SIEM-амбиции Positive Technologies

Понятие SIEM, сформулированное более десяти лет назад аналитиками Gartner, определяет процессы и системы, осуществляющие сбор, анализ и представление поступающих из различных источников данных, а также выявляющие на основе определенных критериев аномалии, свидетельствующие о возникновении инцидентов


09:06 03.05.2018   |   4373 |  Алексей Чернобровцев |  Computerworld Россия

Рубрика Индустрия



Компания намерена стать лидером в сегменте отечественного ИТ-рынка, связанного с внедрением систем выявления инцидентов информационной безопасности.

В компании Positive Technologies сообщили о выпуске новой, четвертой версии системы выявления инцидентов информационной безопасности MaxPatrol SIEM (Security Information and Event Management), работающей в реальном времени, сопроводив это сообщение заявлением о намерении занять лидирующие позиции в сегменте SIEM российского ИТ-рынка.

В настоящее время заметен рост интереса отечественных заказчиков к качеству и функциональности средств защиты информационных систем предприятий; причина такого интереса — лавинообразное увеличение числа киберугроз и непрерывным совершенствованием их возможностей.

В Positive Technologies, по словам Максима Филиgпова, директора по развитию бизнеса компании в России, решения SIEM создаются на основе унифицированной платформы, позволяющей «нанизывать» на нее различные технологии.

Одна из наиболее важных новинок MaxPatrol SIEM 4.0, по мнению разработчиков, — регулярное автоматизированное включение в систему алгоритмов, позволяющих выявлять сложные нетипичные атаки. Такие алгоритмы предоставляют фактически в распоряжение пользователей компетенции сотрудников Positive, специализирующихся на обнаружении инцидентов информационной безопасности.

Наборы правил и рекомендаций, формируемые экспертным центром безопасности PT Expert Security Center, объединяются в «пакеты экспертизы» и передаются в базу знаний Positive Technologies Knowledge Base. В конкретных применениях MaxPatrol SIEM такие пакеты могут применяться по усмотрению пользователей. Новые пакеты будут предоставляться заказчикам каждые два месяца, обещают в Positive, а к концу года, как ожидают, — ежемесячно. В случаях же глобальных кибератак, как WannaCry или NotPetya, предусмотрен их оперативный выпуск.

Среди других новых свойств MaxPatrol SIEM – увеличение объема автоматически пополняемых сведений об ИТ-активах, к которым добавились, в том числе, данные о программном и аппаратном обеспечении информационных ресурсов, операционных системах, обновлениях и конфигурациях инфраструктуры; развитие функциональности встроенного компонента Network Sensor, используемого для анализа трафика, в который теперь входит база сигнатур, необходимых для детектирования вредоносного кода.

Модуль PT Security Intelligence Portal, созданнный «в результате тесного сотрудничества с ключевыми клиентами и предоставляющий возможность выстроить диалог службы информационной безопасности и бизнеса», как утверждается, позволит руководству компаний оценить результативность усилий в области информационной безопасности и определить наличие ресурсов для достижения поставленных целей.

Наряду с этим, сообщается об упрощении процесса установки MaxPatrol SIEM 4.0 и сокращения числа действий, необходимых для развертывания системы.

По данным исследования, проведенного аналитиками IDC по заказу Positive Technologies, тройку SIEM-решений, наиболее широко используемых в нашей стране, составляют IBM Qradar, MaxPatrol SIEM и HPE ArcSight. На долю каждой из этих систем приходится приблизительно по четверти данного сегмента рынка (в 2015 году в Positive оценивали свою долю рынка в 10%). В IDC отмечают, что системы трех этих производителей занимают первые места в различных рыночных нишах.

Результаты исследования свидетельствуют также об удовлетворенности почти 70% респондентов эффективностью применяемой ими системы SIEM в выявлении инцидентов. Среди же основных причин недовольства называются зависимость SIEM от экспертов, необходимость слишком больших вложений во внедрение и постоянную поддержку системы, неспособность обнаруживать новые угрозы до возникновения инцидентов. Тем не менее, практически все респонденты (97%) заявили о намерении продолжить применение SIEM.

В Positive Technologies считают, что решение компании развивается в соответствии с такими рекомендациями IDC к функциональности SIEM, как более оперативное выявление инцидентов и снижение потребности в обслуживании системы высококвалифицированными экспертами.

Основными стимулами развития SIEM-бизнеса в компании называют реальные инциденты, требования регуляторов и импортозамещение, рассчитывая на растущий интерес к этим системам и низкий пока еще их уровень проникновения в России (15%, согласно IDC).

Среди факторов, характеризующих состояние своего SIEM-бизнеса, в Positive Technologies называют заметный рост числа пилотных и завершенных проектов, а также количества проектов, выполненных партнерами компании.

В прошлом году продажи MaxPatrol SIEM продемонстрировали, по данным компании, почти двукратный рост. В 2018-м намечено увеличить продажи более чем в четыре раза, что позволит, утверждают в Positive, стать лидером в данном сегменте российского ИТ-рынка.

Полномасштабное внедрение MaxPatrol SIEM оценивается не менее чем в 10 млн руб., а внедрение программно-аппаратного комплекса MaxPatrol SIEM Limited Edition, адаптированного к защите ИТ-инфраструктур небольших организаций, – в 5 млн.

Однако успешное внедрение и эффективное использование SIEM, поясняют в IDC, не только существенно повышает уровень безопасности, но и в долгосрочной перспективе способствует снижению затрат и на информационную безопасность, и на ИТ в целом.


Теги: Positive Technologies SIEM Кибербезопасность
На ту же тему: