ИБ-импортозамещение: MaxPatrol SIEM и MaxPatrol VM

Мы не случайно в последнее время много внимания уделяем импортозамещению в сфере инфраструктурного ПО. Ситуация с прикладными решениями проста – часто достаточно просто сделать выбор в соответствии с небольшим и понятным набором критериев. А вот с инфраструктурой – все куда сложнее, ведь речь идет о платформе, на которой развивается вся информационная система предприятия.

Но, помимо того, что инфраструктуру предстоит перевести на отечественную платформу, нужно обеспечить и ее защиту. Тем более, что в последние месяцы число угроз выросло многократно, а иностранные ИБ-вендоры тоже покинули российский рынок.

Сегодня поговорим об импортозамещении в сфере ИБ. А конкретнее – о решениях, которые нацелены на обеспечение комплексной безопасности всей инфраструктуры. И с успехом могут решить эту задачу.

Речь пойдет о двух решениях компании Positive Technologies, которая в излишних рекомендациях не нуждается. Российский вендор специализируется как раз на таких, «тяжелых» ИБ-решениях. Она развивает собственную платформу, MaxPatrol, которая объединяет целый ряд решений инфраструктурного класса. Расскажем о решениях, предназначенных для того, чтобы организовать эффективный мониторинг информационной безопасности.

Выявляем инциденты

Мы уже кратко рассказывали о том, что такое SIEM-система. Вернее, об одном из аспектов ее использования. Если коротко, то сама по себе она не предназначена для того, чтобы бороться с нападениями киберпреступников. Но ее задача не менее важна, если речь идет об обеспечении комплексной безопасности в масштабе предприятия.

Она анализирует информацию, которая поступает от самых разных узлов инфраструктуры, – антивирусов, DLP-системы, файерволов, маршрутизаторов, серверов, – на основе этого анализа выявляет отклонения от нормы и, при необходимости, сигнализирует администраторам о том, что необходимо принять меры.

SIEM-решение от Positive Technologies, MaxPatrol SIEM, предназначена для того, чтобы обеспечить прозрачность инфраструктуры и вовремя выявить инциденты, которые в ней происходят. Принцип ее действия основан на собственных механизмах мониторинга системы и их обогащении актуальной информацией, которую собирает и обрабатывает аналитический центр вендора.

Отслеживает информацию MaxPatrol SIEM по множеству протоколов, от простейшего Syslog и до таких, как ODBS, SSH или OPSEC. При этом, если коннекторов, которые имеются в базовой поставке решения нет, их всегда можно дополнить – у вендора имеется «запас» на все случаи. Каждое из событий система анализирует, приводит к общему стандарту, а затем формализует и стандартизирует. 

При этом стандартные параметры, которые задаются для каждого события, можно дополнять «от руки». Затем события, которые не имеют отношения к ИБ, отфильтровываются, а для остальных по заданным проводится анализ взаимосвязей, то есть корреляция. Именно на их основе (а ведь речь идет о миллионах событий!) и проводится выявление инцидентов. Как только взаимосвязь событий выявляется, система фиксирует инцидент и сообщает о нем оператору для того, чтобы предпринимались меры реагирования.

Чтобы понять масштабы, с которыми способна работать MaxPatrol SIEM, достаточно только одной характеристики. Она обрабатывает до 60 тысяч событий в секунду.

Особенность MaxPatrol SIEM состоит в том, что это – многокомпонентное решение. Основано оно на Core, «ядре» системы, в котором осуществляется централизованное управление ею. Хранение и агрегация собранной информации осуществляется вторым компонентом, Server, а за сканирование инфраструктуры отвечает многомодульная подсистема Agent.

Управление, что естественно для система такого масштаба, осуществляется через веб-интерфейс, при этом для каждого пользователя создаются специальные роли и права.

