понедельник, 20 ноября 2017 г.

Центр мониторинга ГосСОПКА на платформе R-Vision

Уже совсем скоро 1 января 2018 г. вступает в силу закон о безопасности КИИ и для многих организаций в полный рост встанет вопрос создания своего SOC-а, а точнее собственного центра мониторинга ГосСОПКИ.

К настоящему моменту НКЦКИ разработал методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА, в которых освещены общие вопросы создания центров ГосСОПКА и основные функции.  

Мы проанализировали указанные выше методические рекомендации с точки зрения того, в какой степени функции центра мониторинга (ЦМ) ГосСОПКА могут быть реализованы на базе решения R-Vision Incident Response Platform (R-Vision IRP) и какие технические средства необходимо использовать, чтобы полностью обеспечить реализацию каждой функции.
Проведя детальное сравнение функциональных требований к центру мониторинга ГосСОПКА и возможностей продукта R-Vision IRP, мы сделали вывод о том, что разрабатываемое нами решение в целом позволяет обеспечить выполнение почти половины (48%) всех рекомендаций. 

Подробнее об этом читайте в нашем блоге.

А еще подходите на наш стенд на ближайших мероприятиях:

вторник, 14 ноября 2017 г.

Обзор R-Vision IRP на Anti-Malware.ru

Выбор программного обеспечения для решения той или иной проблемы - это всегда очень непростая задача. Понять кто вообще работает в этой области, какие есть аналоги, по каким критериям их сравнить, посмотреть на отзывы других пользователей.  Все это является крайне важным для принятия правильного решения. 

Нам часто задают вопрос "А кто ваши конкуренты ?" и "А чем вы лучше/хуже?", мы отвечаем честно, конкурентов называем и всегда предлагаем посмотреть и оценить наш продукт в реальной работе. Потому как на бумаге и из уст специалистов по продажам все всегда звучит очень красиво (я уж не говорю что некоторые конкуренты идут на откровенный обман потребителей). А вот в реальной жизни и проверяется где действительно стоящая вещь, а где так.... фантик.

Именно поэтому мы в свое время делали такой ресурс как ISM:Маркет, который позволил бы быстро получить картину предложения на рынке информационной безопасности. Проект к сожалению пришлось свернуть (т.к все усилия были направлены на основную разработку), но тем не менее с тех пор появилось несколько ресурсов с похожей целью. 



И есть портал Anti-Malware.ru.  Коллеги во главе с Ильей Шабановым делают очень правильное дело, на мой взгляд. Они выпускают сравнения, обзоры решений и вообще дают очень полезную аналитику по рынку, которую пока у нас больше никто не поставляет (как-то довелось смотреть отчеты зарубежных грандов аналитики, честно говоря, их оценки российского рынка ИБ и игроков на этом рынке выглядели просто смешно, а точнее абсолютно некорректно). 

Некоторое время назад уже выходил обзор рынка SGRC решений, в котором был рассмотрен наш продукт по управлению рисками и комплаенсом. 

И вот сегодня коллеги выпустили детальный обзор нашего ключевого продукта по автоматизации реагирования на инциденты ИБ и централизации деятельности SOC -

R-Vision Incident Response Platform

https://www.anti-malware.ru/reviews/r-vision-irp-3-1

Обзор получился довольно подробный, но даже он не смог охватить все возможные кейсы использования нашей разработки. Так что вернусь к изначальному посылу поста, все познается в реальной работе. Оставляйте у нас на сайте заявки на демо / пилоты, с удовольствем пообщаемся. 

А еще приходите на наш стенд на SOC Форум, который пройдет уже на следующей неделе.

четверг, 7 сентября 2017 г.

“Честная" игра на сравнении решений ИБ

На днях с легкой руки Алексея Комарова многие узнали про замечательное сравнение, которое кто-то сделал для конкурса в ПФР с целью обоснования невозможности купить в России то, что якобы может только IBM Resilient. 

