Преимущества
- Понимание инфраструктуры и стойкость правил корреляции к изменениям
Изменения IT-инфраструктуры автоматически отображаются в модели инфраструктуры и учитываются в работе корреляционных правил, не требуя трудоемкой ручной перенастройки.
- Динамические группы активов
MaxPatrol SIEM предлагает полноценный функционал систем управления активами (Asset Management). Это позволяет создавать и автоматически обновлять группы активов по организационным, территориальным и функциональным признакам.
- Подключение актуальных источников
В ходе реализации проектов компания Positive Technologies обеспечивает подключение актуальных источников данных без дополнительных затрат.
- Приоритизация с учетом важности актива
Платформа MaxPatrol использует общепризнанный стандарт CVSS и позволяет приоритезировать активы, динамические группы активов, события и уязвимости и присвоить им стандартизированные метрики в рамках единой платформы.
- Открытый API для быстрой интеграции
MaxPatrol SIEM предлагает открытый стандартизированный API, предназначенный для загрузки или выгрузки информации на любом этапе работы системы. Это позволяет быстро решить ряд практических задач: выполнить интеграцию с SMS-шлюзом, корпоративным порталом, самописными приложениями и т.д.
- Развитая функциональность сбора данных
В SIEM-систему включена широкая функциональность удаленного безагентного сбора данных с поддержкой основных видов транспорта. Помимо этого, используются дополнительные агенты для анализа сетевой активности и сбора низкоуровневой информации с конечных точек.
Благодаря поддержке Positive Technologies и заложенным в продукте техническим инновациям миграция с других решений осуществляется быстро и безболезненно для бизнес-процессов компании.
Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает требованиям заказчика и не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.
- Российское решение мирового класса
Решения Positive Technologies целиком спроектированы в России, с учетом специфики решаемых задач и требований регуляторов. В основе продукта лежит уникальная база знаний, накопленная за годы проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения знаковых мероприятий, таких как Универсиада в Казани и Олимпийские игры в Сочи.
Аспекты применения традиционных SIEM в современном мире
В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов. Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report). Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).
На практике эффективность работы SIEM-систем оказывается низкой и их использование многими компаниями не меняет тяжелую ситуацию с качеством и временем выявления инцидентов ИБ.
Основные причины низкой эффективности традиционных SIEM-систем:
- Сложность внедрения и большие трудозатраты при эксплуатации. При внедрении сложно оценить трудоемкость и сроки окончания работ по интеграции системы с инфраструктурой заказчика и настройки механизмов выявления инцидентов ИБ. Трудоемкий процесс поддержания работоспособности SIEM и учета новых угроз продолжается и в ходе эксплуатации системы.
- Отсутствие автоматизированной передачи экспертизы ИБ в продукт. Даже если производитель SIEM-системы имеет знания о новых угрозах и сценариях атак, он может поделиться ими только в ручном режиме — через специализированные форумы или рассылку бюллетеней.
- Большое запаздывание в учете изменений инфраструктуры. Каждый день в IT-инфраструктурах крупных компаний происходят конфигурационные изменения, но существующие средства ИБ адаптируются к изменениям с большой задержкой, так как процесс учета этих изменений слабо автоматизирован.
Функции и особенности MaxPatrol SIEM
При создании SIEM-системы и новой платформы MaxPatrol компания Positive Technologies учла недостатки существующих систем и применила новые подходы для эффективного выявления инцидентов ИБ. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями — активами и динамическими группами активов.
Информация о состоянии актива
В MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PTKB). Это высокоуровневый, постоянно пополняемый набор данных, формируемый на основе 15-летнего опыта исследовательского центра, в том числе опыта тестов на проникновение и проведения аудитов защищенности. MaxPatrol SIEM является неотъемлемой частью новой комплексной платформы MaxPatrol, обладающей изначальным пониманием природы угроз и уязвимостей и позволяющей заменить множество ИБ-решений (системы управления активами, уязвимостями, соответствия стандартам и др.). Все элементы MaxPatrol SIEM разработаны Positive Technologies как часть новой платформы MaxPatrol и используют единые принципы сбора и учета информации.
На основании полной модели инфраструктуры выполняется автоматическое построение топологии сети. Это позволяет лучше понимать защищаемую инфраструктуру и потенциальную достижимость атак, упрощает расследование инцидентов.
Топология сети и достижимость
MaxPatrol SIEM использует специальный механизм для извлечения идентификаторов источника информации из трафика, событий или сканирований и их сопоставления с существующими активами. Таким образом, вся имеющаяся информация — конфигурация сетевого узла и его настройки, установленное ПО, сетевая активность, логи — унифицируется и выстраивается вокруг каждого из активов. После поступления в систему информация вначале проводится через модель инфраструктуры и привязывается к соответствующим активам и лишь после этого сохраняется в базе данных и попадает под действие правил корреляции. Благодаря этому изменение IP-адреса или имени актива не приведет к дублированию сущностей и появлению в системе нового актива.
Сбор, анализ и мониторинг событий для эффективного выявления инцидентов
Этап 1. Информация поступает в систему и проходит нормализацию.
Этап 2. Проводится через ядро и модель инфраструктуры для привязки к существующим активам.
Этап 3. Сопоставляется с данными базы знаний Positive Technologies Knowledge Base (PTKB).
Этап 4. Проводится через коррелятор с учетом всех данных, полученных на предыдущих этапах.
Архитектура MaxPatrol SIEM
