Вход
Регистрация

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

SIEM «Лаборатории Касперского»: новая платформа для защиты бизнеса

Защита ИТ-инфраструктуры крупных компаний или промышленных объектов всегда подразумевает наличие в штате организации высококлассных специалистов в области ИБ, способных не только вовремя выявить угрозу, но и эффективно ей противостоять. А в случае необходимости и провести расследование инцидента.

Для выполнения этой работы им требуется доступ к огромным массивам информации. Чтобы не упустить ничего важного и вовремя заметить признаки подозрительной активности, эксперты по ИБ используют системы мониторинга и управления событиями безопасности – SIEM.

Как работает SIEM

Решения класса SIEM (Security information and event management) уже не являются чем-то новым. Это довольно зрелый рынок, на котором, по мнению аналитиков Gartner, сейчас доминируют иностранные компании, такие как IBM, Exabeam, Securonix и другие. При этом, в условиях политики импортозамещения некоторые из вендоров ушли с российского рынка, например Splunk.

В несколько упрощенном виде SIEM можно описать как систему, собирающую логи и данные о разных событиях из множества источников. Она приводит их в единый формат и автоматически коррелирует между собой в поисках аномальной активности и признаков инцидентов ИБ. 

Результатом работы SIEM является поток оповещений с разными приоритетами, на основе которого специалисты ИБ могут делать выводы о состоянии защищаемой инфраструктуры. Кроме того, SIEM могут предоставить разные формы отчетов по собранным данным и выступать как единое хранилище логов.

SIEM помогают решать три основные задачи:

  • Обнаружение сложных угроз ИБ на основании найденных признаков «цепочки атаки» (kill chain).

  • Расследование инцидентов путем анализа приведенных к общему виду логов, хранящихся в одном месте.

  • Соответствовать требованиям регуляторов. В России, например, SIEM является одним из обязательных инструментов ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации).

Чего не хватает SIEM

Проблема признанных мировых решений класса SIEM заключается в том, что все они были созданы много лет назад. Их ядро изначально разрабатывалось под совсем иные, чем сейчас, объемы циркулирующей в корпоративной инфраструктуре информации. Несмотря на все обновления, коренным образом переработать такой сложный продукт крайне непросто. В результате большинство SIEM «с историей» несут в себе ряд недостатков:

  • С трудом справляются с текущими объемами данных.

  • Сложны во внедрении, эксплуатации и плохо поддаются масштабированию.

  • Имеют весьма высокую стоимость владения, если учитывать зарплату опытных экспертов ИБ, без которых SIEM не сможет продемонстрировать весь свой потенциал.

Что такое NG-SIEM

Ответом на эти вызовы стал новый класс решений, известный сейчас под рабочим названием NG-SIEM (Next Generation SIEM). При сохранении базовых функций продукта производители SIEM стремятся упростить обнаружение атак (в том числе с использованием ИИ) и снизить объем рутинных операций (с помощью автоматизации, оркестрации, интеграции со сторонними системами). При этом очень важной остается работа по инвентаризации активов, обнаружению признаков атак, расследованию инцидентов.

В этих условиях определенное преимущество получают новые защитные решения, которые с рождения несут в себе идеологию NG-SIEM, но при этом не содержат legacy-компонентов, тормозящих развитие программного продукта. Одним из таких решений можно с уверенностью назвать Kaspersky Unified Monitoring and Analysis Platform (единую платформу «Лаборатории Касперского» для мониторинга и анализа инцидентов ИБ), представленную в конце 2020 года.

Платформа KUMA

Решение Kaspersky Unified Monitoring and Analysis Platform (KUMA) является одним из главных элементов экосистемы кибербезопасности Kaspersky Expert Security, сочетающей в себе:

  • Средства мониторинга и реагирования

  • Инструменты оркестрации и автоматизации

  • Возможность управления всей платформой из единой консоли

Заказчик KUMA имеет возможность выбирать только необходимые модули, а также объединять их в интегрированные системы, включающие продукты сторонних поставщиков.