Пруф-линки: 



В общем понятно что двигало этими людьми и я прекрасно понимаю, что все сравнения делаются с целью показать что кто-то лучше кого-то, а в данном случае еще и обойти запрет. Я не пытаюсь сказать, что нет никого круче нас. В чем-то однозначно лучше наш продукт, в чем-то конечно же конкурирующие решения, надо отталкиваться от потребностей клиента. Да и IBM это все таки IBM, и они делают очень неплохие решения. 

Но вот только крайне неприятно, что само сравнение основано на абсолютно недостоверной информации и явно не отражает сильных и слабых сторон сравниваемых решений. Так что возникает вопрос, действительно ли заказчику правильно описали наши возможности или намеренно ввели в заблуждение ? 

вторник, 11 июля 2017 г.

Мой доклад на PHD 2017: SOC 3.0

А вот мы мой доклад c прошедшей недавно конференции Positive Hack Days 2017

среда, 17 мая 2017 г.

Кибербаталии: Полураспад знаний

Покибербаталили вчера с коллегами немного. Было интересно.


понедельник, 15 мая 2017 г.

Чтобы не заплакать от WannaCry


Коллеги, началась рабочая неделя, которая грозит стать настоящим кошмаром для специалистов по информационной безопасности. Виновник всего вирус Wannacry. Подробный анализ произошедшего уже выпустили ряд компаний, например Лаборатория Касперского (https://blog.kaspersky.ru/wannacry-ransomware/16147/) и Cisco (https://habrahabr.ru/company/cisco/blog/328598/). 

Команда R-Vision подготовила небольшую утилиту, с помощью которой вы сможете провести сканирование вашей сети и обнаружить узлы, уязвимые для шифровальщика.


Не забудьте установить необходимые обновления !!! 

вторник, 18 апреля 2017 г.

Еще не PHD, но ...... Поговорим без купюр ?


Весна-осень традиционно активный деловой сезон. Это то время когда проходят различные конференции по информационной безопасности, на которых есть возможность пообщаться с коллегами, поделиться собственным опытом и перенять чужой. Конференции по ИБ уже давно подвергаются постоянной критике, в основном за контент что называется "рекламного характера". На мой взгляд эта критика имеет свое действие и, пусть медленно, но все же что-то начинает меняться в содержательном плане проводимых мероприятий и это же в свою очередь объясняет появление и успех таких конференций как PHD и ZeroNights. 

К чему я все это ? А к тому, что в эту пятницу команда Vulners проводит свою небольшую конференцию, больше даже скорее некий сейшн для обсуждения прикладных вопросов информационной безопасности. 

Мероприятие носит название: Хакер, вендор, клиент: безопасность без купюр

Подробности тут: http://www.kommersant.ru/doc/3254225

Это конечно еще не PHD и не ZeroNighs, но как знать, может быть из маленького зернышка вырастет что-то большое.  

Заодно посмотрим насколько такой формат будет воспринят широкой аудиторией.

P.S. Сам планирую там быть, так что увидимся на мероприятии.

четверг, 13 апреля 2017 г.

О технологиях, бизнесе и продажах

Вчера участвовал в Форуме АЗИ в дуэли «Как сохранить и приумножить опыт ИБ поколений». По задумке организаторов молодое поколение в лице меня, Дениса Калемберга (SafeTech) и Максима Степченкова (IT Task & RUSIEM) должно было дуэлировать с поколением старшим в лице Валеря Конявского (ОКБ САПР) и Андрея Чапчаева (Инфотекс). Разговор получился интересным, но у меня сложилось впечатление что люди в зале поделили нас на 2 лагеря: молодежь говорила больше про деньги / продажи, а старшие про технологии. Т.е вроде как раньше были все инженеры, а теперь одни продавцы им на смену идут. 

Давайте говорить на чистоту, в нашей среде почему-то слова "маркетинг", "продажи" и т.п. произносятся исключительно с негативным оттенком,  это считается чем-то зазорным, не достойным настоящего специалиста. 

