Эксперты Positive Technologies представили новую версию MaxPatrol SIEM

Компания Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. О новых возможностях представленной версии системы рассказал Владимир Бенгин, руководитель практики внедрения MaxPatrol SIEM Positive Technologies

Концептуальной новинкой новой версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Наборы правил и рекомендаций объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

Регулярно поставляемые в PT KB обновления включают в себя готовые правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, а также рекомендации по тонкой настройке аудита на источниках событий для точного выявления атак и по расследованию выявленных инцидентов.

Механизм был успешно протестирован на предыдущей версии системы, когда в нее были добавлены новые правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. На данный момент выход экспертных пакетов запланирован не реже одного раза в два месяца. Ожидается, что к концу 2018 года временной зазор между ними сократится до одного месяца. В отдельных случаях предусмотрен оперативный выпуск наборов правил вне графика: например, во время глобальных атак уровня WannaCry или NotPetya.

В MaxPatrol SIEM 4.0 усовершенствованы механизмы обогащения данных об активах — ключевых элементах модели IT-инфраструктуры в MaxPatrol SIEM. В числе прочего знания об активе теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8. Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую IT-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.

Согласно исследованию компании IDC, MaxPatrol SIEM входит в тройку лидеров российского рынка (24,5%). На долю IBM Qradar и ArcSight приходится 25,5% и 24,5% соответственно.

«Успешное продвижение продукта на рынке связано в первую очередь с его технологической составляющей и очевидной практической ценностью. За последний год MaxPatrol SIEM выбран в качестве платформы для сервисов коммерческого SOC. Около 60% всех внедрений продукта уже выполняется силами наших партнеров, а к концу года мы ожидаем, что это значение вырастет до 75%. Общее число сертифицированных экспертов на рынке России, которые могут внедрять, эксплуатировать и поддерживать продукт самостоятельно, превысило полторы сотни. Все это говорит о зрелости продукта», ― поясняет Максим Филиппов, директор по развитию бизнеса компании Positive Technologies в России.

Также обновленная версия системы отличается расширенной функциональностью встроенного компонента Network Sensor, предназначенного для комплексного анализа трафика, в том числе передаваемых по сети файлов. Network Sensor получил собственную базу сигнатур для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся на основании проведенных командой PT Expert Security Center расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса. Благодаря этому пользователь MaxPatrol SIEM 4.0 получает возможность выявлять аномалии, вредоносную активность в сети и источники подозрительного трафика, предупреждать атаки.

Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы показателей и метрик эффективности, что позволяет руководству компании оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ и ИТ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования.

Также эксперты рассказали о процессе внедрения системы: в MaxPatrol SIEM 4.0 оптимизирован процесс установки ― минимизирована вероятность возникновения ошибок и на 60% сокращено количество действий, необходимых для развертывания системы.