Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Продукт
Разработчики: Kaspersky (ранее Лаборатория Касперского)
Дата премьеры системы: Май 2020
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

2020: Презентация продукта

21 мая «Лаборатория Касперского» анонсировала свой новый продукт, который находится в активной разработке – платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она относится к классу систем SIEM (Security Information and Event Management).

В компании отмечают, что изначально не собирались создавать продукт такого рода. Павел Таратынов, архитектор центров информационной безопасности, «Лаборатория Касперского», в ходе онлайн-презентации рассказал, почему компания решила-таки его создать, несмотря на то, что мировой рынок SIEM-систем является довольно зрелым и конкурентным.

«
Как показывают результаты опроса наших клиентов, многим все-таки не хватает альтернативы. И если несколько лет назад, когда мы оценивали необходимость выхода на этот рынок, мы ее не увидели, то сейчас ситуация изменилась. Сейчас на выбор решений ИБ очень сильно влияет геополитика. Если посмотреть на лидеров рынка по данным ведущих аналитических агентств, то мы увидим, что все они из одной страны. А многие наши крупные клиенты по тем или иным причинам не могут или не хотят использовать эти решения, - отметил Таратынов.
»

По его словам, и сама «Лаборатория Касперского» отчасти стала заложником этой ситуации, когда в 2019 году Splunk, клиентом которого была компания, внезапно ушел из России. Тогда «Лаборатория Касперского» столкнулась с необходимостью срочно искать альтернативу.

Еще до выпуска коммерческой версии, служба безопасности «Лаборатории Касперского» для себя выбрала KUMA в качестве основной SIEM и по состоянию на май находится в процессе внедрения, добавил представитель компании.

По данным «магического квадранта» Gartner (2020 Gartner Magic Quadrant for SIEM), мировыми лидерами на этом рынке являются IBM, Splunk, Exabeam, Securonics, LogRhythm, Rapid7 и Dell Technologies (RSA)[1]. Свежие исследования российского рынка SIEM от аналитиков в последнее время не выходили. По данным исследования IDC 2018 года, наиболее заметные отечественные игроки на этом рынке в России - компании Positive Technologies и «НПО «Эшелон».

Отвечая на вопрос о том, чем компанию не устроили уже существующие российские системы, представитель компании сказал следующее. Основными требованиями внутренней службы ИБ «Лаборатории Касперского» к SIEM были производительность, гибкость архитектуры и низкие системные требования. Также им было необходимо иметь возможность оперативной техподдержки, влиять на развития продукта с точки зрения функционала. То же самое нужно и заказчикам компании, считает Таратынов.

Однако, утверждает Павел Таратынов, основной причиной, подтолкнувшей компанию к созданию собственной SIEM, стало то, что за последнее время в ее портфолио появилось много разных решений, которые при этом не всегда интегрированы между собой. Не хватало центрального связующего звена, чтобы предлагать заказчикам единую экосистему, а не просто набор решений.

В связи с этим было принято решение разрабатывать не только SIEM, а развивать и разрабатывать единую модульную платформу безопасности, где SIEM будет одним из компонентов. Она должна объединить все решения и предоставить единое окно для задач мониторинга, реагирования на инциденты, оркестрации решений «Лаборатории Касперского», а также единую консоль управления. Роль последней, в совокупности с мониторингом инцидентов и будет выполнять SIEM. При этом платформа будет открытой для интеграции с решениями сторонних поставщиков.

По словам Павла Таратынова, стек технологий KUMA был разработан с нуля и не основан на других продуктах компании. Он изначально проектировался под высоконагруженные системы. Решение основано на микросервисной архитектуре, где каждый компонент является микросервисом, работающим независимо от других, пояснил представитель «Лаборатории Касперского».

Из презентации Павла Таратынова – перечень источников событий, которые будет поддерживать KUMA в конце 2020 года, дальше его планируется расширять

Решение содержит компоненты, характерные для SIEM: коллекторы, корелляторы, ядро системы, которое обеспечивает централизованное управление, прокси для защищенного соединения и связи с базой данных, где хранятся события и агент для сбора логов с Windows-машин. Также используются open source компоненты, но решение на них не завязано, и они могут быть заменены в дальнейшем, если будет необходимо. Например, Elastic используется как база для хранения событий.

Помимо базового набора функций, таких как поддержка сторонних источников, ретроспективный анализ, поддержка сохранения «сырых» событий и др., разработчики планируют реализовать ряд «фирменных» функций через его интеграции с другими продуктами компании, говорит Таратынов.

Из презентации Павла Таратынова

Набор источников данных, поддержку которых планируется реализовать в первую очередь, представитель компании объяснил тем, что у «Лаборатории Касперского» есть ряд коммерческих заказчиков, которые планируют внедрять KUMA в ближайшее время, или уже внедряют ее, и этот список – требование от этих заказчиков.

Первый релиз продукта запланирован на декабрь 2020 года, но пилотные проекты можно проводить, начиная с июня, сообщил Таратынов. Цену нового продукта в компании не уточнили TAdviser в ходе презентации.

Развитие SIEM расписано до 2021 года. Помимо общего развития функционала продукта, для российского рынка планируется локализовать решение с точки зрения интерфейса, документации, получения всех необходимых сертификатов, включения в реестр отечественного ПО и др.

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

  Positive Technologies (Позитив Текнолоджиз) (11, 22)
  ArcSight (11, 13)
  Инфосистемы Джет (4, 6)
  R-Vision (Р-Вижн) (2, 6)
  IBM (8, 4)
  Другие (115, 30)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год