MONT и партнеры

SIEM или SOAR: что выбрать?

В прошлом посте мы рассказывали о том, что такое SIEM. Продолжаем тему средств защиты ИБ и познакомим еще с одним инструментом — SOAR. В чем разница между ними и какой выбрать в каждом конкретном случае?

Слово Дмитрию Наумову, техническому эксперту MONT.

Системы классов средств защиты информации SIEM и SOAR во многом похожи.

➡️ Во-первых, обе системы используются в уже зрелой инфраструктуре. SIEM и SOAR получают события от различных источников и аккумулируют их в своей БД. Это позволяет специалисту по ИБ не тратить время на просмотр событий в различных СЗИ и работать в едином графическом интерфейсе.

➡️ Во-вторых, SIEM и SOAR, как правило, имеют возможности дополнительного анализа комбинаций событий, если такие функции предусмотрены набором правил. Эти системы могут связывать между собой определенные последовательности событий от разных источников и предупреждать о возникновении возможного инцидента ИБ.

Функциональность SIEM на этом заканчивается.

SOAR идет дальше и реализует оркестрацию, автоматизацию и реагирование. СЗИ не только присылают свои события в одно большое хранилище с инструментами анализа, но и управляются они оттуда же, частично автоматизировано.
Из SOAR оператор может осуществлять «командование» другими СЗИ. Это позволяет повысить скорость и точность работы специалиста по ИБ и предоставить функции по быстрому траблшутингу систем безопасности.

Более того, SOAR также предоставляет оператору руководства для расследования инцидентов ИБ и реагирования на них. Это значительно ускоряет процесс работы и позволяет распределять задачи между сотрудниками соответственно их ролям.

Но широкая функциональность SOAR подразумевает более сложную интеграцию. Она занимает больше времени — систему нужно наполнять плейбуками и настраивать управляющие подключения от SOAR к СЗИ-источникам.

И SIEM и SOAR в любом случае потребуют донастройки — чтобы оптимизировать процесс работы, необходимо регулярно обновлять списки исключений. Но для SOAR нужно также дописывать новые плейбуки, если они не поставляются вендором — новые угрозы и способы эксплуатаций уязвимостей появляются каждый день.

Основной критерий выбора между SIEM и SOAR — необходимая скорость расследования. Если требуется удобное окружение для просмотра событий сразу со всех СЗИ и оперативного анализа активностей — имеет смысл выбрать SIEM. Если количество инцидентов ИБ растет, и появляется необходимость в формировании отдела мониторинга 24/7 — нужно брать SOAR.

#ИБ

Как работает SIEM

Возможно ли выявить потенциальную угрозу еще до того, как она нанесла ущерб компании? Да, в этом поможет SIEM. Востребованность этих систем растет с каждым годом — эксперты предсказывают, что к 2026 году российский объем рынка может вырасти до 48,8 млрд руб.

В этом посте рассмотрим принцип работы SIEM. И поможет нам в этом технический эксперт MONT Дмитрий Наумов.

⏮ Задача SIEM (Security Information & Event Management) — предоставить специалисту по ИБ удобный инструмент для анализа и расследования инцидентов. С ее помощью можно оперативно получить события как со средств мониторинга конечных точек и антивирусов, так и данные трафика и журналы специфических СЗИ.

Также SIEM обеспечивает резерв на случай выхода из строя БД какого-либо СЗИ, либо позволяет сократить количество ресурсов, требуемых для хранения журналов.

Каждая СЗИ использует свой формат записи событий, интерфейсы и сроки хранения журналов, которые служат источниками для SIEM. События отправляются в разных форматах. Но при попадании в SIEM они проходят парсинг и нормализацию — текст события разбивается на поля со стандартизированными внутренними именами.

После нормализации могут быть также добавлены дополнительные сведения. Это предоставляет оператору дополнительное преимущество в скорости расследования подозрительной активности.

Пример: специалисту по ИБ нужно расследовать подозрительную активность на веб-сервере с помощью средства защиты конечных точек, системы обнаружения вторжений и межсетевого экрана уровня приложений. Если SIEM не установлена, придется пройти аутентификацию в веб-интерфейс каждого решения. А далее сопоставлять данные подключений, названия файлов и другие признаки компрометации. Все это займет много времени и увеличит влияние человеческого фактора — у оператора будет больше возможностей ошибиться.

