Верхнее

Positive Technologies. MaxPatrol SIEM

Презентация нового MaxPatrol SIEM

Компания Positive Technologies сегодня провела пресс-конференцию для СМИ, блогеров и экспертов под общим названием «Как увидеть невидимые кибератаки?». Ответ на данный вопрос предполагался достаточно очевидный — с помощью MaxPatrol SIEM.

До презентации самого SIEM коллеги рассказали кратко о истории своей компании, как здорово у них получается делать пентесты (взлом сети компании занимает 3-5 дней), какие методы используют для проникновения и почему их почти никогда не обнаруживают администраторы проверяемых компаний. Несколько слайдов про это ниже.

Positive Technologies. Безопасность в цифрах

Positive Technologies. Безопасность в цифрах

Positive Technologies. Используемые недостатки

Positive Technologies. Используемые недостатки

Positive Technologies. Проблема обнаружения

Positive Technologies. Проблема обнаружения

Непосредственно презентация MaxPatrol SIEM представляла собой два видео-ролика. Сделаны качественно, хотя, конечно, требуют аудитории, которая понимает суть хакерских атак, но не слишком глубоко (иначе банально и не впечатляет). В любом случае, очень здорово, что интерфейс системы показывали именно на видео — действительно, это же не пилотное тестирование, какая разница: живая перед нами система или запись с вырезанными лишними движениями курсора мыши, кликами и ожиданиями отклика системы?

Технической стороне вопроса (всё же формат мероприятия — пресс-конференция) было уделено ровно столько, сколько надо: оставшиеся у каждого вопросы можно было задать после: и про используемые базы данных и про возможности дашбоардов.

Что касается непосредственно самого MaxPatrol SIEM (ранее рабочее название было MaxPatrol X), то по словам представителей Positive Technologies они создали новую платформу, которая, например, в терминологии Gartner попадает сразу в несколько его Магических Квадратов, но для определённости в глазах заказчиков остановились всё же на варианте названия именно SIEM. Отчасти поэтому среди конкурентов оказались «псевдо-российские разработки с переклеенными шильдиками«. Вот такой вот камень в некоторый огород был отправлен в ходе презентации =)

Про преимущества нового продукта говорили много, они подробно расписаны в листовке, но всё же самым вкусным на мой взгляд является то, что вся годами нарабатываемая Positive Technologies экспертиза в понимании того, как именно работают хакеры (как они проникают в системы, какие методы и инструменты используют) легла в основу правил для корреляционного движка. Поэтому MaxPatrol SIEM по череде характерных событий способен выявить планируемую атаку даже таргетированную (целенаправленную) на достаточно раннем этапе и отреагировать на неё с упреждением. Ну, по крайне мере в теории может =) Хотя, коллеги были достаточно убедительны — так что не удивлюсь, если первые практические результаты будут близки к маркетинговым обещаниям.

В заключение небольшая, но говорящая деталь — код листовки, которую выдавали участникам: MP_SIEM_PB_A4.RUS.001.03.MAY.18.2015 Чувствуете всю системность и серьёзность подхода даже к разработке маркетинговых материалов? =)

Positive Technologies. MaxPatrol SIEM. Код листовки

Positive Technologies. MaxPatrol SIEM. Код листовки

Ещё некоторые слайды и тезисы с пресс-конференции можно отыскать в твитах Сергея Борисова (@sb0risov) и Андрея Прозорова (@3dwave).

UPD. 22.05.2015 Ещё впечатления коллег можно почитать здесь: Артём Агеев «Positive SIEM«, Александр Бодрик «MaxPatrol SIEM — отчаянная ставка Позитивов«

Из мелочей — меня почему-то до сих пор в базах Positive Technologies считают сотрудником SafeLine. Да, тут системность чуть пострадала, видимо =)

ZlonovRu

, ,