Компания RuSIEM – отечественный разработчик программного обеспечения для информационной безопасности.
Одноименный продукт – SIEM (Security Information and Event Management) —
решение для мониторинга и анализа любой сетевой активности
в организации. Также в систему входят приложения для контроля идентификации
и доступа, инструменты управления уязвимостями.
О компании RuSIEM
Компания – разработчик одноименной системы RuSIEM. На рынке ИБ-решений с 2014 года. Является резидентом Сколково и включена в реестр отечественных разработчиков ПО.
Что такое SIEM и зачем нужна?
Как описано выше, система позволяет своевременно реагировать на события информационной безопасности в ИТ- структруре организации в режиме реального времени. Система собирает с источников логи, события, нормализует, обогащает описанием, на основе правил корреляции обнаруживает события ИБ. То есть SIEM применяется везде, где можно извлечь события.
SIEM – центральный элемент мониторинга инфраструктуры организации, реагирующий на события:
-
- антивирусов
- межсетевых экранов
- систем авторизации и аутентификации
- DLP – систем защиты от утечки информации
- сетевое оборудование
- сканеры уязвимости
- журналы событий логов РС и ПК
- системы веб-фильтрации
Объединенный контроль над всеми событиями помогает в определении сложных атак на корпоративные информационные системы, анализировать их, находить корреляции между ними и своевременно выявлять угрозы. Именно SIEM-системы используются, чтобы проводить глубокий анализ, проактивно обнаруживать угрозы, реагировать на инциденты и расследовать их.
Задачи SIEM
Обеспечивая аналитику данных, которые поступают из разных источников, решение RuSIEM позволяет:
-
- контролировать состояния ИТ-инфраструктуры компании
- оперативное обнаруживать, реагировать и контролировать обработку инцидентов
- разграничивать зоны ответственности ИТ-персонала
- создать единый центр мониторинга (SOC)
- оценивать соответствие требованиям регуляторов
Линейка продуктов
Сейчас экосистема насчитывает 5 продуктов, которые прекрасно дополняют друг друга:
-
1. RuSIEM – коммерческая версия, включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты.
2. RuSIEM Analytics – модуль для коммерческой версии, пополненный глубоким машинным обучением. Позволяет охватить более широкий круг событий, которые недоступны обычным правилам корреляции.
3. RuSIEM Monitoring – подсистема предоставляет функционал для отслеживания состояния объектов ИТ-инфраструктуры и выявления нарушений, связанных с изменением их статуса.
4. RuSIEM IoC – обеспечивает функционал для обнаружения попыток захвата корпоративных устройств хакерами. Анализирует социальные сети (Telegram, Twitter), репозитории Github, а также данные публичных TI-отчетов
5. RvSIEM free – бесплатная версия класса LM (log managmant) – которое позволяет собрать, нормализовать события, строить отчеты, долгосрочно хранить, визуализировать данные. RvSIEM free – ограниченная по возможностям коммерческая версия RuSIEM. Может быть использована вместе с RuSIEM в сложных проектах в качестве решения для сбора событий для снижения общей стоимости владения системой.
Также компания дает возможность попробовать продукт – предусмотрена демо-версия RuSIEM.
Преимущества
-
- гибкая система лицензирования – не зависит от количества хостов
- сохраняются исходные «сырые» события для расследования инцидентов ИБ
- подходит любым организациям – масштабирование системы происходит без остановки деятельности
- высокая производительность работы на высоких мощностях
- соответствие требованиям регуляторов, в т.ч. относительно банковских норм
- интеграция с ГосСОПКА, ФинЦЕРТ
- сертификат ФСТЭК
- модуль НКЦКИ для взаимодействия с регулятором
Основное достоинство RuSIEM — выполнение всех операций в автоматическом режиме, в том числе и при помощи инструментов машинного обучения без участия человека, благодаря чему обеспечивается выявление инцидентов на ранних стадиях.
