Журнал "Information Security/ Информационная безопасность" #4, 2023

Пропускная способность до 600 тыс. событий в секун- ду делает его одним из самых производительных корреляторов на российском рынке. Выпуском нового корре- лятора, способного обраба- тывать поток в 600 тыс. событий в секунду, "Плат- форма Радар" подтверждает свою репутацию мощной и конкурентной отечественной SIEM. ные потоки данных. Пропускная способность до 600 тыс. собы- тий в секунду делает его одним из самых производительных корреляторов на российском рынке. Это стало возможным прежде всего ввиду пересмотра техно- логии обработки, за счет использования лучших практик потоковой обработки больших данных. Серьезный вклад в быстро- действие внес компилируемый язык Go, на котором написано ядро коррелятора. Одной из ключевых особенностей Go являются механизмы, которые позволяют создавать тысячи и даже миллионы параллельных задач. Компилятор Go также оптимизирован для эффектив- ного выполнения кода на мно- жестве ядер процессора. Это делает язык идеальным для обработки множества одновре- менных соединений в высоко- нагруженных системах. Использование Go, а также перевод правил на Lua не толь- ко обеспечили высокую про- пускную способность, но и существенно снизили требова- тельность коррелятора к ресур- сам. Развертывание и масштабирование SIEM играет важную роль в обеспечении безопасности информации и быстром выявле- нии угроз в организации. Чтобы эффективно выполнять свои функции, SIEM должна быть гибкой и простой в установке и настройке. Удобство развертывания поз- воляет минимизировать вре- менные и ресурсные затраты при внедрении SIEM и сокра- щает вероятность возникнове- ния проблем и ошибок при ее запуске. Масштабируемость SIEM обеспечивает способность системы расти вместе с орга- низацией. Постоянно увеличи- вающийся объем данных и сложность угроз требуют рас- ширяемости системы без необходимости пересмотра всей архитектуры. Система "Платформа Радар" разработана с учетом возмож- ности масштабирования прак- тически под любые задачи и под любую инфраструктуру. Многие заказчики на этапе проектирования ошибаются в прогнозе целевого потока собы- тий. И количество подключен- ных систем, и потоки событий ИБ от ранее подключенных событий зачастую кратно нарас- тают в процессе использования системы. "Платформа Радар" позволяет добавлять новые вир- туальные машины в веб-интер- фейсе действующей системы, после чего в полуавтоматиче- ском режиме на них устанавли- ваются необходимые пакеты и новые ВМ включаются в пайплайн обработки событий. Гибкость масштабирования обеспечивается также режима- ми Multitenancy/Multiinstance, когда к головной SIEM можно подключать фактически неогра- ниченное количество подси- стем, которые работают неза- висимо друг от друга. Это осо- бенно полезно для сервисных ИБ-компаний, которые поддер- живают обслуживание сразу нескольких организаций. Отме- чу, что в этом случае также крайне ценна производитель- ность, которую реализует новый коррелятор. Гибкая масштабируемость позволяет SIEM адаптироваться к изменяющимся потребностям и объемам данных, что делает "Платформу Радар" надежным инструментом для обеспечения информационной безопасности в долгосрочной перспективе. Сертификаты и лицензирование "Платформа Радар" зареги- стрирована в едином реестре отечественного ПО (№ 4791), сертифицирована ФСТЭК Рос- сии по УД-4 (№ 4210). Это пол- ностью российский продукт: разработка, исходный код и тех- поддержка располагаются в России. "Платформа Радар" имеет возможность отправки инциден- тов в НКЦКИ и в российские IRP-системы. "Платформа Радар" также может забирать отчеты от ска- неров уязвимости, таких как MaxPatrol8, RedCheck, Open- VAS, NMAP, и позволяет еще более подробно видеть ИТ- инфраструктуру заказчика и выстраивать процесс Vulnera- bility Management. Лицензия на "Платформу Радар" является бессрочной. После окончания срока техни- ческой поддержки все функции системы будут работать, а собы- тия не будут теряться. Лицензи- рование системы производится по среднему входящему потоку событий (EPS). При этом учиты- ваются средние показатели за неделю использования платфор- мы, поэтому при достижении пиковых значений EPS события не будут отбрасываться. Дополнительно лицензируют- ся модуль коллектора событий и режим мультиарендности. Заключение Выпуском нового коррелято- ра, способного обрабатывать поток в 600 тыс. событий в секунду, "Платформа Радар" подтверждает свою репутацию мощной и конкурентной отече- ственной SIEM. Выдающаяся производительность, гибкость и масштабируемость позволяют нашим заказчикам не задумы- ваться о проблемах обработки растущих объемов событий ИБ. За прошедшие годы подходы к архитектуре системы безопас- ности претерпели значительные изменения. Сегодня в типичной корпоративной среде существу- ет такое количество устройств и систем, влияющих на без- опасность, что проблема заклю- чается уже не в неспособности обнаружить, а в неспособности оценить все обнаруженные сиг- налы и выявить в них признаки инцидентов. Другими словами, безопас- ность сегодня – это проблема, лежащая в плоскости обработки больших данных. Множество решений для обеспечения без- опасности предоставляют информацию в различных фор- матах и в разном временном режиме. В центре этого потока информации находятся плат- формы управления информа- цией и событиями безопасности класса SIEM, ярким представи- телем которой является "Плат- форма Радар". l • 19 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ПАНГЕО РАДАР" см. стр. 70 NM Реклама