MaxPatrol SIEM 6.0: краткий обзор

Про рынок, заказчиков и прогнозы

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России

SIEM – достаточно молодая технология по сравнению с классическими средствами защиты информации: межсетевыми экранами, антивирусами. Рынку SIEM в России около 10 лет. Если рассматривать его с точки зрения кривой жизненного цикла продукта Gartner, то рынок SIEM вышел на свое плато. При этом, по нашей оценке, российский рынок растет в 2 раза быстрее, чем мировой, и составляет 5 млрд рублей. Число компаний, использующих MaxPatrol SIEM, за последние пять лет достигло 260. В общем финансовом результате 2019 года Positive Technologies на долю MaxPatrol SIEM приходится около 30%.

Наличие на предприятии SIEM демонстрирует определённый уровень зрелости компании с точки зрения решения вопросов информационной безопасности. На сегодняшний день наличие такого решения уже является стандартом в корпоративных сетях. Оно используется как ядро при построении Security Operations Center (SOC), также это флагманская технология обеспечения информационной безопасности внутри корпоративных сетей.

Ранее, был период, когда ИБ рассматривалась в концепции забора вокруг инфраструктуры компании: то есть определённые технологии или средства защиты внедрялись и, по сути, застывали в статике. В последние годы рынок информационной безопасности осознал, что этот подход не рабочий, поскольку «линия фронта» сместилась внутрь организаций ― инциденты происходят уже внутри корпоративных сетей. Именно поэтому невозможно обеспечивать необходимый уровень защищенности инфраструктуры компании в статике, необходимо наблюдать, обнаруживать и реагировать на инциденты. И SIEM является именно той технологией, которая предоставляет необходимый инструментарий, позволяющий сформировать концепцию, при которой информационная безопасность будет процессом.

Как карантин повлиял на рынок SIEM?

Режим удаленной работы стал неким катализатором многих процессов: как бизнеса, так и информационной безопасности. С чем пришлось столкнуться? Периметры корпоративных сетей нарушились, поскольку доступ к корпоративной сети компании предоставляется сотрудникам с помощью VPN через персональные устройства, которые, с большой долей вероятности, не были проверены на соответствие внутренним политикам информационной безопасности. Действия таких пользователей внутри корпоративной сети необходимо контролировать. Вместе с технологиями обеспечения удаленного доступа к информационным ресурсам появился и риск компрометации инфраструктуры. На сегодняшний день задача отслеживания действий сотрудника или злоумышленника, получившего доступ к корпоративной сети, ― это вызов для компаний. Многие вектора атак связаны с оборудованием и решениями, которые призваны предоставить сервис защищенного удалённого доступа. Компания Positive Technologies, безусловно, реагирует на новые вызовы: так, например, в MaxPatrol SIEM был оперативно добавлен пакет экспертизы, направленный на обнаружение злонамеренных действий, связанных с использованием систем удаленного доступа (пакет покрывает 16 аномалий с использованием OpenVPN, RDG, межсетевых экранов Cisco ASA, Check Point и Palo Alto Networks).

Про MaxPatrol SIEM

MaxPatrol SIEM на рынке уже 5 лет. Цифры, историю и результаты можно посмотреть здесь. По словам Алексея Андреева, управляющего директора департамента исследований и разработки Positive Technologies, в ближайших планах развития продукта: продолжение упрощения работы с SIEM и ее эксплуатации, снижение порога входа для специалистов в мир SIEM, фокус на распределенные инсталляции и высокие нагрузки, фокус на экспертизу на всех стадиях продукта.

Станислав Черкасов, менеджер по продвижению продуктов Positive Technologies

В новой версии MaxPatrol SIEM главным лейтмотивом является снижение трудозатрат на работу в SIEM-системе. Согласно одному из последних исследований компании Positive Technologies, 25% специалистов тратят от 2 до 4 часов ежедневно в SIEM-системе, 22% специалистов тратят от 4 часов ежедневно (рис.1).

Что нового в MaxPatrol SIEM 6.0

Одной из главных особенностей новой версии MaxPatrol SIEM 6.0 является наличие чек-листа настройки системы, который поможет быстро настроить системы и получить работающий SIEM без изучения документации.

Новый виджет находится на стартовой странице SIEM-системы (рис.3). В нем отображается сводка по категориям проверок и пройденных в них этапах на текущий момент, нажав на ту или иную категорию, вы попадете в новый раздел MaxPatrol SIEM, где более детально представлены сами проверки. На данный момент реализовано три блока: администрирование, инфраструктура и экспертиза.

Второй особенностью новой версии является упрощенная работа с ложными срабатываниями (false positive), которая позволит снизить их количество и сократить время на разбор инцидентов.

Третьей особенностью является новый виджет по табличным спискам, который позволит сформировать из динамического табличного списка виджет и переместить его на главную страницу SIEM-системы или использовать в отчетах. Как это работает, можно посмотреть в видеоролике.

Четвертым нововведением являются уведомления о новых пакетах экспертизы, которые помогут не пропустить новые правила корреляции.

Полную версию демонстрации MaxPatrol SIEM и запись эфира смотрите на YouTube-канале.

Про проектный опыт ГК «Innostage»

Наша компания работает c MaxPatrol SIEM с момента его запуска в 2015 году. За 5 лет работы с SIEM-системой мы наблюдаем колоссальный рост. Если на первоначальном этапе у всей команды был определенный скепсис относительно продукта, поскольку в тот период большим спросом пользовались импортные продукты, которые уже обладали определённым уровнем стабильности и качества. На данный момент MaxPatrol SIEM не уступает другим аналогам на рынке. И главный показатель эффективности системы – это возможность решения всех задач, которые ставят перед нами наши клиенты.
Если раньше при работе с SIEM-системами активно использовался подход, при котором компании использовали продукт как хранилище всевозможных логов, то сейчас пакет экспертизы от компании Positive Technologies дает направления для формирования новых подходов использования и адаптации продукта.

Мы надеемся, что MaxPatrol SIEM будет развиваться и дальше не только с точки зрения количественных показателей, но и с точки зрения развития инструментария до продукта, который бы выполнял не только функции SIEM, но и SOAR.