Top.Mail.Ru
Вход
Регистрация

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Безопасность информации одна из важнейших задач для IT-подразделения организации любого размера и направления. Для успешной защиты инфраструктуры и противодействия атакам необходимо иметь четкое представление о происходящих внутри цифрового контура компании процессах, своевременно выявлять подозрительные события. В этом помогают системы класса SIEM.

IT-инфраструктура постоянно изменяется и расширяется, в ней появляются новые и новые звенья. Такой рост делает ее уязвимой. Одновременно с этим меняется ландшафт угроз: если несколько лет назад атаки в основном были массовыми – шифровальщики, эксплоиты, фишинг, компрометация учетных данных пользователей, – то сейчас все чаще встречаются таргетированные атаки, нацеленные на конкретную инфраструктуру и конкретную организацию, как частного, так и государственного сектора. Они более эффективны и опасны, требуют продвинутых решений для обнаружения и нейтрализации.

Увеличивается «средний чек» финансовых потерь от каждого инцидента: современная статистика говорит, что суммарные убытки от одной успешной атаки могут превышать миллион долларов. Работа с инцидентами становится все более ресурсоемкой и сложной: распознавание и купирование нацеленной атаки требует больших усилий и квалификации. При этом на рынке наблюдается серьезный дефицит специалистов по ИБ, а труд имеющихся зачастую используется неэффективно. Наконец, повышаются требования государственных регуляторов в части защиты данных, особенно в отношении объектов критической инфраструктуры.

В этих условиях важнейшее значение приобретают инструменты мониторинга, анализа и документирования происходящих в инфраструктуре событий. Они позволяют своевременно выявлять подозрительные активности, ретроспективно анализировать происходящее во внутреннем IT-периметре и запускать соответствующие меры противодействия. К таким инструментам относятся системы управления информационной и событийной безопасностью (SIEM), объединяющие функционал систем SIM (Security Information Management) и SEM (Security Event Management).


Системы SIEM

Первый компонент SIEM – SIM – занимается сбором, агрегацией и анализом связанной с безопасностью информации. Обычно эта система фокусируется на данных статического характера, таких как журналы событий, конфигурационные данные и другие структурированные данные. Например, она отвечает за хранение и анализ журналов событий, аудит конфигурации систем, управление учетными записями и привилегиями. Ретроспективный анализ таких данных позволяет выявлять подозрительные паттерны и предотвращать ранее неизвестные атаки.

SEM ориентирована на управление событиями в реальном времени. Она занимается мониторингом и анализом динамических данных о безопасности, например, событий, возникающих на сетевых устройствах, приложениях и конечных точках. Эта система позволяет реагировать на потенциальные угрозы в момент их возникновения.

Системы SIEM существуют на рынке давно, зарекомендовали себя как эффективное средство защиты. Однако меняющиеся условия приводят к новым вызовам:

  • Разрозненные средства защиты усложняют работу специалистов ИБ, отнимают ресурсы, повышают стоимость владения;
  • Для упрощения и ускорения реагирования необходимо собирать контекстную информацию о событиях;
  • Старые системы обладают очень высокими требованиями к производительности;
  • Уход западных решений с российского рынка требует наличия отечественных альтернатив;
  • Постоянное усложнение регуляторных требований в области ИБ, особенно для критической инфраструктуры, в том числе по взаимодействию с НКЦКИ.

Подобные вызовы привели к появлению нового поколения SIEM: они разработаны с нуля, чтобы соответствовать современным объемам информации, могут обрабатывать больше событий, имеют сравнительно низкие системные требования, более эффективны.

Одна из таких систем нового поколения – Kaspersky Unified Monitoring and Analysis Platform (KUMA)


Kaspersky Unified Monitoring and Analysis Platform (KUMA)

KUMA – SIEM-система от «Лаборатории Касперского», единый информационно-аналитический центр платформы безопасности для обнаружения и реагирования на современные сложные атаки и киберугрозы, необходимый узел для реализации комплексного подхода к защите инфраструктуры компании.

