Озеро данных безопасности на базе Smart Monitor
Компания VolgaBlob объявила, что расширила сценарии применения своего флагманского продукта Smart Monitor, предназначенного для зонтичного ИТ-мониторинга, построения SOC/SIEM и анализа бизнес-процессов. Теперь платформа может применяться как Security Data Lake (озеро данных безопасности). Это открывает возможности для глубокого ретроспективного анализа данных и выявления сложных длительных атак.
В случае целевых атак, поясняют в компании, их глубина, как показывает практика, может доходить до нескольких лет. Но традиционные SIEM-решения ориентированы преимущественно на оперативный потоковый анализ событий за короткий период времени, от 7 дней до месяца, и не всегда эффективны для выявления и расследования таких угроз. В результате, комментируют в VolgaBlob, SIEM реагирует на вспышку, но может пропустить тлеющий месяцами пожар. А Security Data Lake – логичное и необходимое развитие инфраструктуры безопасности, которое закрывает эту «слепую зону».
Озеро данных безопасности, развернутое на платформе Smart Monitor, помогает организовать масштабируемое хранилище огромных потоков информации, относящейся к безопасности. В него могут поступать данные из любых источников – сетевые логи, телеметрия от агентов, события от облачных сервисов. В отличие от SIEM, в большинстве своем Security Data Lake не требует жесткой схемы для записываемых данных: информация хранится «как есть» и может быть обработана и структурирована уже в момент запроса или аналитики. Это позволяет использовать данные в любое время, когда они будут необходимы.
Благодаря такому подходу можно работать с максимально широким объемом исходных данных, которые хранятся длительное время – год и более – для ретроспективного анализа без потери деталей и контекста. Причем в сравнении с классическими системами управления событиями ИБ, использование Security Data Lake на базе Smart Monitor, по данным компании, может сокращать расходы на лицензии и общую стоимость владения до 50%.
Более того, функциональность Security Data Lake выходит за рамки задач безопасности. С помощью аналитического инструмента другие подразделения – например, ИТ, производство, HR – могут видеть полную картину происходящего в корпоративной инфраструктуре и принимать обоснованные управленческие решения. Среди уже реализованных сценариев – балансировка нагрузки на сотрудников и снижение ФОТ на переработки, контроль дисциплины запуска линий на производстве, расследование хищений на складах через ретроспективный анализ метаданных.
Как подчеркивают в VolgaBlob, SIEM и Security Data Lake не конкурирующие, а взаимодополняющие технологии. В идеальном сценарии они работают в тандеме: SIEM фиксирует подозрительную активность в реальном времени для немедленного реагирования, а Security Data Lake позволяет проследить полную картину: когда эта активность началась, какие системы были затронуты, были ли похожие паттерны в прошлом. Вместе они обеспечивают полную видимость угроз и повышают вероятность обнаружения даже самых сложных. В Smart Monitor эти технологии могут быть объединены в одном продукте, без необходимости интеграции разрозненных систем класса мониторинга и средств защиты.