Но давайте подумаем какое огромное количество технологий родилось в нашей стране или было создано выходцами из нашей страны, технологий, которые никто не смог правильно продать здесь, но зато после отъезда за рубеж, в те же самые США, там для таких башковитых ребят тут же находились инвесторы, которые прекрасно понимают как нужно продавать и технологии превращались в продукты, которые потом продавались обратно нам же в страну и уже отлично покупались.

К чему я все это, а к тому что технологии безусловно важны, и если мы говорим о разработке программного или аппаратного продукта, то конечно же важно чтобы это был добротный продукт, который решает проблемы, который облегчает жизнь пользователям и, говоря общими словами, несет им ценность.  Но каким бы ни был классным продукт / технология ее нужно уметь продать, и "продать" не равно "впарить". Не существует продуктов, которые нужны абсолютно всем (ну по крайней мере на рынке ИБ такого точно нет), а значит "продать" зачастую означает найти тех, кому вы действительно можете помочь своими разработками, параллельно в чем-то скорее всего измениться, чтобы больше соответствовать их ожиданиям. Что толку с того что у вас есть нечто прорывное/гениальное, но об этом никто не знает ?  А чтобы узнали надо "продавать".   Именно поэтому если мы говорим не об исследованиях, ни о научных работах, а о создании технологического бизнеса (!), продажи и создание технологий должны быть в соотношении 50/50, иначе очень высок риск не взлететь, а если это не является целью, то тогда это уже не бизнес. 

Все вышеобозначенное к сожалению в формат дискуссии уложить не получилось, поэтому решил прокомментировать здесь в своем блоге. 

P.S. Кстати, на следующей неделе модерирую Кибербаталии на тему "Парольная защита: есть ли альтернатива ?". Присоединяйтесь !

среда, 28 декабря 2016 г.

С благодарностью за прошедший год !

Кончается год, многие подводят итоги, строят планы, дают свои предсказания. Год оказался очень непростым, в определенных вещах даже где-то переломным.  Нашей команде удалось добиться очень серьезных успехов, наш бизнес вырос практически вдвое и примерно на столько же выросло число участников команды.  Впереди еще более амбициозные цели и задачи, а пока хочется сказать

Спасибо нашим клиентам! Вы выбрали наш продукт для решения ваших задач и мы стараемся сделать все, чтобы вы никогда не разочаровались в своем выборе. Мы получаем от вас обратную связь, которая помогает нам совершенствовать нашу разработку, видеть направления для дальнейшего развития и улучшения и благодаря вам в конечном итоге существует наш бизнес именно как бизнес, а не просто технологический проект.

Спасибо нашим конкурентам! Вы заставляете нас быть в тонусе и каждый день стремиться к большему. А попытки не замечать нас или занизить наши достижения и результаты лишь говорят нам, что мы на правильном пути.  

Спасибо команде R-Vision! Вы смогли, вытянули, добились. Я работаю в команде, которая делает уникальные вещи и способна совершать чудеса, это очень заряжает.  

Спасибо нашим партнерам! Благодаря вашим усилиям в уходящем году мы реализовали наши ключевые проекты и запланировали еще большее количество в году наступающем. Хочется пожелать чтобы наше сотрудничество продуктивно развивалось и в результате появлялось все больше довольных результатом клиентов. 

Спасибо и с наступающим Новым 2017-м годом ! 

пятница, 11 ноября 2016 г.

Тяжела жизнь стартапа

Год назад в Сколково проводился конкурс стартапов по информационной безопасности. Большое жюри из огромного количества заявок отобрало 10 финалистов и в конечном итоге выбрало 3х победителей (описание проектов взял тут).  

В этом году, кстати, конкурс проходит снова и еще есть несколько дней, чтобы подать свою заявку (https://sk.ru/foundation/events/august2016/cyber2016/).  

Я решил попробовать проследить судьбу проектов, участвовавших в конкурсе в прошлом году. 

