Вышла новая версия MaxPatrol SIEM3.05.2018
В конце апреля компания Positive Technologies представила новую версию системы выявления инцидентов информационной безопасности в реальном времени - MaxPatrol SIEM 4.0. Владимир Бенгин, руководитель практики внедрения MaxPatrol SIEM Positive Technologies рассказал о новых возможностях представленной версии системы. В частности, концептуальной новинкой стала автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов. Это позволяет выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Далее наборы объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Пользователю предоставляется возможность в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта. Этот механизм был протестирован на предыдущей версии системы, когда в нее были добавлены новые правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. Разработчики планируют выпускать обновленные экспертные пакеты не реже одного раза в два месяца, а к концу 2018 года – один раз в месяц. Во время глобальных атак типа WannaCry или NotPetya предусмотрен оперативный выпуск правил вне графика. Так, во время эпидемии NotPetya специалисты PT ESC менее чем за четыре часа разработали правила, выявляющие признаки заражения. Обновления включают в себя готовые правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, а также рекомендации по тонкой настройке аудита на источниках событий для точного выявления атак и по расследованию выявленных инцидентов. Следующее новшество MaxPatrol SIEM 4.0 – усовершенствованные механизмы обогащения данных об активах – ключевых элементах модели ИТ-инфраструктуры в системе. Теперь знания об активе автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8. Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах. На основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую ИТ-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.
Новая версия системы теперь обладает расширенной функциональностью встроенного компонента Network Sensor, предназначенного для комплексного анализа трафика, в том числе передаваемых по сети файлов. Network Sensor получил собственную азу сигнатур для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся на основании проведенных командой PT Expert Security Center расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса. Благодаря этому пользователь MaxPatrol SIEM 4.0 получает возможность выявлять аномалии, вредоносную активность в сети и источники подозрительного трафика, предупреждать атаки. Улучшено управление ИБ. Для этого используется специальный модуль PT Security Intelligence Portal – инструмент визуализации данных. Так достигается глубокий анализ процессов информационной безопасности, работы подразделений ИБ и используемых средств защиты. Модуль содержит готовые наборы показателей и метрик эффективности. Благодаря этому руководству компании легче оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ и ИТ PT Security Intelligence Portal поможет спрогнозировать возможные инциденты, расставить приоритеты задачам и проводить расследования. И еще одно новшество: оптимизирован процесс установки системы: минимизирована вероятность возникновения ошибок и на 60% сокращено количество действий, необходимых для развертывания системы. Максим Филиппов, директор по развитию бизнеса компании Positive Technologies в России проинформировал, что продажи системы MaxPatrol SIEM в минувшем году продемонстрировали почти двукратный рост. Это связано с возрастающим интересом к обеспечению информационной безопасности. В 2018 году эксперты компании ожидают рост продаж на 250% по сравнению с 2017 годом. Похоже, что эти ожидания оправдаются: только за первый квартал 2018 года продажи продукта в денежном выражении выросли почти на 70% по сравнению с аналогичным периодом прошлого года. «Успешное продвижение продукта на рынке связано в первую очередь с его технологической составляющей и очевидной практической ценностью. За последний год MaxPatrol SIEM выбран в качестве платформы для сервисов коммерческого SOC. Общее число сертифицированных экспертов на рынке России, которые могут внедрять, эксплуатировать и поддерживать продукт самостоятельно, превысило полторы сотни. К концу года порядка 75% внедрений продукта будет выполнено силами наших партнеров», - сказал Максим Филиппов. Согласно исследованию IDC, MaxPatrol SIEM входит в тройку лидеров российского рынка (24,5%). На долю IBM Qradar и ArcSight приходится 25,5% и 24,5% соответственно. Однако по оценкам IDC, российский рынок SIEM далек от насыщения: средний уровень проникновения среди российских организаций не превышает 15%. Более того, опрос выявил, что не все ИТ-специалисты хорошо знакомы с SIEM-системами. Такая ситуация представляет собой существенную возможность для производителей продукта – не только с точки зрения рыночного потенциала, но и в связи вероятным эффектом от кампаний по ознакомлению потенциальных потребителей с концепцией SIEM и продвижению таких решений. В заключение напомним: IDC определяет SIEM (Security Intelligence and event management) как продукты, предназначенные для сбора данных из различных источников с целью выявления последовательностей событий, которые могут означать атаки, вторжения, злоупотребления или выход из строя. Елена Шашенкова Тема:Soft |
© 2014. ИТ-Текст. Все права защищены.