В компании считают появление данного решения очень своевременным. Статистика, накопленная в Positive при работе с заказчиками, свидетельствует, что защищенный периметр 87% локальных вычислительных сетей уязвим для проникновения извне, и 61% корпоративных информационных систем может взломать даже не самый многоопытный хакер. Пентестеры (специалисты по тестированию ИТ-систем на проникновение, от англ. penetration testing. — Прим. ред.) из Positive убедились, что взлом сети предприятия занимает в среднем три-пять дней, при этом их действия были обнаружены службами безопасности компаний только в 2% случаев тестирования. И ни разу пентестерам не оказывалось организованное противодействие.

Как заявил директор по методологии и стандартизации Positive Дмитрий Кузнецов, такая удручающая статистика имеет свое объяснение: в большинстве российских организаций нет полного представления о собственных информационных активах, отсутствует понимание потенциальных угроз для них. И хотя во многих компаниях имеются специальные защитные средства, чаще всего факт взлома обнаруживается лишь после того, как злоумышленник сделал свое черное дело.

Для обнаружения этих «невидимых» атак рынок предлагает продукты отдельного класса — SIEM (Security Information and Event Management). Их основная задача – сбор данных от различных устройств и приложений предприятия и автоматическое выявление инцидентов. Но, как считают в Positive, на практике эффективность большинства продуктов SIEM остается низкой. Либо такие системы не целиком охватывают информационные ресурсы предприятия, либо у разработчика нет ясного представления о значимых признаках атак и продукт не способен эффективно выявлять их, либо продукт сконцентрирован на событиях безопасности и не может дать комплексной оценки уровня защищенности информационных ресурсов.

Заместитель генерального директора по развитию бизнеса Positive Борис Симис утверждает, что MaxPatrol SIEM лишен этих недостатков, потому что при его разработке использован уникальный опыт компании, полученный в ходе пятнадцатилетних исследований уязвимостей корпоративных ИТ-систем заказчиков (бизнес-приложений, банковских, телекоммуникационных систем и АСУ ТП).

В качестве базовой единицы ИТ-инфраструктуры предприятия MaxPatrol SIEM оперирует понятием «актив». К активам в Positive относят различные объекты: серверы, приложения, стационарные и мобильные устройства пользователей, сетевое оборудование, средства безопасности, а также ИТ-сервисы, в том числе облачные. Для идентификации и инвентаризации активов MaxPatrol SIEM использует широкий набор инструментов, обрабатывающих данные сетевого трафика, журналы событий, конфигурационные файлы, результаты работы сканеров и иных защитных систем. На основе этих данных MaxPatrol SIEM формирует древовидную модель активов, в которой указаны их конфигурации, уязвимости и связи. Модель позволяет произвольно группировать активы, визуально представляя всю топологию сети, и привязывать значимые события к активам.

Располагая данными об уязвимостях, топологии сети и корпоративном трафике, а также базой знаний Positive об актуальных угрозах и техниках атак, решение MaxPatrol SIEM автоматически генерирует правила корреляции событий. Это позволяет выявлять несанкционированные действия на самых ранних стадиях инцидентов и оперативно реагировать на них. По аналогии с механизмами Big Data в Positive называют свою методику Smart Data, замечая при этом, что в отличие от «классических» Больших Данных их продукт использует не весь информационный пул, а лишь определенный набор ресурсов.

В MaxPatrol SIEM имеется гибкий конструктор отчетности, используя который можно в наглядном виде представить самые разные сведения об уровне защищенности ИТ-системы предприятия. Разработчики подчеркивают, что продукт целиком спроектирован в России и поможет заказчикам на практике реализовать стратегию импортозамещения.

«MaxPatrol SIEM — это тот самый случай, когда импортозамещение не является очковтирательством. Продукт учитывает все требования регуляторов, ведь специалисты Positive участвуют в работе технических комитетов Росстандарта и рабочих групп ФСТЭК России, оказывая им экспертную помощь в формировании национальных требований безопасности. Вместе с тем предложенное решение учитывает сложившиеся в мире передовые практики и может на равных конкурировать с другими разработками на глобальном рынке», — заявил Симис.