Top.Mail.Ru
Вход
Регистрация

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Kaspersky Unified Monitoring and Analysis Platform (KUMA): полный контроль над событиями в IT-инфраструктуре

Безопасность информации одна из важнейших задач для IT-подразделения организации любого размера и направления. Для успешной защиты инфраструктуры и противодействия атакам необходимо иметь четкое представление о происходящих внутри цифрового контура компании процессах, своевременно выявлять подозрительные события. В этом помогают системы класса SIEM.

IT-инфраструктура постоянно изменяется и расширяется, в ней появляются новые и новые звенья. Такой рост делает ее уязвимой. Одновременно с этим меняется ландшафт угроз: если несколько лет назад атаки в основном были массовыми – шифровальщики, эксплоиты, фишинг, компрометация учетных данных пользователей, – то сейчас все чаще встречаются таргетированные атаки, нацеленные на конкретную инфраструктуру и конкретную организацию, как частного, так и государственного сектора. Они более эффективны и опасны, требуют продвинутых решений для обнаружения и нейтрализации.

Увеличивается «средний чек» финансовых потерь от каждого инцидента: современная статистика говорит, что суммарные убытки от одной успешной атаки могут превышать миллион долларов. Работа с инцидентами становится все более ресурсоемкой и сложной: распознавание и купирование нацеленной атаки требует больших усилий и квалификации. При этом на рынке наблюдается серьезный дефицит специалистов по ИБ, а труд имеющихся зачастую используется неэффективно. Наконец, повышаются требования государственных регуляторов в части защиты данных, особенно в отношении объектов критической инфраструктуры.

В этих условиях важнейшее значение приобретают инструменты мониторинга, анализа и документирования происходящих в инфраструктуре событий. Они позволяют своевременно выявлять подозрительные активности, ретроспективно анализировать происходящее во внутреннем IT-периметре и запускать соответствующие меры противодействия. К таким инструментам относятся системы управления информационной и событийной безопасностью (SIEM), объединяющие функционал систем SIM (Security Information Management) и SEM (Security Event Management).


Системы SIEM

Первый компонент SIEM – SIM – занимается сбором, агрегацией и анализом связанной с безопасностью информации. Обычно эта система фокусируется на данных статического характера, таких как журналы событий, конфигурационные данные и другие структурированные данные. Например, она отвечает за хранение и анализ журналов событий, аудит конфигурации систем, управление учетными записями и привилегиями. Ретроспективный анализ таких данных позволяет выявлять подозрительные паттерны и предотвращать ранее неизвестные атаки.

SEM ориентирована на управление событиями в реальном времени. Она занимается мониторингом и анализом динамических данных о безопасности, например, событий, возникающих на сетевых устройствах, приложениях и конечных точках. Эта система позволяет реагировать на потенциальные угрозы в момент их возникновения.

Системы SIEM существуют на рынке давно, зарекомендовали себя как эффективное средство защиты. Однако меняющиеся условия приводят к новым вызовам:

  • Разрозненные средства защиты усложняют работу специалистов ИБ, отнимают ресурсы, повышают стоимость владения;
  • Для упрощения и ускорения реагирования необходимо собирать контекстную информацию о событиях;
  • Старые системы обладают очень высокими требованиями к производительности;
  • Уход западных решений с российского рынка требует наличия отечественных альтернатив;
  • Постоянное усложнение регуляторных требований в области ИБ, особенно для критической инфраструктуры, в том числе по взаимодействию с НКЦКИ.

Подобные вызовы привели к появлению нового поколения SIEM: они разработаны с нуля, чтобы соответствовать современным объемам информации, могут обрабатывать больше событий, имеют сравнительно низкие системные требования, более эффективны.