Тройка победителей

№ 1 (Первое место) 

IP PIER — система защиты от DDoS атак на сетевом уровне, так и от DDoS атак на уровне приложений;
(x) Сайта у проекта нет. За последние 6 месяцев не найдено ни одного упоминания в сети Интернет, связанного с этим проектом. Проект как самостоятельный стартап скорее всего мертв, технологии (возможно) стали частью других продуктов (возможно используются тут - https://www.skyparkcdn.ru). 

№2 (Второе место)

AwareDefense — система контроля качества защиты организации от целевыхкибер-атак;
(=) У проекта есть сайт (http://www.awaredefense.com/), но при этом не найдено никаких упоминаний за последние 6 мес. Судя по сайту проект все еще в стадии бета, в общем и целом проект выглядит застывшим. 

№3 (Третье место) 

AutoVisor - комплекс мониторинга и выявления угроз информационной безопасности бортовых автомобильных систем;
(x) У проекта нет сайта, не удалось найти никаких упоминаний в сети Интернет, связанных с этим проектом. Проект скорее всего мертв, единственный материал, найденный в Интернет, ведет на сайт компании НСБ (http://newsb.ru/)

---

Ну и все остальные: 

«СайтСекьюр» — облачный сервис защиты сайтов от потерь и простоев, вызванных интернет-угрозами. Сервис мониторинга безопасности сайта избавляет от проблем с вирусами, хакерами и обеспечивает работу бизнеса без потерь и простоев;
(!) Сайт проекта: https://sitesecure.ru/. Проект развивается, недавно привлек инвестиции от фонда ФРИИ. 

Factod — сервис для разработчиков по защите мобильных приложений с помощью IoT- и wearable-устройств;
(x) Никаких сведений о проекте найти не удалось. 

Dynamic Web — паутина динамических ключей;
(x) Никаких сведений о проекте найти не удалось. 

Limbo-couб — проактивная cистема обеспечения информационной безопасности Limbo обеспечивает интегрированную защиты от мультивекторных угроз, включающих кампании АРТ-класса, современное вредоносное ПО и атаки, эксплуатирующие уязвимости «нулевого дня»;
(x) Никаких сведений о проекте найти не удалось. 

Data-driven intelligent framework — интеллектуальная платформа обеспечения безопасности информации и управления событиями в больших сетях.
(x) Никаких сведений о проекте найти не удалось. 

«Безопасный интернет вещей» — универсальное и безопасное решение вопроса подключения Вещей к Интернету, посредством Controlled-UWB RF-технологии, обеспечивающей криптозащиту структуры радио-сигнала;
(x) Никаких сведений о проекте найти не удалось. 

R-Vision — программный комплекс автоматизированного контроля и мониторинга за состоянием информационной безопасности организации и поддержки специалистов в принятии решений по комплексной защите информации организации от компьютерных угроз;
(!) Проект активно развивается, подробности можно читать в этом блоге, а также на сайте компании. Сайт: http://rvision.pro


Вот такая вот занимательная статистика. 

P.S. Если меня читает кто-то из основателей этих проектов и вы нашли здесь неточности, смело пишите в комментариях к этому посту.

P.P.S В этом году Команда R-Vision участие в конкурсе принимать не планирует. 

среда, 9 ноября 2016 г.

Поговорим о реагировании на инциденты

Это уже практически избитая истина, что все компании делятся на 2 типа: одни знают что их взломали, другие еще нет. Неприкасаемых, неуязвимых больше нет. Более того, вся логика последних дискуссий и все тренды в области регулирования вопросов информационной безопасности движутся от парадигмы "надо построить мощную защиту, бастион и тогда все будет хорошо", на "предотвратить проблемы невозможно, но нужно уметь оперативно с ними разбираться с целью минимизации последствий / ущерба". В этой парадигме одним из ключевых становится возможность (готовность) компании оперативно реагировать на те или иные внешние или внутренние события (инциденты). 

