21 Мая, 2015

Презентация нового MaxPatrol SIEM

Алексей Комаров



КомпанияPPositive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием «Как увидеть невидимые кибератаки?». Ответ на данный вопрос предполагался достаточно очевидный — с помощью MaxPatrol SIEM.


До презентации самого SIEM коллеги рассказали кратко о истории своей компании, какPздорово у них получается делать пентесты (взлом сети компании занимает 3-5 дней), какие методы используют для проникновения и почему их почти никогда не обнаруживают администраторы проверяемых компаний. Несколько слайдов про это ниже.


Positive Technologies. Безопасность в цифрах

Positive Technologies. Безопасность в цифрах


Positive Technologies. Используемые недостатки

Positive Technologies. Используемые недостатки


Positive Technologies. Проблема обнаружения

Positive Technologies. Проблема обнаружения


Непосредственно презентация MaxPatrol SIEM представляла собой два видео-ролика. Сделаны качественно, хотя, конечно, требуют аудитории, которая понимает суть хакерских атак, но не слишком глубоко (иначеP банально и не впечатляет ). В любом случае, очень здорово, что интерфейс системы показывали именно на видео — действительно, это же не пилотное тестирование, какая разница: живая перед нами система или запись с вырезанными лишними движениями курсора мыши, кликами и ожиданиями отклика системы?


Технической стороне вопроса (всё же формат мероприятия — пресс-конференция) было уделено ровно столько, сколько надо: оставшиеся у каждого вопросы можно было задать после: и про используемые базы данных и про возможности дашбоардов.


Что касается непосредственно самого MaxPatrol SIEM (ранее рабочее название было MaxPatrol X), то по словам представителей Positive Technologies они создали новую платформу, которая, например, в терминологии Gartner попадает сразу в несколько его Магических Квадратов , но для определённости в глазах заказчиков остановились всё же на варианте названия именно SIEM. Отчасти поэтому среди конкурентов оказались «псевдо-российские разработки с переклеенными шильдиками«. Вот такой вот камень в некоторый огород был отправлен в ходе презентации =)


Про преимущества нового продукта говорили много, они подробно расписаны вP листовке , но всё же самым вкусным на мой взгляд является то, что вся годами нарабатываемая Positive Technologies экспертиза в понимании того, как именно работают хакеры (как они проникают в системы, какие методы и инструменты используют) легла в основу правил для корреляционного движка. Поэтому MaxPatrol SIEM по череде характерных событий способен выявить планируемую атаку даже таргетированную (целенаправленную) на достаточно раннем этапе и отреагировать на неё с упреждением. Ну, по крайне мере в теории может =) Хотя, коллеги были достаточно убедительны — так что не удивлюсь, если первые практические результаты будут близки к маркетинговым обещаниям.


В заключение небольшая, но говорящая деталь — код листовки, которую выдавали участникам: MP_SIEM_PB_A4.RUS.001.03.MAY.18.2015 Чувствуете всю системность и серьёзность подхода даже к разработке маркетинговых материалов? =)


Positive Technologies. MaxPatrol SIEM. Код листовки

Positive Technologies. MaxPatrol SIEM. Код листовки


Ещё некоторые слайды и тезисы с пресс-конференции можно отыскать в твитах Сергея Борисова ( @sb0risov ) и Андрея Прозорова ( @3dwave ).


Из мелочей — меня почему-то до сих пор в базах Positive Technologies считают сотрудником SafeLine. Да, тут системность чуть пострадала, видимо =)


ZlonovRu




Пост Презентация нового MaxPatrol SIEM впервые был опубликован на ZLONOV.ru | Присоединяйтесь: P