VK SIEM

VK запустила собственную систему мониторинга безопасности, разработанную инженерами компании, сообщили TAdviser в компании 6 февраля 2025 года. Собственное SIEM-решение обеспечивает на старте анализ более 1,5 млн событий в секунду (EPS), исходящих от инфраструктуры VK, сетевых устройств и приложений.

𝓲

Фото: Vectorjuice/Freepik

Как поясняют в компании, разработка создана с применением практик ведущих высоконагруженных систем обработки данных и спроектирована как модульная система, которая объединяет и новые, и успешно зарекомендовавшие себя инженерные решения VK. Гибкая архитектура позволяет быстро горизонтально масштабироваться без снижения общей производительности — расчётная пропускная способность составляет до 3,5 млн EPS и может быть увеличена под запросы бизнеса.

Кроме того, благодаря расширенной функциональности движка корреляции правил на потоке специалисты SOC получают углубленную аналитику данных, создают новые правила и быстрее реагируют на возможные инциденты, предупреждая наступление ущерба. «Гознак» развивает систему «Электронный бюджет» с помощью импортозамещенных решений экосистемы EvaTeam 5.1 т

В VK рассказали TAdviser, что с вводом в эксплуатацию SIEM собственной разработки сторонние решения компания больше не применяет. От каких именно рыночных продуктов компания отказалась, в VK не уточнили.

Мы в прошлом использовали различные технологии и продукты, однако рост инфраструктуры VK показал, что нам нужно новое централизованное решение, которое мы можем полностью контролировать и развивать, интегрируя собственные разработки, — пояснил TAdviser Дмитрий Куколев, руководитель SOC VK. — Поэтому мы сфокусировались на развитии функциональности и технологичности этого решения, чтобы масштабироваться под новые запросы компании.

Дмитрий Куколев добавил, что так работает большинство крупных ИТ-компаний. В VK не исключают, что в случае успеха её решение сможет стать новым сервисом и войдет в портфель VK.

Надо сказать, что в текущих вакансиях SOC VK в требованиях к аналитикам числится умение работать с SIEM-системами ELK и KUMA. Но как объяснили TAdviser в VK, это по сути общие требования к опыту специалиста, а сами эти системы на момент запуска собственной SIEM в VK не используются.

Говоря о предпосылках к разработке собственной SIEM, Дмитрий Куколев отмечает, что в последние годы в VK видят кратный рост нагрузки на свои системы: если в 2023 году решения компании обрабатывали около 200 тысяч событий в секунду (EPS), то к концу 2024 году нагрузка увеличилась в 5 раз.

Наша инженерная команда смогла разработать функциональный и высокопроизводительный инструмент для поиска, корреляции и обработки событий безопасности, который позволяет нашим специалистам по безопасности еще быстрее и точнее выявлять угрозы, минимизировать риски и принимать обоснованные решения в режиме реального времени, даже в условиях самых сложных кибератак и огромного объема телеметрии, — говорит руководитель SOC VK.