Positive Technologies выпускает SIEM

Компания Positive Technologies объявила о выпуске собственной системы управления событиями безопасности MaxPatrol SIEM, которая позволяет обнаруживать «невидимые» кибер-атаки, или APT. Система является развитием сканера безопасности MaxPatrol, но позволяет не только выявлять уязвимости в корпоративной информационной системе, но и обнаруживать попытки применения тех или иных средств организации атак. «Мы разработали следующую версию нашего сканера уязвимостей, – пояснил Борис Симис, директор по развитию бизнеса Positive Tehnologies. – MaxPatrol определяет уязвимости по анализу сетевого трафика, набору установленного ПО и другим признакам, но теперь мы решили замахнуться на большее.»

MaxPatrol SIEM позволяет проводить инвентаризацию сетевых активов компании, обнаруживать в них уязвимости, выявлять инциденты, проводить расследования и готовить отчёты. Все эти функции выполняются на едином технологическом ядре. Система собирает данные о сетевом трафике, конфигурациях сетевых устройств и происходящих на них событиях, обрабатывает сообщения собственного сканера уязвимостей и других средств защиты. Полученные данные сопоставляются с помощью механизмов искусственного интеллекта для обнаружения признаков нападения. Система снабжена модулем подготовки отчётов, который можно использовать для расследований и выявления проблемных мест. По сути, MaxPatrol является набором сканеров разных типов (активных, пассивных и системных), собранных в единую систему контроля над событиями. Кроме того, в продукт добавлена система сбора информации о событиях, которая позволяет проводить расследования инцидентов.

Некоторые блоггеры уже отреагировали на презентацию нового продукта. Так Алексей Комаров отмечает: «Что касается MaxPatrol SIEM (рабочим названием было MaxPatrol X), по словам представителей Positive Technologies, создана новая платформа, которая в терминологии Gartner попадает сразу в несколько Магических Квадратов. Однако для определённости в глазах заказчиков разработчики остановились на варианте названия SIEM. Отчасти поэтому среди конкурентов оказались псевдо-российские разработки с переклеенными шильдиками. Самым «вкусным», на мой взгляд, преимуществом нового продукта является то, что вся годами нарабатываемая Positive Technologies экспертиза, связанная с пониманием специфики деятельности хакеров (как они проникают в системы, какие методы и инструменты используют), составила основу правил для корреляционного движка. Поэтому MaxPatrol SIEM по череде характерных событий способен выявить планируемую атаку (даже таргетированную) на достаточно раннем этапе и отреагировать на неё с упреждением».

Александр Бодрик, ведущий консультант R-Style по информационной безопасности, заявляет: «Новый продукт Positive достаточно интересен. Он имеет все шансы занять 2-е место в России с «классической» долей 30% и обеспечить примерно 350 млн руб. доходов Positive. Но «скучнее» на фоне складывающейся конкурентной ситуации. Преимущества вертикально интегрированной модели бизнеса Positive (исследовательский центр компании поставлял информацию о уникальных уязвимостях для уникального сканера) могут оказаться слабостями в SIEM. В отличие от поиска уязвимостей, при мониторинге инцидентов нельзя просто набрать программы и начать искать в них уязвимости – необходимо глобальное присутствие в корпоративных сетях мировых компаний Top500. А вот такие производители средств защиты, как IBM и HP, уже в них присутствуют, получают и обрабатывают информацию». Другими словами, выходить с SIEM на мировой рынок Positive Technologies будет непросто, но в России ещё есть потребность в подобных продуктах.

Артём Агеев утверждает, что в России SIEM пока не прижились: «Для большинства отечественных компаний эпоха SIEM ещё не наступила. Внедрение комплексных дорогих продуктов требует определенной зрелости ИТ-процессов компаний, а у нас пока – кадровый голод и низкие зарплаты, проблемы с финансированием и осознанием проблем ИБ на уровне топ-менеджмента, «бумажная» безопасность и пластилин для опечатывания кабинета каждого ИБ специалиста. Другой сложностью внедрения SIEM в массовое сознание (а этот шаг предшествует началу массового внедрения продукта) является отсутствие дешёвых и бесплатных SIEM-решений для средних и небольших компаний. А ведь место для SIEM найдётся везде – даже в домашней сети («по каким сайтам шастает ночами мой умный телевизор?»). Предвижу и ещё одну проблему с MaxPatrol X. Это – «конский» ценник, выбранный с оглядкой на ArcSight и QRadar (кстати, интерфейс MaxPatrol очень напоминает ArcSight). Соответствие требованиям регуляторов, конечно, обеспечит спрос, но «свободные» компании перейдут на дешёвые западные решения или продукты с открытыми исходным кодами, а те, кто могут себе позволить солидный ИБ-бюджет и не имеют проблем с регуляторами, будут по-прежнему пользоваться ArcSight и QRadar». Так что популярность продукта зависит от ценовой политики, особенно в сегодняшней России.

Тэги: 
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.