Безопасность информации – одна из важнейших задач для IT-подразделения организации любого размера и направления. Для успешной защиты инфраструктуры и противодействия атакам необходимо иметь четкое представление о происходящих внутри цифрового контура компании процессах, своевременно выявлять подозрительные события. В этом помогают системы класса SIEM.

IT-инфраструктура постоянно изменяется и расширяется, в ней появляются новые и новые звенья. Такой рост делает ее уязвимой. Одновременно с этим меняется ландшафт угроз: если несколько лет назад атаки в основном были массовыми – шифровальщики, эксплоиты, фишинг, компрометация учетных данных пользователей, – то сейчас все чаще встречаются таргетированные атаки, нацеленные на конкретную инфраструктуру и конкретную организацию, как частного, так и государственного сектора. Они более эффективны и опасны, требуют продвинутых решений для обнаружения и нейтрализации.

Увеличивается «средний чек» финансовых потерь от каждого инцидента: современная статистика говорит, что суммарные убытки от одной успешной атаки могут превышать миллион долларов. Работа с инцидентами становится все более ресурсоемкой и сложной: распознавание и купирование нацеленной атаки требует больших усилий и квалификации. При этом на рынке наблюдается серьезный дефицит специалистов по ИБ, а труд имеющихся зачастую используется неэффективно. Наконец, повышаются требования государственных регуляторов в части защиты данных, особенно в отношении объектов критической инфраструктуры.

В этих условиях важнейшее значение приобретают инструменты мониторинга, анализа и документирования происходящих в инфраструктуре событий. Они позволяют своевременно выявлять подозрительные активности, ретроспективно анализировать происходящее во внутреннем IT-периметре и запускать соответствующие меры противодействия. К таким инструментам относятся системы управления информационной и событийной безопасностью (SIEM), объединяющие функционал систем SIM (Security Information Management) и SEM (Security Event Management).

Системы SIEM

Первый компонент SIEM – SIM – занимается сбором, агрегацией и анализом связанной с безопасностью информации. Обычно эта система фокусируется на данных статического характера, таких как журналы событий, конфигурационные данные и другие структурированные данные. Например, она отвечает за хранение и анализ журналов событий, аудит конфигурации систем, управление учетными записями и привилегиями. Ретроспективный анализ таких данных позволяет выявлять подозрительные паттерны и предотвращать ранее неизвестные атаки.

SEM ориентирована на управление событиями в реальном времени. Она занимается мониторингом и анализом динамических данных о безопасности, например, событий, возникающих на сетевых устройствах, приложениях и конечных точках. Эта система позволяет реагировать на потенциальные угрозы в момент их возникновения.

• Разрозненные средства защиты усложняют работу специалистов ИБ, отнимают ресурсы, повышают стоимость владения;
• Для упрощения и ускорения реагирования необходимо собирать контекстную информацию о событиях;
  
• Старые системы обладают очень высокими требованиями к производительности;
• Уход западных решений с российского рынка требует наличия отечественных альтернатив;
• Постоянное усложнение регуляторных требований в области ИБ, особенно для критической инфраструктуры, в том числе по взаимодействию с НКЦКИ.

Подобные вызовы привели к появлению нового поколения SIEM: они разработаны с нуля, чтобы соответствовать современным объемам информации, могут обрабатывать больше событий, имеют сравнительно низкие системные требования, более эффективны.

Одна из таких систем нового поколения – Kaspersky Unified Monitoring and Analysis Platform (KUMA)․

Kaspersky Unified Monitoring and Analysis Platform (KUMA)

KUMA – SIEM-система от «Лаборатории Касперского», единый информационно-аналитический центр платформы безопасности для обнаружения и реагирования на современные сложные атаки и киберугрозы, необходимый узел для реализации комплексного подхода к защите инфраструктуры компании.