Вроде все не ново, описано уже много раз в различных стандартах под блоком "Управление инцидентами". Но как оно иногда бывает, умное, вроде, слово размывает конкретику. Процессы безусловно надо выстраивать, документы писать, процедуры прорабатывать, роли распределять и проч. Но это обретает практический смысл только если находит свое отражение в повышении эффективности команды реагирования и в оперативности принятия ответных действий на зарегистрированный инцидент. Иначе как в известной шутке:

- Чем в вашей компании занимается директор по развитию ?  
- Ну как, чем ? Следит за развитием событий. 

К чему я все это ?  А к тому что мы в команде R-Vision за последнее время провели немалую работу и готовы представить вам платформу R-Vision Incident Response Platform, которая предназначена как раз для повышения эффективности команды реагирования и координации всей деятельности по обработке инцидентов информационной безопасности. 

Хотите узнать подробности ?   Подключайтесь к вебинару - 


И обязательно приходите к нам на стенд на SOC-Forum v2.0. 

вторник, 8 ноября 2016 г.

А виноваты во всем будут.....хакеры

Сегодня выборы в США. В ходе предвыборной компании прошло немало знаковых моментов, касающихся нашей отрасли. Чего стоят обвинения в адрес правительства России о спонсировании хакерских атак на Белый дом, подтверждениями чего являются результаты слежки с использованием закладок (иплантов) в программном и аппаратном обеспечении, последующие угрозы об ответной кибератаке и даже информация в прессе о том, что якобы американские военные хакеры уже вторглись в российские коммуникационные сети и только ждут сигнала.  Но поговорить я хотел не об этом.  

В последнее время слова "хакеры", "кибератаки" и прочее на слуху. На федеральных каналах стали все больше рассказывать про различные проделки тех или иных преступных или идейных (вроде анонимусы) групп. Вся проблема в том что в электронном мире доказательства очень сложно предъявить широкой общественности и еще проще подделать. Это не те улики, которыми можно размахивать в суде, все намного тоньше. И именно поэтому у многих компаний появляется очень серьезный соблазн свалить все на вездесущих хакеров (не важно какой национальности). Вы, скажем, провайдер какого-нибудь онлайн-сервиса. Из-за бардака в вашей компании в какой-то момент у вас все падает, сервис недоступен. Признаться всем что у вас бардак как-то не комильфо, клиенты могут разбежаться. Можно всем сказать что вас жестко DDOS-или, но вы самоотверженно сражались и, в конце-концов, победили злодеев и сервис снова начал работать. Куда ведь круче звучит, правда ? Нужно вам уничтожить какие-нибудь данные, вы их удаляете, а потом утверждаете что к вам залезли все те же хакеры и все потерли. А где доказательства ?А нету, логи не велись, а если и велись, то следы ведут куда-то в условную куалу-лумпур, и кто его знает кто там сидел за несколькими проксями. Все, концы в воду. Очень привлекательно. 

Я не удивлюсь если за приличной долей "инцидентов" на самом деле скрываются исключительно собственные проблемы компаний. А теперь обратно к выборам в США, единственной (насколько мне известно) стране, где не используют бюллетени и все голосование идет через компьютерные системы.  Что мешает любому из кандидатов (хотя понятно что в первую очередь судя по риторике это относится к госпоже Клинтон) заявить что результаты выборов нелегитимны, т.к. есть уверенность, что вездесущие русские хакеры пролезли в компьютеры США и все там накрутили за другого кандидата. Понятно что для этого нужны будут доказательства, а что мешает взломать самим себя в ограниченном объеме собственными хакерами, чтобы иметь возможность потом сказать что компьютеры системы выборов были скомпрометированы ?  А ничто не мешает.  В этом то и проблема. 

P.S. Поверить в целенаправленный взлом и манипуляцию можно будет пожалуй только если в выборах победит В.Путин :) 

вторник, 1 ноября 2016 г.

Не пора ли начать активнее обмениваться информацией ?