С установленной SIEM расследование займет гораздо меньше времени. Достаточно будет пройти аутентификацию один раз, провести анализ активности на сервере и получить информацию по сетевому взаимодействию подозрительных процессов. В этом случае использовать внешний документ для записи расследования не потребуется — работа будет происходить в одном и том же веб-интерфейсе.

В случае наличия в SIEM интеграции с используемыми решениями, события также будут обогащены и скоррелированы. А повторяющиеся события ИБ или последовательность событий, указывающих на определенный тип активности, будут сгруппированы, объединены в один инцидент и снабжены дополнительной информацией для помощи оператору SIEM в расследовании⏭.

В следующем посте расскажем про разницу между SIEM или SOAR — что выбрать?

#ИБ

5 киберугроз, актуальных в 2024

Сегодня в гостях у MONT Андрей Куликов, руководитель центра продвижения решений BI.ZONE. Он отмечает пять самых распространенных киберугроз в этом году, а еще дает советы, как компаниям защититься от них.

Как обезопасить себя от фишинга, мисконфигураций и не только — смотрите в карточках ⬆️.

#ИБ

Как MONT проводит демонстрации продуктов

Мы много рассказываем о наших вендорах и их многочисленных решениях. И в этом разнообразии иногда трудно понять, какое именно подойдет лучше всего. И тут MONT не бросает своих партнеров и заказчиков и помогает с этой непростой задачей — показывает функционал продуктов в действии.

Игорь Зайцев, начальник отдела технической экспертизы ИБ MONT, расскажет про проведение демонстраций ИБ-решений — как проходят и кому могут быть полезны.

⏮ Пока мы разработали несколько сценариев для пяти вендоров по ИБ — «Лаборатория Касперского», Positive Technologies, Check Point, UserGate, «Код Безопасности». Их содержание и перечень будут расширяться по мере развития функциональности решений и пополнения нашего портфеля новыми вендорами и продуктами.

Разработка сценариев демонстрации — это сложная задача. Нужно понимать и потребности заказчика, и возможности продукта. Даже если у пользователя есть демо-стенд, вряд ли он сможет без посторонней помощи понять, насколько продукт подходит для его задач и что вообще он может.

Для кого предназначены?

Демонстрации ориентированы как на техническую аудиторию, так и на руководство компаний заказчиков. И могут быть кастомизированы под процессы конкретного бизнеса.

Как проходят демонстрации?

Демо по типовому сценарию занимает, как правило, один час. Время может быть немного увеличено за счет сессии вопросов-ответов. Проводится онлайн или офлайн на базе киберполигона — его открытие анонсируем в середине ноября.

В чем уникальность киберполигона?

Киберполигон — виртуальная среда, в которой выстроена типовая сетевая инфраструктура организации и развернуто большое количество ИБ-продуктов.

Он позволяет не только протестировать работу продукта в живой среде с инфраструктурными сервисами, но и в связке с другими продуктами, проанализировать работу сразу нескольких средств ИБ, посмотреть похожие решения и сделать для себя выводы, какой из продуктов подойдет под конкретную задачу.

Если же компании достаточно знакомства с интерфейсом и базовым функционалом продукта, то она может ограничиться простым демо-стендом⏭.

#продукты

MONT Partner Day в Москве: делимся видео

Смотрите заряжающие ролики с нашего мероприятия ⬆️.

И впервые — собрали для вас выступления вендоров по ссылке. Узнайте, что нового предлагают российские разработчики и как их решения помогут в импортозамещении.

Приятного просмотра!

А мы завершаем серию MONT Partner Day 2024 и обязательно увидимся со всеми в следующем году. До скорой встречи!

#montpartnerday

Первая российская SIEM и ОС для медицины: представляем ИТБ

Сегодня «Инновационные Технологии в Бизнесе» отмечают 15 лет. Спешим поздравить с юбилеем 🎆. А заодно — хотим вас познакомить. Рассказываем о флагманских сервисах вендора, которые теперь представлены в MONT.

1️⃣ Какие решения ИТБ больше всего интересны заказчикам?

Прежде всего, это первая российская система мониторинга и корреляции событий ИБ Security Capsule SIEM. В двух словах: система отслеживает и анализирует события, выявляет угрозы. Она снижает ИБ-риски и сокращает время реагирования на инциденты.