Основные функции KUMA соответствуют требованиям к современной SIEM-системе и включают в себя:

  • Централизованный мониторинг: KUMA позволяет собирать данные о безопасности из различных источников, таких как журналы событий, сетевые устройства, приложения и конечные точки. Эти данные агрегируются и представляются в едином интерфейсе для обеспечения централизованного мониторинга безопасности.
  • Анализ и обнаружение угроз: платформа оснащена мощными аналитическими инструментами, которые позволяют выявлять аномалии, атаки и другие потенциальные бреши в безопасности. Алгоритмы машинного обучения и эффективной работы с инцидентами помогают обнаруживать нестандартные и скрытые угрозы.
  • Реагирование на инциденты: KUMA предоставляет возможности для автоматизации реагирования на инциденты. Они включают автоматическое блокирование подозрительных действий, отправку уведомлений и запуск интегрированных решений для нейтрализации угроз.
  • Отчетность и аналитика: платформа предоставляет разнообразные инструменты для создания отчетов и анализа безопасности. Это позволяет организациям оценить свой уровень безопасности, выявить уязвимости и принимать меры для их устранения.
  • Интеграция с другими продуктами безопасности: KUMA легко интегрируется с другими продуктами и системами безопасности, такими как антивирусное программное обеспечение, системы управления доступом и многое другое. Это обеспечивает единый интерфейс для мониторинга и управления безопасностью.

Архитектурно система состоит из центра управления, коррелятора, коллектора и хранилища. Оповещения приходят по протоколу SMTP, реагирование осуществляется через интеграции с внешними системами. Инвентаризация может осуществляться в том числе с помощью Kaspersky Security Center, обогащение – с Kaspersky Threat Intelligence (одной из наиболее полных и достоверных баз ИБ в мире)․ «Из коробки» поддерживаются источники как с открытым кодом (Apache, DNS BIND, Postfix и др.), так и проприетарные решения от крупнейших игроков рынка. Присутствует поддержка Multitenancy: работа с несколькими независимыми клиентами (тенантами), разделение прав доступа, ограничения EPS для каждого тенанта.

 

Актуальность и преимущества KUMA

Среди ключевых особенностей KUMA, делающих эту систему актуальной для текущей ситуации в ИБ, в том числе на российском рынке, выделяются:

  • Ситуационная осведомленность и аналитика: KUMA содержит информативные дашборды и отчеты по актуальному состоянию ИБ для отслеживания трендов и операционной работы по выявлению аномалий;
  • Мониторинг безопасности: непрерывная корреляция потока событий от различных источников;
  • Реагирование на инциденты в связке с другими решениями: единая консоль позволяет обогащать карточки инцидентов дополнительной информацией и запускать задачи реагирования. Это могут быть как решения «Лаборатории Касперского», так и сторонние разработки;
  • Поддержка отечественной ОС Astra Linux;
  • Проактивный поиск угроз: быстрый поиск СУБД ClickHouse по всей собранной базе, как с помощью SQL-запросов, так и ретроспективной корреляции для выявления подозрительных цепочек событий;
  • Соответствие требованиям регуляторов: сертификат ФСТЭК, включена в реестр отечественного ПО, выполняет требования ФЗ-187 и приказа ФСТЭК №239, интегрирована с НКЦКИ (модуль ГосСОПКА);
  • Автоматическое обновление репозитария (пакеты с новыми правилами корреляции и коннекторами к источникам данных о событиях).

Среди преимуществ KUMA над решениями других вендоров – высокая производительность (от 300 тыс EPS на один узел), сравнительно низкие системные требования, единый интерфейс веб-консоли, возможность интеграции с различными источниками «из коробки». Еще один важный плюс – масштабирование системы за счет гибкой микросервисной архитектуры и возможность подключения собственных интеграционных модулей по REST API. Система обладает низким порогом входа и может быть развернута без привлечения дорогостоящих сторонних специалистов.