Отрасль информационной безопасности очень закрытая, хотя, конечно, многое меняется в последнее время. Думаю все мы знаем какое существует огромное количество закрытых и не очень форумов, на которых кибер-преступники обсуждают уязвимости и инструменты взлома, делятся рекомендациями, предлагаю друг другу услуги и проч.  

А есть ли что-то подобное на светлой стороне силы ?  Ну не густо, скажем прямо. Куда податься за советом безопаснику ? 
  • Форум безопасников на bankir.ru. Есть полезные дискуссии, но конечно же большая часть относится чисто к банковской сфере и в основном обсуждают вопросы, связанные с соблюдением требований. 
  • Сообщество RISSPA в LinkedIn. Это конечно не единственная дискуссионная группа, но, пожалуй, единственная более-менее живая. 
  • Форум SecurityLab. Форум с техническим уклоном, тут много про уязвимости, хакинг, кодинг и проч.
Вот наверное и все площадки. Да, есть какие-то еще форумы, но в большинстве там все уныло. Я возможно о каких-то площадках не в курсе, напишите в комментариях, если знаете еще что-то стоящее.  

Да, у нас есть довольно активная блогосфера. Сравнивая с соседними странами, да и даже с западными странами, у нас все в целом довольно живо в плане блогерства. Но блоги это особый формат, это общение между автором блога и его читателями. Это не дискуссионная площадка в широком смысле. 

Это все с одной стороны.  С другой, государство активно подталкивает к тому, чтобы компании рассказывали об инцидентах информационной безопасности, как минимум регуляторам. Тут вам и FinCERT, тут и ГосСОПКА и заявления представителей ФСТЭК и ФСБ о возможных новых нормах об уведомлении. Прибавим к этому новые европейские нормы, также предписывающие уведомлять регулятора об инцидентах с персональными данными. 

Но уведомлять то это еще пол дела. Польза в этом только разве что регулятору. А где обмен информацией внутри отрасли ?  Как мне сообщить коллегам по цеху полезные сведения о схемах мошенничества, о признаках атаки, которой я подвергся ?   В рабочем порядке, тет-а-тет ?

Вакуум рождает полу-легальные схемы. На пример тот же клуб Анти-дропер, неофициальное название, периодически всплывало на некоторых банковских тусовках. Клуб, в рамках которого участники делятся информацией, которая помогает бороться с мошенниками и дропперами.  Думаю что есть еще что-то подобное, не особо афишируемое, ибо не совсем законное с точки зрения в первую очередь 152-ФЗ. 

Как быть ?  Вопросов больше чем ответов.  Чем не повод для дискуссии на SOC Forum 2016

До встречи на мероприятии и успехов в нелегком труде по отражению атак кибер-преступников !

среда, 12 октября 2016 г.

Выбираем SIEM. ТОП-10 ключевых критериев

Хочу продолжить тему выбора средств защиты, начатую в прошлом посте, и поговорить адресно про популярные нынче SIEM-ы. Нужен вам на самом деле SIEM или нет я обсуждать не буду, допустим, вы решили что нужен. Как выбрать ? Как сравнить имеющиеся решения ? Нужна видимо какая-то система критериев.  

В этом посте я хочу представить свою прикидку 10 ключевых критериев, на которые стоит обратить внимание при выборе SIEM. Сразу оговорюсь, что конечно это не исчерпывающий список и в рамках подбора решения для вашей организации его необходимо расширить. Выбрать только 10 непросто, есть еще немало других, которые не попали в итоговый список, просто потому что я искусственно ограничил список таким количеством. Я конечно же не претендую на истину в последней инстанции. Хотите как-то изменить мою 10-ку, прошу писать в комментариях.