Одна из таких систем нового поколения – Kaspersky Unified Monitoring and Analysis Platform (KUMA)


Kaspersky Unified Monitoring and Analysis Platform (KUMA)

KUMA – SIEM-система от «Лаборатории Касперского», единый информационно-аналитический центр платформы безопасности для обнаружения и реагирования на современные сложные атаки и киберугрозы, необходимый узел для реализации комплексного подхода к защите инфраструктуры компании.

Основные функции KUMA соответствуют требованиям к современной SIEM-системе и включают в себя:

  • Централизованный мониторинг: KUMA позволяет собирать данные о безопасности из различных источников, таких как журналы событий, сетевые устройства, приложения и конечные точки. Эти данные агрегируются и представляются в едином интерфейсе для обеспечения централизованного мониторинга безопасности.
  • Анализ и обнаружение угроз: платформа оснащена мощными аналитическими инструментами, которые позволяют выявлять аномалии, атаки и другие потенциальные бреши в безопасности. Алгоритмы машинного обучения и эффективной работы с инцидентами помогают обнаруживать нестандартные и скрытые угрозы.
  • Реагирование на инциденты: KUMA предоставляет возможности для автоматизации реагирования на инциденты. Они включают автоматическое блокирование подозрительных действий, отправку уведомлений и запуск интегрированных решений для нейтрализации угроз.
  • Отчетность и аналитика: платформа предоставляет разнообразные инструменты для создания отчетов и анализа безопасности. Это позволяет организациям оценить свой уровень безопасности, выявить уязвимости и принимать меры для их устранения.
  • Интеграция с другими продуктами безопасности: KUMA легко интегрируется с другими продуктами и системами безопасности, такими как антивирусное программное обеспечение, системы управления доступом и многое другое. Это обеспечивает единый интерфейс для мониторинга и управления безопасностью.

Архитектурно система состоит из центра управления, коррелятора, коллектора и хранилища. Оповещения приходят по протоколу SMTP, реагирование осуществляется через интеграции с внешними системами. Инвентаризация может осуществляться в том числе с помощью Kaspersky Security Center, обогащение – с Kaspersky Threat Intelligence (одной из наиболее полных и достоверных баз ИБ в мире)․ «Из коробки» поддерживаются источники как с открытым кодом (Apache, DNS BIND, Postfix и др.), так и проприетарные решения от крупнейших игроков рынка. Присутствует поддержка Multitenancy: работа с несколькими независимыми клиентами (тенантами), разделение прав доступа, ограничения EPS для каждого тенанта.

 

Актуальность и преимущества KUMA

Среди ключевых особенностей KUMA, делающих эту систему актуальной для текущей ситуации в ИБ, в том числе на российском рынке, выделяются:

  • Ситуационная осведомленность и аналитика: KUMA содержит информативные дашборды и отчеты по актуальному состоянию ИБ для отслеживания трендов и операционной работы по выявлению аномалий;
  • Мониторинг безопасности: непрерывная корреляция потока событий от различных источников;
  • Реагирование на инциденты в связке с другими решениями: единая консоль позволяет обогащать карточки инцидентов дополнительной информацией и запускать задачи реагирования. Это могут быть как решения «Лаборатории Касперского», так и сторонние разработки;
  • Поддержка отечественной ОС Astra Linux;
  • Проактивный поиск угроз: быстрый поиск СУБД ClickHouse по всей собранной базе, как с помощью SQL-запросов, так и ретроспективной корреляции для выявления подозрительных цепочек событий;
  • Соответствие требованиям регуляторов: сертификат ФСТЭК, включена в реестр отечественного ПО, выполняет требования ФЗ-187 и приказа ФСТЭК №239, интегрирована с НКЦКИ (модуль ГосСОПКА);
  • Автоматическое обновление репозитария (пакеты с новыми правилами корреляции и коннекторами к источникам данных о событиях).

Среди преимуществ KUMA над решениями других вендоров – высокая производительность (от 300 тыс EPS на один узел), сравнительно низкие системные требования, единый интерфейс веб-консоли, возможность интеграции с различными источниками «из коробки». Еще один важный плюс – масштабирование системы за счет гибкой микросервисной архитектуры и возможность подключения собственных интеграционных модулей по REST API. Система обладает низким порогом входа и может быть развернута без привлечения дорогостоящих сторонних специалистов.


