Вход
Регистрация

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

Защита ИТ-инфраструктуры крупных компаний или промышленных объектов всегда подразумевает наличие в штате организации высококлассных специалистов в области ИБ, способных не только вовремя выявить угрозу, но и эффективно ей противостоять. А в случае необходимости и провести расследование инцидента.

Для выполнения этой работы им требуется доступ к огромным массивам информации. Чтобы не упустить ничего важного и вовремя заметить признаки подозрительной активности, эксперты по ИБ используют системы мониторинга и управления событиями безопасности – SIEM.

Как работает SIEM

Решения класса SIEM (Security information and event management) уже не являются чем-то новым. Это довольно зрелый рынок, на котором, по мнению аналитиков Gartner, сейчас доминируют иностранные компании, такие как IBM, Exabeam, Securonix и другие. При этом, в условиях политики импортозамещения некоторые из вендоров ушли с российского рынка, например Splunk.

В несколько упрощенном виде SIEM можно описать как систему, собирающую логи и данные о разных событиях из множества источников. Она приводит их в единый формат и автоматически коррелирует между собой в поисках аномальной активности и признаков инцидентов ИБ. 

Результатом работы SIEM является поток оповещений с разными приоритетами, на основе которого специалисты ИБ могут делать выводы о состоянии защищаемой инфраструктуры. Кроме того, SIEM могут предоставить разные формы отчетов по собранным данным и выступать как единое хранилище логов.

SIEM помогают решать три основные задачи:

  • Обнаружение сложных угроз ИБ на основании найденных признаков «цепочки атаки» (kill chain).

  • Расследование инцидентов путем анализа приведенных к общему виду логов, хранящихся в одном месте.

  • Соответствовать требованиям регуляторов. В России, например, SIEM является одним из обязательных инструментов ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации).

Чего не хватает SIEM

Проблема признанных мировых решений класса SIEM заключается в том, что все они были созданы много лет назад. Их ядро изначально разрабатывалось под совсем иные, чем сейчас, объемы циркулирующей в корпоративной инфраструктуре информации. Несмотря на все обновления, коренным образом переработать такой сложный продукт крайне непросто. В результате большинство SIEM «с историей» несут в себе ряд недостатков:

  • С трудом справляются с текущими объемами данных.

  • Сложны во внедрении, эксплуатации и плохо поддаются масштабированию.

  • Имеют весьма высокую стоимость владения, если учитывать зарплату опытных экспертов ИБ, без которых SIEM не сможет продемонстрировать весь свой потенциал.

Что такое NG-SIEM

Ответом на эти вызовы стал новый класс решений, известный сейчас под рабочим названием NG-SIEM (Next Generation SIEM). При сохранении базовых функций продукта производители SIEM стремятся упростить обнаружение атак (в том числе с использованием ИИ) и снизить объем рутинных операций (с помощью автоматизации, оркестрации, интеграции со сторонними системами). При этом очень важной остается работа по инвентаризации активов, обнаружению признаков атак, расследованию инцидентов.

В этих условиях определенное преимущество получают новые защитные решения, которые с рождения несут в себе идеологию NG-SIEM, но при этом не содержат legacy-компонентов, тормозящих развитие программного продукта. Одним из таких решений можно с уверенностью назвать Kaspersky Unified Monitoring and Analysis Platform (единую платформу «Лаборатории Касперского» для мониторинга и анализа инцидентов ИБ), представленную в конце 2020 года.

Платформа KUMA

Решение Kaspersky Unified Monitoring and Analysis Platform (KUMA) является одним из главных элементов экосистемы кибербезопасности Kaspersky Expert Security, сочетающей в себе:

  • Средства мониторинга и реагирования

  • Инструменты оркестрации и автоматизации

  • Возможность управления всей платформой из единой консоли

Заказчик KUMA имеет возможность выбирать только необходимые модули, а также объединять их в интегрированные системы, включающие продукты сторонних поставщиков.

В роли центрального компонента платформы ИБ KUMA обеспечивает следующие ключевые преимущества по сравнению с решениями конкурентов:

  • Производительность 300 тыс. событий/сек. на одну ноду коррелятора. Так как система «из коробки» позволяет создавать отказоустойчивые конфигурации с балансировкой нагрузки, показатель производительности может быть повышен в несколько раз.

  • Так как KUMA создавалась «с нуля», в ней изначально была использована современная микросервисная архитектура с большим запасом масштабируемости.

  • Расход вычислительной нагрузки на обработку события соответствует лучшему мировому уровню.

  • В базовой комплектации KUMA содержит все необходимое для интеграции как с другими продуктами «Лаборатории Касперского», так и со сторонними решениями.

