Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата последнего релиза: | 2024/09/30 |
Отрасли: | Информационная безопасность |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Основная статья: Security Information and Event Management (SIEM)
2024: Возможности для поиска событий рантайма и проведения расследований инцидентов
Positive Technologies выпустили обновленную версию PT Container Security — продукта для защиты контейнерных сред. Главное в релизе — возможности для поиска событий рантайма и проведения расследований инцидентов, улучшение производительности за счет обновления рантайма WebAssembly (Wazero), детекторы рантайма, разработанные по итогам испытаний на киберполигоне Standoff, а также обновленная версия Tetragon, содержащая ряд улучшений движка мониторинга рантайма. Об этом компания сообщила 30 сентября 2024 года.
Согласно полевым испытаниям, PT Container Security способен обрабатывать поток в десятки тысяч событий в секунду и выше. Продукт поддерживает крупные высоконагруженные продакшен-кластеры без потери скорости, то есть может обеспечить безопасность инфраструктуры любого размера. При возрастании нагрузки PT Container Security можно масштабировать горизонтально, увеличивая количество реплик, либо вертикально, добавляя вычислительные ресурсы. Дополнительное улучшение производительности достигнуто за счет использования последних версий WebAssembly и Tetragon.
Технология WebAssembly позволяет разрабатывать детектирующие модули на языках программирования общего назначения и реализовать любую, сколь угодно сложную логику обнаружения в виде переносимого и кросс-платформенного байткода. Использование последних версий рантайма Wazero, который начиная с релиза 1.7 имплементировал оптимизирующий компилятор, ускорило работу каждого отдельного детектора на 30–35% без изменения исходного кода. Tetragon применяется в PT CS для обнаружения угроз в рантайме начиная с первой коммерческой версии продукта.
PT Container Security основан на самых актуальных технологиях. При помощи масштабирования наша команда разработки гарантированно обеспечивает стабильную работу решения при высоких нагрузках и с предельно возможной скоростью, — отметил Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies. |
В рамках обновления PT Container Security получил новые возможности, облегчающие для аналитиков расследование инцидентов в рантайме:
- Контекстные фильтры. Позволяют быстро находить события, связанные с работой дочерних и родительских процессов, например запуск злоумышленником вредоносных утилит в скомпрометированном контейнере. Построены на наблюдениях и анализе реальных расследований, помогают простроить цепочку действий злоумышленников.
- Обычные фильтры. Помогают сфокусировать внимание на важных событиях, например, событиях, относящихся к конкретному поду в Kubernetes или связанных с определенными исполняемыми файлами.
- Пресеты для частых проверок, форматирование сырых событий и быстрые фильтры помогают специалистам по ИБ быстрее проводить расследование киберинцидентов в контейнерах. Позволяют не терять информацию и быстро возвращаться к любой точке расследования.
- Детекторы, разработанные вместе с экспертным центром безопасности PT Expert Security Center. За счет максимальной гибкости детекторы не требуют дополнительной настройки, объединяют сигнатурный и поведенческий подходы к обнаружению угроз в рантайме, предлагая гибридный вариант, объединяющий сильные стороны способов обнаружения. Набор детекторов постоянно пополняется.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосекьюрити (Infosecurity) (2)
Инфосистемы Джет (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
Уральский центр систем безопасности (УЦСБ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (276, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Мобильные ТелеСистемы (МТС) (1, 1)
Перспективный мониторинг (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
Другие 156
R‑Vision SOAR (ранее R-Vision IRP) - 3
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
CyberART Сервисная служба киберзащиты - 4
УЦСБ: DATAPK - 2
Другие 13