Защита ИТ-инфраструктуры крупных компаний или промышленных объектов всегда подразумевает наличие в штате организации высококлассных специалистов в области ИБ, способных не только вовремя выявить угрозу, но и эффективно ей противостоять. А в случае необходимости и провести расследование инцидента.

Для выполнения этой работы им требуется доступ к огромным массивам информации. Чтобы не упустить ничего важного и вовремя заметить признаки подозрительной активности, эксперты по ИБ используют системы мониторинга и управления событиями безопасности – SIEM.

Как работает SIEM

Решения класса SIEM (Security information and event management) уже не являются чем-то новым. Это довольно зрелый рынок, на котором, по мнению аналитиков Gartner, сейчас доминируют иностранные компании, такие как IBM, Exabeam, Securonix и другие. При этом, в условиях политики импортозамещения некоторые из вендоров ушли с российского рынка, например Splunk.

В несколько упрощенном виде SIEM можно описать как систему, собирающую логи и данные о разных событиях из множества источников. Она приводит их в единый формат и автоматически коррелирует между собой в поисках аномальной активности и признаков инцидентов ИБ. 

Результатом работы SIEM является поток оповещений с разными приоритетами, на основе которого специалисты ИБ могут делать выводы о состоянии защищаемой инфраструктуры. Кроме того, SIEM могут предоставить разные формы отчетов по собранным данным и выступать как единое хранилище логов.

SIEM помогают решать три основные задачи:

• Обнаружение сложных угроз ИБ на основании найденных признаков «цепочки атаки» (kill chain).

• Расследование инцидентов путем анализа приведенных к общему виду логов, хранящихся в одном месте.

• Соответствовать требованиям регуляторов. В России, например, SIEM является одним из обязательных инструментов ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации).

Чего не хватает SIEM

Проблема признанных мировых решений класса SIEM заключается в том, что все они были созданы много лет назад. Их ядро изначально разрабатывалось под совсем иные, чем сейчас, объемы циркулирующей в корпоративной инфраструктуре информации. Несмотря на все обновления, коренным образом переработать такой сложный продукт крайне непросто. В результате большинство SIEM «с историей» несут в себе ряд недостатков:

• С трудом справляются с текущими объемами данных.

• Сложны во внедрении, эксплуатации и плохо поддаются масштабированию.

• Имеют весьма высокую стоимость владения, если учитывать зарплату опытных экспертов ИБ, без которых SIEM не сможет продемонстрировать весь свой потенциал.

Что такое NG-SIEM

Ответом на эти вызовы стал новый класс решений, известный сейчас под рабочим названием NG-SIEM (Next Generation SIEM). При сохранении базовых функций продукта производители SIEM стремятся упростить обнаружение атак (в том числе с использованием ИИ) и снизить объем рутинных операций (с помощью автоматизации, оркестрации, интеграции со сторонними системами). При этом очень важной остается работа по инвентаризации активов, обнаружению признаков атак, расследованию инцидентов.

В этих условиях определенное преимущество получают новые защитные решения, которые с рождения несут в себе идеологию NG-SIEM, но при этом не содержат legacy-компонентов, тормозящих развитие программного продукта. Одним из таких решений можно с уверенностью назвать Kaspersky Unified Monitoring and Analysis Platform (единую платформу «Лаборатории Касперского» для мониторинга и анализа инцидентов ИБ), представленную в конце 2020 года.

Платформа KUMA

Решение Kaspersky Unified Monitoring and Analysis Platform (KUMA) является одним из главных элементов экосистемы кибербезопасности Kaspersky Expert Security, сочетающей в себе:

• Средства мониторинга и реагирования

• Инструменты оркестрации и автоматизации

• Возможность управления всей платформой из единой консоли

Заказчик KUMA имеет возможность выбирать только необходимые модули, а также объединять их в интегрированные системы, включающие продукты сторонних поставщиков.

В роли центрального компонента платформы ИБ KUMA обеспечивает следующие ключевые преимущества по сравнению с решениями конкурентов:

• Производительность 300 тыс. событий/сек. на одну ноду коррелятора. Так как система «из коробки» позволяет создавать отказоустойчивые конфигурации с балансировкой нагрузки, показатель производительности может быть повышен в несколько раз.

• Так как KUMA создавалась «с нуля», в ней изначально была использована современная микросервисная архитектура с большим запасом масштабируемости.

• Расход вычислительной нагрузки на обработку события соответствует лучшему мировому уровню.

• В базовой комплектации KUMA содержит все необходимое для интеграции как с другими продуктами «Лаборатории Касперского», так и со сторонними решениями.

Каждый компонент платформы представлен в виде отдельного микросервиса. Обладая достаточной независимостью друг от друга, вместе они формируют основные элементы SIEM – ядро, коллекторы, корреляторы и пр. Нашлось место и компонентам с открытым исходным кодом. Так в KUMA применяются ClickHouse, MongoDB, Prometheus и Grafana.

Отдельные компоненты платформы могут взаимодействовать между собой как напрямую, так и через брокера сообщений – поддерживаются Kafka и NATS. Кроме того, KUMA может быть развернута на распределенной инфраструктуре. Например, в филиале могут быть установлены только коллекторы или полноценная система со своими политиками, администраторами и пр. Во втором случае головной офис будет получать только обработанные события.

Источники данных

Основой функционирования любой SIEM является сбор данных с обширной сенсорной сети. В настоящее время KUMA не только умеет получать данные от всех продуктов своего производителя, например, Cyber Trace для обогащения данными от Threat intelligence, но и содержит большое количество коннекторов и парсеров для получения событий от FortiGate, NetFlow, Cisco, nginx, Apache, VMware и многих других решений. Причем спектр таких коннекторов постоянно расширяется вслед за растущими требованиями клиентов.

Плюс к этому, KUMA поддерживает многие форматы логов и виды транспорта данных, что позволяет заказчикам самостоятельно создавать интеграции при помощи простого визуального редактора.

Проверить свои знания в области информационной безопасности и продуктов «Лаборатории Касперского» вы можете в нашем тематическом квизе. Победители получат сертификат.