1. Наличие успешных внедрений (в идеале в вашей отрасли). Думаю тут все очевидно, если продукт не работает / не используется ни у кого из вашей отрасли или может быть даже в целом в стране, то это повод задуматься хотите ли вы быть пионером. Причем в рамках этого критерия стоит проверить не просто наличие логотипа на сайте, а реально пообщаться с соответствующим клиентом. К сожалению приходится сталкиваться с ситуациями когда вендор громко заявляет о наличии его решения у того или иного заказчика, а на поверку оказывается что либо там пилот на очень ограниченной области, либо решение куплено и лежит на полке. Ни тот ни другой вариант за успешное внедрение принять нельзя.

2. Наличие техподдержки / технической документации / обучения на русском языке. Тут вроде тоже все очевидно, продукт сложный, потребует однозначно докрутки, тонкой настройки, а значит нужно сразу смотреть есть ли исчерпывающая документация на решение, какой уровень техподдержки обещает производитель, есть ли учебные курсы для обучения специалистов работе с этой системой. Все это конечно же должно быть на русском языке, к сожалению уровень владения иностранными языками в нашей отрасли по-прежнему не высок. 

3. Необходимость установки агентов для сбора данных. Установка дополнительных агентов очень часто становится проблемой, поэтому стоит сразу оценить что умеет собирать система агентами, что без агентов, какие требования у агентов к железу, насколько ваша инфраструктура готова к развертыванию еще одного агентского решения. 

4. Наличие готовых коннекторов для используемых у вас программных систем, данные из которых планируется собирать в SIEM. Тут речь идет и о средствах защиты, и о прикладных системах, и об операционных системах. В идеале все уже должно быть, если чего-то нет, то см. п.5. И самое важное это не количество коннекторов в принципе, а какой объем того что есть в вашей инфраструктуре они покрывают. Наличие коннекторов к 500 решений классно выглядит в брошюре, но если при этом в этом списке только 2 из скажем 10 источников, с которых вы хотите брать данные, то это беда.

5. Легкость интеграции / разработки новых коннекторов. Коннекторы однозначно потребуются, не сразу так потом. Поэтому лучше сразу понять уровень сложности этой задачи. Можно ли это сделать самому или обязательно потребуется привлекать вендора / интегратора. Насколько легко и интуитивно это можно сделать или необходимо будет освоить серьезные программерские навыки. 

6. Производительность.  С одной стороны чем выше возможности системы по объему собираемой информации тем лучше, но тут в первую очередь нужно смотреть на имеющиеся потребности. Зачем платить за высокую мощность и жертвовать (возможно) другими аспектами, если вы, например, хотите мониторить всего лишь 10-ку самых критичных серверов ?  Но, с другой стороны, надо понимать, что "аппетит растет во время еды" и нагрузка на систему однозначно будет расти.  

7. Удобство / легкость настройки и работы с системой. Субъективный критерий, но легко проверяется на пилоте. Если интерфейс кривой-косой, не интуитивный, непонятный, то работать с системой будет сложно. В этом смысле самый правильный путь это в рамках пилота дать поработать с системой тем, кто в боевом режиме будет с ней работать, и потом попросить их оценить удобство работы с системой по одному или нескольким субъективным критериям: эргономика, понятность, удобство (провести мини-анкетирование или просто коллективное обсуждение).

8. Наличие API для интеграции с другими внешними системами. Данные из SIEM-а с высокой вероятностью могут понадобиться где-то еще. Если у системы нет нормального API, в идеале построенного на REST или подобной архитектуре, то такая интеграция в последствии может стать либо очень финансово затратной, либо попросту невозможной. 

9. Гибкость настройки правил корреляции. Одна из ключевых задач SIEM-а это корреляция.  Ради этого многие и берут это решение. Но без правил корреляция не работает, а значит эти правила надо будет писать. Готовые правила конечно есть у большинства разработчиков, но они как правило добавлены только для того чтобы можно было показать в качестве демо-примера, в реальной жизни они вам скорее всего не понадобятся, нужно будет писать свои. И вот тут как раз и возникнет вопрос того насколько это все легко и просто, в общем, все очень похоже на п.5.

