружения и реагирования на целенаправленные атаки EDR - SOLDR от компаний CyberOK (коммерческая версия РУНА) и PT. Насколько помню PT анонсировали много open source разработок, но из активных я смог найти только SOLDR.
С одним решением, конечно, полноценную систему защиты на российском open source не построить.
❓Какие ещё есть подобные решения? Напишите, пожалуйста, если знаете.
#импортозамещение #решенияИБ