Компания VolgaBlob расширила сценарии применения своего флагманского продукта Smart Monitor, предназначенного для зонтичного ИТ-мониторинга, построения SOC/SIEM и анализа бизнес-процессов. Теперь платформа может применяться как Security Data Lake (озеро данных безопасности). Это открывает возможности для глубокого ретроспективного анализа данных и выявления сложных длительных атак.
35% кибератак в 2024 году продолжались больше месяца. В случае с целевыми атаками их глубина, как показывает практика, может доходить до нескольких лет. Традиционные SIEM-решения, ориентированные преимущественно на оперативный потоковый анализ событий за короткий период времени — в среднем от 7 дней до месяца — не всегда эффективны для выявления и расследования таких угроз.
«Архитектура большинства SIEM ориентирована на корреляцию и обнаружение событий в реальном времени или „в потоке“. Это эффективно для выявления киберугроз „на лету“, но ограничивает возможности глубинного ретроспективного анализа и поиска следов злоумышленника. В результате SIEM реагирует на вспышку, но может пропустить тлеющий месяцами пожар. Security Data Lake — логичное и необходимое развитие инфраструктуры безопасности, которое закрывает эту „слепую зону“», — объяснил Максим Кириенко, руководитель технического пресейла VolgaBlob.
Озеро данных безопасности, развернутое на платформе Smart Monitor, помогает организовать масштабируемое хранилище огромных потоков информации, относящейся к безопасности. В него могут поступать данные из любых источников — сетевые логи, телеметрия с агентов, события от облачных сервисов. В отличие от SIEM, Security Data Lake в большинстве своем не требует жесткой схемы для записываемых данных: информация хранится «как есть» и может быть обработана и структурирована уже в момент запроса или аналитики. Это позволяет использовать данные в любое время, когда они будут необходимы.
Такой подход позволяет работать с максимально широким объемом исходных данных, которые хранятся длительное время — год и более — для ретроспективного анализа без потери деталей и контекста. Причем в сравнении с классическими системами управления событиями ИБ, использование Security Data Lake на базе Smart Monitor может сокращать расходы на лицензии и общую стоимость владения до 50%.
Дополнительное преимущество таких инструментов — в том, что функциональность Security Data Lake выходит за рамки задач безопасности. С помощью аналитического инструмента другие подразделения — например, ИТ, производство, HR — могут видеть полную картину происходящего в корпоративной инфраструктуре и принимать обоснованные управленческие решения. Среди уже реализованных VolgaBlob сценариев — балансировка нагрузки на сотрудников и снижение ФОТ на переработки, контроль дисциплины запуска линий на производстве, а также расследование хищений на складах через ретроспективный анализ метаданных.
«SIEM и Security Data Lake — это не конкурирующие, а взаимодополняющие технологии. В идеальном сценарии эти системы работают в тандеме: SIEM фиксирует подозрительную активность в реальном времени для немедленного реагирования. А Security Data Lake позволяет проследить полную картину: когда эта активность началась, какие системы были затронуты, и были ли похожие паттерны в прошлом. Вместе они обеспечивают полную видимость угроз и повышают вероятность обнаружения даже самых сложных из них. И в Smart Monitor эти технологии могут быть объединены в одном продукте, без необходимости сложной интеграции разрозненных систем класса мониторинга и средств защиты», — подвел итог Александр Скакунов, генеральный директор VolgaBlob.