Каждый компонент платформы представлен в виде отдельного микросервиса. Обладая достаточной независимостью друг от друга, вместе они формируют основные элементы SIEM – ядро, коллекторы, корреляторы и пр. Нашлось место и компонентам с открытым исходным кодом. Так в KUMA применяются ClickHouse, MongoDB, Prometheus и Grafana.

Отдельные компоненты платформы могут взаимодействовать между собой как напрямую, так и через брокера сообщений – поддерживаются Kafka и NATS. Кроме того, KUMA может быть развернута на распределенной инфраструктуре. Например, в филиале могут быть установлены только коллекторы или полноценная система со своими политиками, администраторами и пр. Во втором случае головной офис будет получать только обработанные события.

Источники данных

Основой функционирования любой SIEM является сбор данных с обширной сенсорной сети. В настоящее время KUMA не только умеет получать данные от всех продуктов своего производителя, например, Cyber Trace для обогащения данными от Threat intelligence, но и содержит большое количество коннекторов и парсеров для получения событий от FortiGate, NetFlow, Cisco, nginx, Apache, VMware и многих других решений. Причем спектр таких коннекторов постоянно расширяется вслед за растущими требованиями клиентов.

Плюс к этому, KUMA поддерживает многие форматы логов и виды транспорта данных, что позволяет заказчикам самостоятельно создавать интеграции при помощи простого визуального редактора.

Проверить свои знания в области информационной безопасности и продуктов «Лаборатории Касперского» вы можете в нашем тематическом квизе. Победители получат сертификат.

Самое читаемое

549 | SoftPowerКак продукты Quest Software помогают контролировать изменения в инфраструктуре 471 | Новости вендоровПервая масштабная презентация nanoCAD BIM. Российские BIM-технологии в реальных проектах. 2 декабря, онлайн 414 | Акции и скидкиSketchUp устроит «чёрную пятницу» 397 | Акции и скидки«Чёрная пятница» от AnyDesk 314 | Анонсы вебинаровДополненная реальность и удаленное управление в "удаленном мире" 272 | Новости вендоровВ начале декабря пройдет Veritas Solution Day 2021 247 | Акции и скидкиКибернеделя: продукты TeamViewer подешевеют на треть 187 | SoftPowerЧто нового в SOLIDWORKS 2022 155 | Новости вендоровУспейте приобрести тарифные планы Microsoft 365 и Office 365 до изменения цен 134 | Акции и скидкиСкидки до 40% на продукты Citrix 129 | Анонсы вебинаровОпыт компании Can Touch по подготовке моделей для 3D-печати и литья с использованием SOLIDWORKS 129 | Акции и скидкиЦена пакета Microsoft Office Home and Business 2019 снижена 125 | Анонсы вебинаровЧто такое Nginx App Protect и зачем он нужен 107 | Акции и скидкиСкидки до 40% на продукты «ЛИРА софт» 38 | Акции и скидкиРешение vSphere with Tanzu доступно со скидкой 50%
1450 | SoftPowerКак инструменты Mentor экономят время и средства разработчиков микроэлектроники 1123 | SoftPowerВозможности Archicad 25: взгляд архитектора 693 | Акции и скидкиОбновление Archicad доступно со скидкой 50% 676 | Акции и скидкиTeamViewer Remote Monitoring и Asset Management в составе стандартной лицензии Corporate без дополнительной платы 549 | SoftPowerКак продукты Quest Software помогают контролировать изменения в инфраструктуре 528 | Акции и скидкиTeamViewer представляет решение для образовательных учреждений 471 | Новости вендоровПервая масштабная презентация nanoCAD BIM. Российские BIM-технологии в реальных проектах. 2 декабря, онлайн 450 | Записи вебинаровAzure Monitor: мониторинг локальной и облачной инфраструктуры 435 | Записи вебинаровAnyDesk. Программа удаленного рабочего стола, которая действительно работает 434 | Записи вебинаровЧто такое Nginx Ingress Controller и зачем он нужен 414 | Акции и скидкиSketchUp устроит «чёрную пятницу» 414 | Записи вебинаровAdobe 3D Colleсtion - свежие идеи, изменения в лицензировании 397 | Акции и скидки«Чёрная пятница» от AnyDesk 389 | Квиз-тестыВойдите в рейтинг знатоков V-Ray! 316 | Акции и скидкиЧёрная пятница! Скидка 50% на корпоративные решения ESET 314 | Анонсы вебинаровДополненная реальность и удаленное управление в "удаленном мире"

Похожие материалы

Cпециальное предложение на приобретение пакета Teamcenter Rapid Start+Solid Edge: каждая третья лицензия бесплатно

C 01 апреля по 20 сентября 2020 г. будет действовать специальное предложение на приобретение пакета Teamcenter Rapid Start+Solid Edge: каждая третья лицензия предоставляется заказчику бесплатно!

5409