Основные функции KUMA соответствуют требованиям к современной SIEM-системе и включают в себя:

• Централизованный мониторинг: KUMA позволяет собирать данные о безопасности из различных источников, таких как журналы событий, сетевые устройства, приложения и конечные точки. Эти данные агрегируются и представляются в едином интерфейсе для обеспечения централизованного мониторинга безопасности.
• Анализ и обнаружение угроз: платформа оснащена мощными аналитическими инструментами, которые позволяют выявлять аномалии, атаки и другие потенциальные бреши в безопасности. Алгоритмы машинного обучения и эффективной работы с инцидентами помогают обнаруживать нестандартные и скрытые угрозы.
• Реагирование на инциденты: KUMA предоставляет возможности для автоматизации реагирования на инциденты. Они включают автоматическое блокирование подозрительных действий, отправку уведомлений и запуск интегрированных решений для нейтрализации угроз.
• Отчетность и аналитика: платформа предоставляет разнообразные инструменты для создания отчетов и анализа безопасности. Это позволяет организациям оценить свой уровень безопасности, выявить уязвимости и принимать меры для их устранения.
• Интеграция с другими продуктами безопасности: KUMA легко интегрируется с другими продуктами и системами безопасности, такими как антивирусное программное обеспечение, системы управления доступом и многое другое. Это обеспечивает единый интерфейс для мониторинга и управления безопасностью.

Архитектурно система состоит из центра управления, коррелятора, коллектора и хранилища. Оповещения приходят по протоколу SMTP, реагирование осуществляется через интеграции с внешними системами. Инвентаризация может осуществляться в том числе с помощью Kaspersky Security Center, обогащение – с Kaspersky Threat Intelligence (одной из наиболее полных и достоверных баз ИБ в мире)․ «Из коробки» поддерживаются источники как с открытым кодом (Apache, DNS BIND, Postfix и др.), так и проприетарные решения от крупнейших игроков рынка. Присутствует поддержка Multitenancy: работа с несколькими независимыми клиентами (тенантами), разделение прав доступа, ограничения EPS для каждого тенанта.

Актуальность и преимущества KUMA

Среди ключевых особенностей KUMA, делающих эту систему актуальной для текущей ситуации в ИБ, в том числе на российском рынке, выделяются:

• Ситуационная осведомленность и аналитика: KUMA содержит информативные дашборды и отчеты по актуальному состоянию ИБ для отслеживания трендов и операционной работы по выявлению аномалий;
• Мониторинг безопасности: непрерывная корреляция потока событий от различных источников;
• Реагирование на инциденты в связке с другими решениями: единая консоль позволяет обогащать карточки инцидентов дополнительной информацией и запускать задачи реагирования. Это могут быть как решения «Лаборатории Касперского», так и сторонние разработки;
• Поддержка отечественной ОС Astra Linux;
• Проактивный поиск угроз: быстрый поиск СУБД ClickHouse по всей собранной базе, как с помощью SQL-запросов, так и ретроспективной корреляции для выявления подозрительных цепочек событий;
• Соответствие требованиям регуляторов: сертификат ФСТЭК, включена в реестр отечественного ПО, выполняет требования ФЗ-187 и приказа ФСТЭК №239, интегрирована с НКЦКИ (модуль ГосСОПКА);
• Автоматическое обновление репозитария (пакеты с новыми правилами корреляции и коннекторами к источникам данных о событиях).

Среди преимуществ KUMA над решениями других вендоров – высокая производительность (от 300 тыс EPS на один узел), сравнительно низкие системные требования, единый интерфейс веб-консоли, возможность интеграции с различными источниками «из коробки». Еще один важный плюс – масштабирование системы за счет гибкой микросервисной архитектуры и возможность подключения собственных интеграционных модулей по REST API. Система обладает низким порогом входа и может быть развернута без привлечения дорогостоящих сторонних специалистов.

Выводы

Kaspersky Unified Monitoring and Analysis Platform (KUMA) представляет собой мощный инструмент, отвечающий современным требованиям информационной безопасности. Он может использоваться как в корпоративной, так и в промышленной среде, обеспечивая прозрачность происходящих внутри IT-инфраструктуры процессов, видимость потенциальных угроз и быстроту реакции на них.  Сочетание высокой производительности, широких функциональных возможностей и надежности делает KUMA привлекательным выбором для компаний, стремящихся обеспечить безопасности своих данных.

Специалисты компании «Системный софт» всегда готовы рассказать об этой системе подробнее, продемонстрировать его работу, помочь интегрировать ее в инфраструктуру компании, подключив к имеющимся точкам сбора информации и решениям для нейтрализации угроз.