Также популярна ОС EMIAS 1.0 для Единой медицинской ИАС. Она гарантирует стабильную работу критически важных систем.

Оба решения легко интегрируются с системами на рынке и адаптируются под нужды заказчиков.

2️⃣ Кому пригодится ПО?

Прежде всего, заказчикам из сфер с высокими требованиями к ИБ.

Так, Security Capsule SIEM актуальна для крупных компаний с распределенной инфраструктурой: например, финсектор, госсектор, энергетика. Там важно соответствовать стандартам безопасности (ФЗ-152, PCI DSS).

ОС EMIAS 1.0 будет полезна для госсектора и медицины. Там она обеспечивает стабильную и безопасную работу систем.

3️⃣ Как внедрять решения?

Этот процесс состоит из нескольких этапов:

⚙️ анализируем требования с участием системных аналитиков;

⚙️ архитекторы и инженеры проектируют и настраивают систему;

⚙️ тестируем и делаем пилотный запуск, проверяем совместимость;

⚙️ инженеры DevOps настраивают интеграцию и подключение данных;

⚙️ обучаем команду, помогаем с техподдержкой.

4️⃣ Какие планы на будущее?

⏮ Планируем развивать существующие решения на основе инноваций. Еще будем внедрять успешные технологии других ИТ-компаний ⏭.

Из интересного: в последнем обновлении Security Capsule SIEM интегрировали языковую модель GigaChat от «Сбера». Это улучшило точность и скорость анализа инцидентов.

#ИБ #знакомство_с_вендором

За САПР отвечаем: сравниваем российские и зарубежные системы

Разбираем топ-5 отличий отечественных САПР от иностранных с Дмитрием Гиндой, руководителем отдела маркетинга АСКОН.

1️⃣ Соответствуют требованиям PLM и BIM

В машиностроении и строительстве уже давно перешли от 2D к 3D. Поэтому AutoCAD можно смело назвать морально устаревшими. Технологии под капотом изжили себя и не могут конкурировать с другими 2D-инструментами.

Для сравнения: в российских решениях уже реализован объектный подход. Это позволяет перейти от 2D к 3D и к BIM без смены вендора и парадигмы проектирования. Примеры: наши КОМПАС-График и КОМПАС-Строитель.

3️⃣ Есть поддержка местных стандартов и ГОСТов

Это базовая потребность пользователей. Например, поддержка ГОСТов на электронную модель изделия и электронную структуру. Такие возможности российских решений позволяют перейти к безбумажной технологии.

Плюс у наших сервисов есть возможность настройки под стандарты предприятия. Это упрощает жизнь пользователей и дает им максимально настроенные шаблоны. Например, можно и предзаполнить часто используемые поля, и картинку с лого компании вставить.

3️⃣ Можно интегрировать с российским софтом и железом

Для совместимости с ОС мы организовали работу КОМПАС-3D через свободное ПО Wine от Etersoft. С российским железом тоже дела обстоят хорошо: например, работаем с SharxDC. Плюс есть несколько уровней интеграции с ПО:

➡️ На уровне файлов. У нас есть поддержка наиболее распространенных форматов: от DWG/DXF до STEP 242 и IFC. Это позволяет обмениваться информацией на уровне данных, появляющихся в процессе работы.

➡️ Следующий уровень — это когда доступ к информации необходимо получить без использования ПО, которое его создает. Тут на помощь приходит наш открытый API в бесплатном доступе. API можно использовать для повышения уровня автоматизации бизнес-процессов с КОМПАС-3D.

4️⃣ Более выгодны с финансовой точки зрения

Есть самые разнообразные лицензии: временные и постоянные, локальные и сетевые. Можно купить комплекты или собрать спецификацию самостоятельно — смотря, что вам удобнее. Для тех, кто пока использует AutoCAD или другие западные решения, доступен и трейд-ин: это уменьшит затраты на миграцию.

Плюс у нас, например, есть бесплатные лицензии для стартапов (на начальном этапе) и особые условия для образовательных учреждений.

5️⃣ Более высокий уровень техподдержки

Это я считаю ключевым. Так, у нас под бизнес-процесс техподдержки выделена целая структура. Четко работающая и бесплатная поддержка есть у всех пользователей с начального уровня. Конечно же, есть гарантийная поддержка и индивидуальная техподдержка.

#САПР