Вследствие активного роста информационной инфраструктуры государственных организаций и частных компаний, а также развития технологии скрытых атак, значительно повышаются требования к мониторингу событий информационной безопасности. Результаты тестов на проникновение, проведенных экспертами Positive Technologies в 2014 году, свидетельствуют, что злоумышленники из Интернета могут получить доступ к узлам внутренней сети 87% крупных компаний — невзирая на то, что эти компании уже используют различные средства мониторинга событий информационной безопасности.
Решение данной проблемы призваны обеспечить системы класса SIEM (Security Information and Event Management), функционал которых предполагает не только сбор данных от различных устройств и приложений, но и автоматическое выявление инцидентов. Однако на практике эффективность большинства SIEM остается низкой из-за следующих факторов:
- слабое покрытие источников данных, разрозненность и низкое качество передаваемых в SIEM данных;
- отсутствие у разработчика SIEM представлений о значимых признаках атак, и как следствие - неэффективные правила корреляции;
- концентрация только на событиях безопасности и отсутствие возможности комплексной стратегической оценки ситуации.
Базовой единицей MaxPatrol SIEM является актив. Древовидная модель активов — их конфигурации, уязвимости и связи — позволяет сгруппировать активы по любому параметру, а также выстроить всю топологию сети и привязку событий к активам. Для сбора событий используется весь спектр транспортов удалённого сбора: SysLog, NetFlow, SNMP, WMI, RPC, SSH, Telnet, MSSQL и т.д.
Все модули MaxPatrol SIEM разрабатываются в рамках единой экосистемы, что дает возможность для перекрестного обмена информацией: событие журнала может дополнить информацию об активе или даже создать новый актив, а изменение конфигурации актива может породить событие в системе.
Нормализация, агрегация и частичная корреляция событий могут выполняться на удаленных агентах системы, уменьшая нагрузку на каналы. Автоматическая генерация инцидентов по результатам выявления критически значимых событий значительно повышает эффективность работы оператора системы.
Механизмы workflow совместно с гибкими инструментами ролевого разграничения прав позволяют оптимизировать процессы расследования инцидентов.
Преимущества для бизнеса
Гибкость платформы. Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает всем требованиям заказчика и при этом не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.
Легкость миграции. Благодаря поддержке экспертов компании-разработчика, а также техническим инновациям, заложенным в продукте, переход с других решений на MaxPatrol SIEM осуществляется безболезненно и незаметно для бизнес-процессов.
Реальное понимание угроз. В основе продукта лежит уникальная база знаний, включающая в себя 15-летний опыт проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения таких крупнейших мероприятий, как Универсиада в Казани и Олимпийские игры в Сочи.
Преимущества для специалистовГибкий конструктор отчетности. Используя механизмы, заложенные в MaxPatrol SIEM, можно получить отчет любой сложности, наглядно представляющий данные и отвечающий требованиям руководства. Уникальный набор практических метрик позволяет оценить реальное состояние безопасности.
Сбор только нужных данных (SmartData). MaxPatrol SIEM сохраняет только ту информацию, которая важна для анализа безопасности, и записывает ее в специальном структурированном виде, что позволяет существенно сократить объемы хранимых данных и сделать работу с ними намного эффективнее.
Легкость внедрения и адаптации. Система легко масштабируется и адаптируется к сетям с разной топологией, пропускной способностью и бизнес-направленностью, включая сети АСУ ТП, технологические сети телекомов, биллинговые и банковские системы.
Эффективная корреляция. Выводы об инцидентах производятся с учетом конфигурации, сетевой топологии и связности узлов, а также наличия эксплойтов и атакующих тулкитов.
Единая платформа. Система позволяет эффективно объединить в себе большое количество различных средств безопасности, уменьшая затраты на поддержку продуктов различных вендоров и снимая проблемы интеграции между ними.