В четверг был прям день пресс-конференций по ИБ. Сначала я послушал про итоги года компании Инфосистемы Джет, а потом переместился на презентацию SIEM от Positive Technologies ("Как увидеть невидимые кибератаки"). Мне повезло дважды: я был приглашен на обе, и они находились совсем рядом (в центре Digital October). Поэтому в этом посте я смогу рассказать сразу про обе.
Инфосистемы Джет
- Если кто-то читает мой твиттер , то помнит, что несколько недель назад я уже был на похожем мероприятии. Компания Solar Security (разработчик решений по ИБ и оператор услуг ИБ) была выделена из компании Инфосистемы Джет, и они уже рассказывали об итогах 2014 года (продажи) и планы на 2015 и далее. В этот раз говорили про итоги услуг консалтинга и внедрения решений ИБ специалистами компании Инфосистемы Джет.
- В 2014 году оборот компании о области ИБ составил 2,2 млрд рублей (рост на 5,77%, а в 2013 рост был 35,24%), доля работ в проектах достигла 95% прибыли.
- В 2014 году заключено 670 контрактов, реализовано 205 проектов. Количество заказчиков увеличилось на 7%.
- В 2014 году ритейл продемонстрировал рост в 1,5 раза (защита приложений, антифрод, управление доступом), ТЭК в 1,8 раза (управление доступом и создание центров обработки инцидентов), силовые структуры - в 2 раза.
- В 2014 году наибольший финансовый результат принесли следующие направления: управление доступом, защита web-сервисов и DLP. Их объем в обороте компании вырос на 98, 60 и 17% соответственно. Отдельно отметили, что трендом для DLP стало повышение запросов на контроль конечных рабочих станций.
- На конец 2014 года в портфеле решений компании числится 150 продуктов по информационной безопасности.
- В 5 раз выросло число запросов со стороны Заказчиков на проекты по защите от мошенничества (внутреннего и внешнего).
- Опыт проведения тестов на проникновение показал, что инфраструктура 99% компаний уязвима. Топ 5 уязвимостей Заказчиков:
- слабые пароли;
- отсутствие осведомленности сотрудников о вопросах ИБ (социальная инженерия);
- отсутствие систем защиты (AV, IPS, IDS, WAF);
- сетевые уязвимости (ARP-Spoofing, DNS-Spoofing);
- уязвимости web-приложений (Cross Site Scripting, Cross Site Request Forgery).
- Отдельно понравилось то, что на мероприятие были приглашены многие эксперты компании, и с ними можно было более конкретно пообщаться, да и просто увидеть "лицо экспертизы". А вот так, например, выглядел один из разворотов брошюры:
Positive Technologies
- Первое, что бросается в глаза на этой пресс-конференции, это спикеры - молодые ребята в футболках и джинсах. Складывалось впечатление, что сейчас будут рассказывать про какой-то простенький институтский дипломный проект. Ох, уж эти "хакеры". Мог бы уже и привыкнуть, а ведь еще пару месяцев назад шутил про отсутствие пиджака у Ильи Медведовского на семинаре ФСТЭК России...
- Первые презентации были короткими и простыми. Немного рассказали про опыт проведения тестов на проникновение:
- Поругали конкурентов:
- Но самое главное, и уже интересное, было про MaxPatrol SIEM :
- Ребята из Positive Technologies подготовили 2 очень крутых видео-ролика (если будут выложены, то дам ссылку). Первый общий про SIEM, в котором быстро показали основные элементы интерфейса системы. А во втором показали сценарий типовой атаки и механизмы ее обнаружения. Отдельное спасибо за то, что оставили довольно много времени для секции вопросов и ответов.
- Итак, что такое MaxPatrol SIEM ? Ребята превзошли ожидания и вместо отдельного простенького продукта, который умеет собирать логи и как-то систематизировать их, сделали огромный многофункциональный комбайн, скрещенный с их уже привычным нам сканером MaxPatrol. По сути, это стало как бы одним решением, реализованным на одной платформе (хотя продукты можно купить и по отдельности). По этому поводу уже шутят в твиттере:
- Выглядит и по описанию MaxPatrol SIEM очень неплохо! Онпозволяет проводить инвентаризацию ИТ-активов компании, обнаруживать в них уязвимости (отсутствие патчей и слабые настройки), выявлять события, связанные с готовящимися или уже произошедшими атаками. А вот с реагированием на инциденты система справляется хуже, но это, в принципе, и не задача SIEM...
- В основе продукта используются нереляционные базы данных (ElasticSearch и MongoDB), что, по заверениям разработчиков, позволяет справляться с большими объемами информации. Интерфейс системы выглядит простым и удобным, можно настраивать виджеты (сводка по событиями), формировать сложные отчеты, в систему встроен механизм управления задачами (например, по устранению уязвимостей).
- Основным достоинством MaxPatrol SIEM я бы назвал сильную интеграцию со сканером уязвимостей, а также огромную экспертизу и опыт проведения тестов на проникновение командой Positive Technologies, которые стали хорошей методологической базой нового решения. Присмотреться к нему однозначно стоит!
- Но так как функционал обширный, да и продаваться будет, скорее всего, чаще вместе со сканером MaxPatrol, то и ценник, полагаю, у решения будет высоким (сопоставим с западными конкурентами типа HP ArcSight и IBM QRadar).
- Отдельно упомяну, что очень приятно было увидеть на мероприятии коллег-блогеров. Вот они, сидят в первом ряду:
- А вот и их обзоры про MaxPatrol SIEM:
- Артем Агеев - пост в блоге
- Сергей Борисов - может что напишет в блог
- Сергей Комаров - пост в блоге
- Аркадий Прокудин - материалы на странице в ФБ , но может будет и подкаст