Почему StaffCop Enterprise больше чем просто SIEM?



Работая в StaffCop мы часто отвечаем на вопрос: «неужели ваш StaffCop Enterprise и правда лучше признанных SIEM-систем?» Чтобы не повторять сто раз мы решили сравнить наш продукт и классические SIEM-инструменты.

Что же такое SIEM? Аббревиатура образована из двух понятий: Security Information (информационная безопасность) и Event Managment (управление событиями), и обозначает технологию, которая собирает данные с файрволов и прочих мест внешнего проникновения, сетевых устройств и серверов. В теории инструментарий позволяет быстро анализировать эту громаду из данных, находить закономерности, выделять угрозы и расследовать инциденты — и нам обещают счастье!

Проблема в том, что внедрение SIEM-систем редко помогают там, где их помощь действительно нужна. Организации тратят месяцы и годы, тысячи человеко-часов, чтобы заставить работать эти технологии, но реально работают считанные единицы. И вот почему:

  1. SIEMы не успевают за ростом использующих их организаций. Закачка данных в SIEM-систему — сама по себе задача не из лёгких: в каждой организации, в каждой её подсистеме свой «зоопарк» событий, протоколов и способов доставки отчётов в центр. Даже у средне размерных организаций имеется целый парк устройств, приложений и особенностей их использования, что создает нетривиальную задачу причесать все эти данные под одну гребенку. А если учесть скорость разрастания IT-инфраструктуры, то становится совершенно очевидно: SIEM-системы просто не успевают идти в ногу.

  2. SIEMы не достаточно хитры. Непросто указать SIEMу за чем именно смотреть. Особенно если смотреть нужно за сотнями разношёрстных устройств, каждое из которых ещё и называет одни и те же события по своему. Даже создания такого простого правила, как например: «сообщать каждый раз о состоявшемся логине после неудачных трёх» требует достаточного опыта в построении SIEM-запросов. Но вот найти связь и построить стройную систему из всех этих разноплановых и странно названных событий так, чтобы можно было делать действенные выводы уже за пределами компетенции SIEM-систем.

  3. SIEMы не масштабируются. Сбор, причёсывание и категоризация, анализ, своевременный отчёт и архивация данных при условии десятков и сотен тысяч событий в секунду сильно загружает процессор, требует существенный объём памяти и кратное число операций ввода/вывода. Никто из создателей SIEM-систем пока не представил технологию, которая может выдавать результат в режиме реального времени и эффективно хранить собранные данные.

  4. SIEMы не могут видеть даже необходимое. Никто не использует SIEMы для слежения за тем, что происходит в каждой конечной точке системы: на компьютере пользователя. А ведь часто это самая уязвимая для внешнего проникновения точка. И если что-то косвенно можно узнать, когда такой компьютер находится внутри корпоративной сети, то в ситуации удалённой работы приходится играть вслепую.

Вывод прост: большинство SIEMов стали дорогими приспособлениями для протоколирования событий, которые невозможно использовать для предотвращения угроз. Конечно, это огромный скачок вперёд, если до этого в организации не использовалось никакого программного обеспечения для слежения за процессами. Но со временем вопрос эффективности приложенных для внедрения усилий встанет сам собой.

В чем отличия нашего StaffCop Enterprise?

  1. Видимость. Каждый процесс виден в реальном масштабе времени: у любого пользователя, сервера, принтера или другого устройства в системе. Неважно, где этот процесс происходит: в защищённом компьютере головного офиса или в кофейне на презентации клиенту. Понятно, что с таким охватом данных можно построить полную информационную картину предприятия.

  2. Настоящий поведенческий анализ. Тепловые карты активности, графы взаимодействий сотрудников и движения информации, настраиваемые графики событий, предустановленные и пользовательские фильтры — все это помогает отследить любой сценарий поведения. Для анализа не нужно обладать специальными знаниями: нужно понимать, что ищешь и просто выбирать поля в форме.

  3. Легкость внедрения. Одновременная удаленная установка агентов, нетребовательность к оборудованию и отсутствие необходимости покупки дополнительного ПО позволяет запустить работу комплекса всего несколькими нажатиями клавиш.

  4. Масштабируемость. Мы учли все ограничения роста и в основу продукта заложили возможность анализа любого количества устройств. У нас уже есть инсталляции, работающие на десятках тысяч машин. Вся эта информация собирается и отправляется на одну удобную консоль в браузере администратора, доступ к которой возможен из любой точки мира, где есть интернет.

  5. Эффективная система уведомлений и предупреждений. При возникновении ожидаемого нарушения администратор не просто мгновенно уведомляется, но имеет в руках полный инструментарий для уничтожения угрозы и ограничения её распространения внутри предприятия.

  6. Мы в тренде. Мы держим нос по ветру: мы следим за развитием отрасли, от возникновения идеи до внедрения проходит минимальный период времени, требуемый на разработку и тестирование. В 2016 году мы успели выпустить четыре полноценных релиза!

Многие наши клиенты с благодарностью рассказывают нам о настоящей экономии времени и средств, которую они получили после начала использования StaffCop Enterprise. Особенно рады те, у кого есть с чем сравнить.

Наверх ↑