10. Механизмы уведомления. SIEM это ведь в первую очередь система мониторинга, а значит она должна уметь оперативно оповещать команду реагирования на инциденты. Тут аналогично вопрос не в количестве доступных методов уведомления, а в покрытии тех методов, которые вы используете или хотите использовать при реагировании на инциденты (например, кому-то нужно SMS-оповещение, кому-то - нет), а также возможность гибкой настройки условий использования тех или иных методов уведомления.

среда, 5 октября 2016 г.

Итак, вы решили прикупить себе еще средств защиты

К сожалению из-за технических неполадок не удалось выступить на BIS Summit в формате "открытый микрофон", поэтому решил написать сюда те мысли, которые хотел изложить. 

Итак, имеем следующую ситуацию: вы по любой причине (есть потребность/задача, есть бюджет, понравилась демонстрация на конференции и проч.) решили приобрести себе определенное средство защиты. Абсолютно не важно какое. Возникает вопрос: каким образом вы можете быть уверены что выбрали самое лучшее и оптимальное в плане цена/качество ? Давайте рассмотрим какие у вас есть инструменты для этого. 

Наверное многие из вас сразу подумали про демо/ пилот. А вот и нет. Первым делом надо бы вообще понять кто есть в этой области, какие решения, какие производители, какие есть потенциальные аналоги или заменители.  А с этим все значительно хуже. В свое время мы в рамках своей работы создали ISM:Market, но сил на развитие проекта не хватило, он все еще доступен онлайн, но не обновлялся уже года 3, так что не судите строго. Тем не менее.

Квадранты Гартнера / Волны Форрестера. Как бы кто к ним не относился, но на них обращают внимание крупные компании и все же совсем левых игроков в отчетах Gartner и Forrester нет, если решение/производитель в отчете значит оно как минимум стоит вашего внимания. Гартнер покрывает конечно не все области, вот тут можно найти мою заметку про то что у них есть.  Отчеты как правило нельзя скачать просто так с сайта Гартнера или Форрестера, но всегда есть производители, которые, заняв хорошее место, хотят этим похвалиться, и раздают на своих сайтах отчеты в обмен на email. А у Gartner еще недавно появился Gartner PeerInsights - сайт, на котором можно почитать отзывы о тех или иных решениях.

Сайты крупных интеграторов / поставщиков. Зайдите на сайты крупных интеграторов или поставщиков, таких, например как Softline или Крок. Такие компании обладают широким портфолио и можно быстро получить представление об основных решениях по соответствующей области. Не факт что вы будете закупать это решение именно у этих компаний, но вам же пока не это нужно, нужно понять что вообще есть на рынке. 

Сравнение с конкурентами. Запросите у любого интересующего вас производителя сравнение с конкурентами. Такой документ есть практически у любого вендора. И в общем не так важно что там будет написано, понятно что каждый пытается показать свои самые сильные стороны и умолчать про слабые, важно что вы увидите опять же кто еще есть в соответствующей области. Запросите такие сравнение у 3-5 производителей и вы гарантировано будете понимать досконально всех игроков в соответствующей нише. 

Референс. Попросите референс с текущим клиентом у того производителя, который вас заинтересовал. При общении с таким же заказчиком как и вы, вы можете спросить кого еще рассматривали и почему остановили свой выбор на решении данного вендора. Конечно только на основании референса принимать решение неправильно, но и лишним это совсем не будет.

Пилот с критериями. Ну и наконец, конечно же, пилот. Но только пилот лучше всего проводить, составив предварительно набор критериев, по которым будет оцениваться решение. Кейс на моей памяти: одна крупная компания решила сменить свой корпоративный антивирус, дело это серьезное, поэтому коллеги совместно с подразделением ИТ сформировали довольно длинную табличку критериев, которым в идеале должно соответствовать выбранное решение. После этого последовательно пропилотировали 3х антивирусных производителей и остановили выбор на том, которое максимально близко приблизилось к полному соответствию заданным критериям (на 100% не соответствовало ни одно). 

Успехов вам !