В роли центрального компонента платформы ИБ KUMA обеспечивает следующие ключевые преимущества по сравнению с решениями конкурентов:

  • Производительность 300 тыс. событий/сек. на одну ноду коррелятора. Так как система «из коробки» позволяет создавать отказоустойчивые конфигурации с балансировкой нагрузки, показатель производительности может быть повышен в несколько раз.

  • Так как KUMA создавалась «с нуля», в ней изначально была использована современная микросервисная архитектура с большим запасом масштабируемости.

  • Расход вычислительной нагрузки на обработку события соответствует лучшему мировому уровню.

  • В базовой комплектации KUMA содержит все необходимое для интеграции как с другими продуктами «Лаборатории Касперского», так и со сторонними решениями.

Каждый компонент платформы представлен в виде отдельного микросервиса. Обладая достаточной независимостью друг от друга, вместе они формируют основные элементы SIEM – ядро, коллекторы, корреляторы и пр. Нашлось место и компонентам с открытым исходным кодом. Так в KUMA применяются ClickHouse, MongoDB, Prometheus и Grafana.

Отдельные компоненты платформы могут взаимодействовать между собой как напрямую, так и через брокера сообщений – поддерживаются Kafka и NATS. Кроме того, KUMA может быть развернута на распределенной инфраструктуре. Например, в филиале могут быть установлены только коллекторы или полноценная система со своими политиками, администраторами и пр. Во втором случае головной офис будет получать только обработанные события.

Источники данных

Основой функционирования любой SIEM является сбор данных с обширной сенсорной сети. В настоящее время KUMA не только умеет получать данные от всех продуктов своего производителя, например, Cyber Trace для обогащения данными от Threat intelligence, но и содержит большое количество коннекторов и парсеров для получения событий от FortiGate, NetFlow, Cisco, nginx, Apache, VMware и многих других решений. Причем спектр таких коннекторов постоянно расширяется вслед за растущими требованиями клиентов.

Плюс к этому, KUMA поддерживает многие форматы логов и виды транспорта данных, что позволяет заказчикам самостоятельно создавать интеграции при помощи простого визуального редактора.

Проверить свои знания в области информационной безопасности и продуктов «Лаборатории Касперского» вы можете в нашем тематическом квизе. Победители получат сертификат.

Самое читаемое

1120 | SoftPowerЗащита облачных приложений и API в средах Kubernetes 1062 | SoftPowerКак обеспечить комплексную защиту IT-инфраструктуры предприятия 1058 | SoftPower«Аватар» и «Гарри Поттер»: Autodesk M&E Collection 602 | Записи вебинаровКак повысить скорость и стабильность токарной обработки - Siemens 344 | Анонсы вебинаровRed Hat Training and Certification. Обучение как привычка 325 | Анонсы вебинаровAutodesk Construction Cloud – платформа для взаимодействия участников проектно-строительной деятельности 285 | Анонсы вебинаровMicrosoft CSP. Повышение цен и другие изменения в годовых и помесячных подписках 216 | Анонсы вебинаровКак управлять процессом проектирования в команде? 162 | Новости вендоров«Нанософт разработка» представит новую версию самой популярной российской САПР-платформы 155 | Акции и скидкиСкидка 50% на решения Solid Edge 132 | Анонсы вебинаровНовинки портфолио VMware Tanzu для разработчиков и DevOps 50 | Акции и скидкиБольше возможностей для обучения с Red Hat Learning Subscription 43 | Акции и скидкиСтоимость PADS Professional снижена

Похожие материалы

Cпециальное предложение на приобретение пакета Teamcenter Rapid Start+Solid Edge: каждая третья лицензия бесплатно

C 01 апреля по 20 сентября 2020 г. будет действовать специальное предложение на приобретение пакета Teamcenter Rapid Start+Solid Edge: каждая третья лицензия предоставляется заказчику бесплатно!

6333