Выводы

Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой мощный инструмент, отвечающий современным требованиям информационной безопасности. Он может использоваться как в корпоративной, так и в промышленной среде, обеспечивая прозрачность происходящих внутри IT-инфраструктуры процессов, видимость потенциальных угроз и быстроту реакции на них.  Сочетание высокой производительности, широких функциональных возможностей и надежности делает KUMA привлекательным выбором для компаний, стремящихся обеспечить безопасности своих данных.

Специалисты компании «Системный софт» всегда готовы рассказать об этой системе подробнее, продемонстрировать его работу, помочь интегрировать ее в инфраструктуру компании, подключив к имеющимся точкам сбора информации и решениям для нейтрализации угроз.



Самое читаемое

382 | ВебинарыПереход на EvaTeam: онлайн мастер-класс по миграции с Atlassian 378 | Новости Syssoft«Системный софт» объявляет о получении серебряного статуса партнера SimpleOne 314 | Акции и скидкиБесплатное внедрение серверной виртуализации SpaceVM 270 | Новости SyssoftРуководитель отдела общего ПО, Егор Трисеев, выступил на конференции «EvaConf 2024» с докладом «Перспективы развития рынка BPMS в России: опыт лидера по версии CNews 2022г» 223 | Новости вендоровСканер-ВС 6 получил сертификат ФСТЭК по 4-му уровню доверия 123 | Новости SyssoftРазработчик гиперконвергентной платформы vStack и «Системный софт» подписали соглашение о партнерстве 111 | ВебинарыUEM SafeMobile: управление мобильными устройствами и защита корпоративных данных 98 | ВебинарыПодготовка ЦИМ наружных сетей в nanoCAD GeoniCS к прохождению экспертизы 32 | Новости вендоровНовая версия РЕД АДМ Промышленная редакция 1.1.1.
676 | SoftPowerTDMS Фарватер – эффективный инструмент управления BIM-проектами 624 | Акции и скидкиТруконф безвозмездно предоставляет лицензии на корпоративный мессенджер и ВКС-платформу TrueConf Serveс при переходе с решений Microsoft 515 | Записи вебинаровАвтоматизация обработки документации с интеллектуальной обработкой от Content AI (ex-ABBYY) 507 | Записи вебинаровИнтервью о новом продукте SimpleOne SDLC: "Как управлять разработкой ПО" 503 | Записи вебинаровКак организовать ТИМ на базе Платформы nanoCAD 492 | Записи вебинаровПодготовка информационной модели к прохождению государственной экспертизы с помощью BIMIT 490 | Записи вебинаровPRO32 Endpoint Security - надёжная защита конечных точек 486 | Записи вебинаровЦифровизация торговых сетей с помощью BPM-системы «Первая Форма». Кейс ВкусВилл. 481 | Записи вебинаровTest IT: Переход на российское ПО и как помочь командам QA? 480 | Записи вебинаровReClouds и nanoCAD GeoniCS –комбинация для точного проектирования и подсчёта объёмов работ 478 | Записи вебинаровВиртуализация zVirt: удобная миграция с VMware аварийное восстановление на резервной площадке 475 | Записи вебинаровRConf: российская платформа защищенных коммуникаций с искусственным интеллектом 465 | Новости вендоровКомпания «СайберПик» объявила о получении сертификата ФСТЭК России на DCAP/DAG решение «Спектр» 428 | Новости Syssoft«Системный софт» будет поставлять бизнесу корпоративный мессенджер Compass 399 | Новости Syssoft«Системный софт» и производитель low-code платформы Scalaxi заключили соглашение о партнерстве 382 | ВебинарыПереход на EvaTeam: онлайн мастер-класс по миграции с Atlassian