Вадим Порошин, 28/10/24
Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
Автор: Вадим Порошин, директор по развитию “Пангео Радар"
Эти условия носят объективный характер, поэтому команда разработчиков SIEM-решения "Платформа Радар" провела детальную оценку возможностей системы на предмет соответствия им. По результатам анализа было принято решение о переработке значительной части компонентов платформы для улучшения ее функциональных характеристик и высокой степени соответствия требованиям отечественных организаций.
Рассмотрим, какие компоненты были улучшены, и какие новые возможности в "Платформу Радар" при этом добавились.
Новый коррелятор и кластеризация
Разрабочики значительно расширили возможности коррелятора, переработав его на языке Go, дополнив возможности графическим конструктором и гибкими правилами корреляции на языке скриптов Lua. Это позволило существенно повысить удобство работы, давая возможность редактировать правила как через графический интерфейс, так и непосредственно в коде.
Внедрение кластеризации и возможность выноса избранных модулей на отдельные виртуальные машины позволили коррелятору легко обрабатывать объемы данных в сотни тысяч событий в секунду (EPS). Но достигнув таких показателей, разработчики не стали останавливаться: был произведен дополнительный рефакторинг компонентов системы для дальнейшего повышения ее эффективности и масштабируемости.
Новая база хранения событий OpenSearch
На российском рынке информационной безопасности стандартом де-факто для организации внутренней поисковой системы в продуктах долгое время оставался ElasticSearch. Однако с развитием технологий появились более современные решения. Одним из них является OpenSearch, который предлагает не только более эффективное сжатие данных, но и значительно ускоряет работу с архивными запросами благодаря использованию механизмов снапшотов памяти, что превосходит традиционные методы архивации.
Полная переработка обработчика событий позволила повысить его производительность в семь раз, а внедрение компонента сжатия событий дополнительно обеспечило более эффективную передачу данных внутри системы и их глубокое хранение, снизив нагрузку на каналы связи в пять раз.
Реальная инсталляция на 500 тысяч EPS
В одном из практических внедрений "Платформы Радар" заказчиком была поставлена задача обработки потока событий мощностью 500 тыс. EPS. При проектировании системы рассматривались два варианта размещения серверов: несколько инсталляций с отдельным администрирование каждой из них либо одна "боевая" установка, на которой обрабатываются все события крупной инфраструктуры.
Оба сценария возможны и реализуемы в "Платформе Радар" благодаря новой возможности верхнеуровневой корреляции и межинстансному поиску.
Верхнеуровневая корреляция позволяет отправлять любые события с определенными фильтрами в головную инсталляцию и настраивать правила корреляции, общие для всех инстансов.
При этом, в новом просмотрщике событий можно создавать поисковые запросы с многоуровневой агрегацией и группировкой на все нижестоящие инстансы. Например, можно проверить тот или иной IP-адрес или Hash-сумму, гуляющую между дочерними структурами.
Глобальный рефакторинг и изменение большинства компонентов позволили реализовать такую инсталляцию и радикально повысить мощность "Платформы Радар", сделав ее одной из самых производительных SIEM-систем в России. Аппаратные характеристики для инсталляции в 500 тыс. EPS приведены в табл. 1.
Таблица 1. Аппаратные характеристики для инсталляции в 500 тыс. EPS, исходя из 7 дней оперативного хранения (архив рассчитывается по запросу)
Новая графическая подсистема
Разработчики провели комплексную модернизацию графического компонента "Платформы Радар": были обновлены дашборды и отчетность, чтобы обеспечить более удобное представление данных для пользователей и улучшить понимание состояния информационной безопасности (см. рис. 1 и 2).
Рис. 1. Дашборды в “Платформе Радар”
Рис. 2. Дашборды в “Платформе Радар”
Улучшенная интеграция
Теперь "Платформа Радар" может получать отчеты от сканеров уязвимости, таких как MaxPatrol, RedCheck, OpenVAS, NMAP, что позволяет заказчикам более детально видеть свою ИТ-инфраструктуру и выстраивать процесс управления уязвимостями. Предусмотрена возможность отправки выявленных инцидентов в ГосСОПКА и в российские IRP-системы.
"Из коробки" в "Платформе Радар" доступны подключения к бесплатным TI-системам и готовые правила корреляция для нахождению IoC в поступающих в систему событиях от источников.
Лицензирование
Для удобства заказчиков лицензия на "Платформу Радар" сделана бессрочной, поэтому после окончания срока технической поддержки все функции системы продолжат работать, а события не будут теряться. Лицензирование системы производится по среднему входящему потоку событий. При этом в расчете учитываются средние показатели за неделю использования платформы, а значит события не будут отбрасываться даже при достижении пиковых значений EPS.
Отдельно лицензируются модуль коллектора событий и режим мультиарендности.
Сертификаты
"Платформа Радар" – это полностью российский продукт, разработка, исходный код и техподдержка которого располагаются в России. Система зарегистрирована в Едином реестре отечественного ПО и сертифицирована ФСТЭК России по УД4.
Заключение
Во многих организациях SIEM является центром управления информационной безопасностью, и внутренняя архитектура систем этого класса становится важным фактором, либо повышающим качество ИБ-процессов , либо, напротив, тормозящим их развитие. Задача вендоров SIEM – совершенствовать свои решения, понимая эти условия.
Разработчиками "Платформы Радар" проделана большая работа по учету требований со стороны российских заказчиков для улучшения функциональности и удобства работы, а полный рефакторинг большинства компонентов приблизил "Платформу Радар" к цели – стать наиболее высокопроизводительной SIEM-системой в России.