Подходит MaxPatrol SIEM для инфраструктур любого масштаба (рекомендуется этот продукт компаниям с числом сотрудников от 200 человек), -- даже предприятий, которые относятся к «нижнему» сегменту среднего бизнеса. Для таких организаций, кстати, система будет особенно актуальна: их инфраструктуры уже приобретают серьезный масштаб, они становятся «лакомой» целью для киберпреступников, а ИБ-специалисты могут просто не успевать за отслеживанием всех событий. Четко отделить норму от нарушения, сформировать картину инцидента и поможет SIEM.

Управляем уязвимостями

Все ли уязвимости выявил ИБ-сканер? И какие из определенных им «дыр» необходимо закрыть в первую очередь? А если уязвимости постоянно выявляются снова и снова, а ребята из ИТ никак не могут наконец устранить их? На все эти вопросы отвечать ИБ-специалисту приходится постоянно. И чтобы его работа не превратилась в бесконечную гонку за новыми пробоинами в обороне в РТ придумали новый подход к работе. Уязвимостями нужно управлять!

Так в продуктовом портфеле компании в 2021 году появился новый продукт – РТ MaxPatrol VM (VM так и расшифровывается – Vulnerability Management, то есть, управление уязвимостями). В основе этого продукта лежит хорошо известный принцип управления активами, Secure Asset Management (SAM). По сути, MaxPatrol VM – аналитическая система, которая позволяет в любой момент времени иметь объективную картину состояния системы безопасности информационной инфраструктуры предприятия.

Что же делает MaxPatrol VM? В первую очередь – собирает в режиме реального времени о состоянии инфраструктуры. Делать это можно и в активном режиме, так и в пассивном, -- это позволяет при необходимости актуализировать общую картину. При этом система как самостоятельно сканирует инфраструктуру, так и собирает данные из других источников (как каталогов Active Directory или гипервизоров, так и других систем информационной безопасности, той же MaxPatrol SIEM.

Собрав данные, MaxPatrol VM классифицирует и приоритезирует активы. Так ИБ-специалисты могут выделять наиболее важные и уязвимые узлы инфраструктуры, которые требуют наибольшего внимания. Группируются активы по самым разным признакам: сегментам сети, установленному ПО, операционкам и т. д. Для каждого из таких сегментов можно задать условия отслеживания изменений.

Третья задача, которую решает MaxPatrol VM – выявление уязвимостей, их приоритизация и исправление. Решение не просто использует данные собственного анализа, но и обогащается информацией о трендах киберпреступности – уязвимостях, которые наиболее активно используются хакерами в конкретный момент времени. Данные об актуальных трендах MaxPatrol VM сопоставляет с информацией об инфраструктуре и, таким образом, предоставляет информацию о наиболее критичных, с точки зрения безопасности, узлах. При этом оператор системы может корректировать информацию и расставлять приоритеты в ручном режиме.

Наконец, MaxPatrol VM всю собранную и проанализированную информацию собирает в структурированные отчеты. Это нужно и для решения текущих задач, и для предоставления данных руководству, и для комплексной оценки качества защищенности инфраструктуры предприятия.

Очень важное качество MaxPatrol VM – универсальность. Это решение можно использовать для того, чтобы комплексно управлять уязвимостями. А кроме того, его можно интегрировать в уже имеющуюся среду безопасности предприятия. Для того, чтобы развернуть MaxPatrol VM, потребуется сервер с 16-ядерным процессором, 64 Гбайт оперативки и 1 Тбайт на диске. Работает MaxPatrol VM на Windows Server начиная с версии 2012 R2.

MaxPatrol SIEM и MaxPatrol VM дают организации возможность не просто защититься от киберпреступников, но и построить проактивную защиту. В обороне важно не только обороняться от непосредственных угроз – системное представление о нападении, действиях противника и возможных рисках делает крепость (а инфраструктура предприятия, конечно же, настоящая крепость) практически неприступной.

Кстати, MaxPatrol SIEM и MaxPatrol VM позволяют организациям еще и обеспечить соответствие систем защиты требованиям регуляторов. Они, к слову, обязательны не только для банков, но и для страховых или клиринговых компаний, брокеров, различных фондов. Решения РТ помогут множеству таких компаний выполнить десятки технических требований, которые к ним предъявляются.