Выводы

Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой мощный инструмент, отвечающий современным требованиям информационной безопасности. Он может использоваться как в корпоративной, так и в промышленной среде, обеспечивая прозрачность происходящих внутри IT-инфраструктуры процессов, видимость потенциальных угроз и быстроту реакции на них.  Сочетание высокой производительности, широких функциональных возможностей и надежности делает KUMA привлекательным выбором для компаний, стремящихся обеспечить безопасности своих данных.

Специалисты компании «Системный софт» всегда готовы рассказать об этой системе подробнее, продемонстрировать его работу, помочь интегрировать ее в инфраструктуру компании, подключив к имеющимся точкам сбора информации и решениям для нейтрализации угроз.



Самое читаемое

306 | SoftPowerСовместная работа в CADLib на базе продуктов Model Studio CS 255 | Новости вендоровКомпания «Нанософт» объявила о выходе Платформы nanoCAD под Linux для операционной системы РОСА Хром 247 | Новости вендоровКомпания Витро Софт объявила о выпуске новой версии Vitro-CAD 2024.1 243 | Новости вендоровКомпания «Нанософт» объявила о выходе технического обновления системы управления проектированием - TDMS Фарватер 24.1 198 | Новости вендоровPostgres Pro Enterprise Manager 1.5: обновление платформы для управления и мониторинга СУБД Postgres Pro 164 | Акции и скидкиСпециальные условия на покупку ПК ЛИРА 10 летом 2024 года 100 | Акции и скидкиЗащитите свой бизнес с выгодой: экономия до 33% на межсетевые экраны UserGate C100, D200, D500 64 | Акции и скидкиСпециальное предложение от МТС Линк при переходе с MS Teams, Zoom, Slack и других зарубежных ВКС-решений 33 | Новости вендоровКомпания ТруКонф выпустила обновление своего ВКС-сервера - TrueConf MCU 2.1 29 | Новости вендоровКомпания SimpleOne объявила о выпуске обновления SimpleOne SDLC версии 1.2.0.
933 | Акции и скидкиСпеццены на 3D САПР nanoCAD Механика PRO: от 1000 рублей в 2024 году 615 | Новости Syssoft«Системный софт» и GAGAR>N подписали соглашение о партнерстве 521 | Новости Syssoft«Системный софт» и Группа «Самолет» подписали соглашение о технологическом партнерстве 520 | Новости вендоров«Базальт СПО» выпустила 11-ю программную платформу. Выход продуктов на базе p11 планируется осенью 2024 года 514 | Новости вендоровРОСА Хром получила сертификат ФСТЭК 507 | Записи вебинаровКорпоративный почтовый сервер RuPost для организации любого масштаба 488 | Записи вебинаровCADLib оптимальная СОД для организации ТИМ на базе Платформы nanoCAD 447 | Новости Syssoft«Системный софт» стал крупнейшим партнером по продаже PRO32 Connect 447 | Акции и скидкиАкция до конца лета на решения Pixso и Boardmix – альтернатива популярным решениям Figma и Miro. 424 | Акции и скидкиПерейди со Slack, Teams или ICQ на российский Compass со скидкой 30% до конца года 421 | Новости вендоровОбновление мессенджера Compass: видеоконференции на 500+ участников 411 | Записи вебинаровКак создать профессиональный отчет с диаграммами в Редакторе презентаций от Р7 Офис с помощью Slider 306 | SoftPowerСовместная работа в CADLib на базе продуктов Model Studio CS 255 | Новости вендоровКомпания «Нанософт» объявила о выходе Платформы nanoCAD под Linux для операционной системы РОСА Хром 247 | Новости вендоровКомпания Витро Софт объявила о выпуске новой версии Vitro-CAD 2024.1 243 | Новости вендоровКомпания «Нанософт» объявила о выходе технического обновления системы управления проектированием - TDMS Фарватер 24.1