Журнал "Information Security/ Информационная безопасность" #4, 2024

В наших платформах Alertix (SIEM) и Dataplan 2 (UEBA) мы применяем NoSQL (нереляционные) СУБД. Они созданы для хорошей масштабируе- мости, возможности хранения неструк- турированных данных, использования различных типов хранилищ. В плат- форме Alertix мы применяем schema- less-СУБД, что позволяет не приводить всю информацию к единой схеме дан- ных, если в этом нет необходимости. Такая гибкость не всегда доступна в других SIEM. Иногда заказчику прихо- дится писать инструкции строгого пар- синга в используемую вендором модель данных, чтобы получить воз- можность поиска. Такие NoSQL-СУБД более требовательны к ресурсам. Для оптимизации потребления в Dataplan (UEBA) мы используем колоночную СУБД. Этот подход позволяет сэконо- мить на ресурсах подсистемы хранения и/или вычислительных мощностях. Слой управления Наиболее трудоемким для разра- ботчика является слой управления – чем больше различных модулей, при- ложений и СУБД поддерживает плат- форма, тем сложнее он будет. Он охватывает и нефункциональные воз- можности, такие как управление, конт- роль состояния, выполнение регуляр- ных операций и т.д. А также играет роль моста между слоем приема и хранения, слоем прикладной логики. Все процессы и процедуры стандарти- зированы, при этом midleware должен поддерживать большой спектр раз- личных технологий и иметь коннектор к каждой из них. Причем, он должен быть универсальным и не ограничивать возможности системы. Прикладные приложения В самом верхнем слое находятся прикладные приложения, которые работают с хранимой информацией как в режиме близком к реальному времени, так и с историческими дан- ными. Эти приложения должны взаи- модействовать только с промежуточ- ным ПО и получать данные доступным методом в зависимости от конфигура- ции выбранных СУБД. Платформы, благодаря своей гибкой архитектуре, открывают путь к формированию кон- цепции маркетплейса, в котором даже сторонние разработчики смогут соз- давать собственные модули. При нали- чии стандартных интерфейсов и без- опасного доступа к данным, угрозы для функционирования платформы не будет. Особенности интеграции и развития платформ Часто в компании уже реализовано решение, которое в ряду прочих имеется в продукте разработчика. Например, если у заказчика уже орга- низован процесс LM (Log Management), то внедрение SIEM почти наверняка приведет к дублированию информации и, следовательно, к неэффективному использованию ресурсов. Еще хуже, если SIEM не сможет взаимодейство- вать с имеющимся хранилищем логов, тогда придется дублировать отправку информации на самих источниках событий, что увеличит нагрузку на них. При использовании платформ такие ситуации обычно исключаются. Плат- форма позволяет использовать сто- ронние решения, которые выполняют необходимые функции, выступая в роли шины взаимодействия с ними. Например, в платформе Alertix (SIEM) мы можем подключать базы данных Elasticsearch или OpenSearch в каче- стве внешнего хранилища событий. Это дает возможность заказчику не дублировать информацию и не про- изводить замену существующих систем, а использовать в качестве фундамента то, что у него уже есть. Модульность платформ позволяет исключить эффект архитектурных тис- ков: каждый компонент является авто- номным и взаимодействует с другими компонентами и со слоем хранения через промежуточное ПО. Такой под- ход дает возможность разработчикам развивать отдельные компоненты, а не весь продукт целиком, избегая многомесячного регрессионного тести- рования. Изолированные компоненты, взаимодействующие через промежу- точное ПО, устраняют риск того, что изменения в одном приложении могут негативно повлиять на работоспособ- ность других модулей. Платформа расширяет рынок сбыта для вендора, так как она может быть полезной не только с точки зрения информационной безопасности, но и для решения ИТ- или бизнес- задач. На основе данных платформы можно строить различные BI- решения, использовать ее как систему монито- ринга доступности, пла- нирования ИТ-ресурсов, их утилиза- ции, а также для множества других задач. При этом используемые данные будут одними и теми же, а способы их представления — различными. Будущее SIEM Будущее SIEM – в переходе к ком- плексным платформенным решениям, которые позволяют качественно решать несколько задач одновремен- но, обеспечивают интеграцию различ- ных функций и инструментов, а также дают возможность использовать имею- щиеся в инфраструктуре технологии без необходимости их замены. Это позволяет организациям более эффек- тивно управлять своими ресурсами и оперативно реагировать на вызовы в области информационной безопасно- сти. Комплексный подход способствует снижению затрат на поддержку и раз- витие систем, а также повышает гиб- кость и адаптивность бизнеса в усло- виях быстро меняющейся среды. Что касается развития наших про- дуктов, то мы уже двигаемся в сторону их совмещения. Сейчас разрабочики отдельных наших платформ Alertix (SIEM) и Dataplan (UEBA) работают над универсальными компонентами, которые используются в обоих про- дуктах. Они не привязаны к конкретной СУБД и структуре данных каждого приложения. Философия формирования нашей продуктовой линейки для поддержки TDIR проста: на начальном этапе достаточно модулей (NG SIEM), но по мере роста сложности задач имеет смысл рассматривать более специа- лизированные инструменты и отдавать предпочтение сценарию интеграции платформ. Мы не навязываем заказчику контур интеграции, а предоставляем выбор, поддерживая высокую интеропера- бельность платформ и развивая кон- тентную составляющую вне зависи- мости от окружения. l • 33 SIEM www.itsec.ru Рис. Схема работы Alertix (SIEM) АДРЕСА И ТЕЛЕФОНЫ NGR SOFTLAB см. стр. 62 NM Реклама 2 https://www.ngrsoftlab.ru/dataplan