Перейти к содержанию
Сергей Ильин

Прощание с CeBIT

Recommended Posts

Сергей Ильин

ГАННОВЕР — Сегодня здесь в 21-й раз откроется крупнейшая в мире выставка информационных технологий — CeBIT. Этот год последний, когда выставка работает в старом формате. Уже в следующем году CeBIT станет на день более короткой и более деловой.

Но сейчас выставка переживает не лучшие дни. В этом году от участия в ней отказались Nokia, Konica Minolta, Lenovo, BenQ, Symantec, Dell и Hewlett-Packard. “Мы решили сфокусироваться на собственных и партнерских мероприятиях, а не масштабных публичных и отраслевых выставках”, — объясняет менеджер по связям с общественностью Nokia в СНГ Виктория Еремина. А Symantec, по словам ее представителя Екатерины Николаевой, отказалась от участия из-за смены тематики выставки: теперь она фокусируется на мобильном контенте и связанном с ним оборудовании.

Чтобы повысить популярность выставки, организаторы решили ее “переформатировать”. По словам члена совета директоров компании-организатора Deutsche Messe Эрнста Рауе, в следующем году выставка станет на день короче. Кроме того, в 2008 г. CeBIT будет больше ориентирована на бизнес, а не на конечных потребителей. Больше внимания будет уделяться инновационным технологиям и решениям, чем конечным продуктам.

Несмотря на снижение популярности выставки, количество ее российских участников в этом году выросло вдвое — их более 150 и они займут около 5500 кв. м. Дело в том, что в этом году у нашей страны на CeBIT особое положение — Россия получила статус “страны-партнера”. По словам замминистра информтехнологий и связи Дмитрия Милованцева, это подразумевает организацию широкомасштабной национальной экспозиции и всесторонний показ возможностей и перспектив IT-отрасли России. Из федерального бюджета на поддержку участия России в CeBIT-2007 выделено в шесть раз больше средств, чем год назад, — 8,2 млн руб. В 2006 г. инвестиции в российский IT-сектор составили $10 млрд, а российский экспорт инфокоммуникационных технологий — $1,8 млрд, напомнил вчера вице-премьер российского правительства Сергей Нарышкин, выступая на церемонии открытия CeBIT.

“Поскольку сейчас на CeBIT год России, то участие в выставке "Ситроникса" — крупнейшей отечественной hi-tech-компании — вполне логично”, — считает вице-президент по связям с общественностью “Ситроникса” Елена Санарова.

CeBIT — мощный инструмент для расширения контактов, добавляет она. С этим согласна глава “Лаборатории Касперского” (ЛК) Наталья Касперская, чья компания присутствует на CeBIT уже в 11-й раз. “Количество новых бизнес-контактов обычно переваливает за сотню”, — говорит Касперская. По ее словам, 50% оборота ЛК приходится на малый и средний бизнес, где лояльность потребителей невысока, “поэтому мы все время должны напоминать потребителям о себе”.

--------------------------------------------------------------------------------

ЛУЧШИЕ ДНИ ПОЗАДИ

Пик популярности CeBIT пришелся на 2001 г., когда ее посетили 850 000 человек. Но последовавший кризис в мировой IT-отрасли плачевно отразился на количестве участников и посетителей CeBIT. В 2005-2006 гг. казалось, что дела выставки пошли на поправку: количество экспонентов и площадь выставки снова начали увеличиваться. Но в этом году показатели упали: количество участников CeBIT сократилось на 4% до 6059, а количество арендуемых площадей на 10% до 280 202 кв. м.

http://www.vedomosti.ru/newspaper/article....07/03/15/122345

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Очень критичное падение :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Кризиса IT-индустрии небыло, просто в то время лопнул мыльный пузырь дот-нетов. Точнее говоря лопнул он через некоторое время, но денежный народ это заранее прочуствовал (иначе бы он небыл денежным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В этой статье основной посыл на то, что меняется формат выставки и соответственно ее аудитория. С софта акцент смещается в сторону коммуникаций, очень жаль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout

Сегодня был keynote Джона Томпсона (CEO Symantec). Говорил про уверенность. Про то, что это очень плохо когда ОС и системы защиты для этой ОС поставляются от одного вендора (привет, Билл). Про датацентры. Про АВ ни слова. Интересно, увидим ли мы инновации в NIS 2008???

DSCF1544_1.JPG

DSCF1542_1.JPG

post-42-1174039050.jpg

post-1-1174039050.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Чего-то судя по фоткам Джон Томпсон собрал мало народу, в зале сидит человек 50 дай бог ... у нас акулы публичный выстулений, как Евгений Касперский, Сергей Антимонов или Михаил Кондрашин побольше собирают :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Кризиса IT-индустрии небыло:)

может быть в россии его и не было... а в европе была катастрофа.

в конце 90 был момент, когда во всех газетах были десятки обьявлений о приеме на работу ит–специалистов.

моя фирма пол–года специалиста средней руки найти не могла.

в германию стали приглашать индусов и болгар.

а потом в момент все лопнуло.

стали закрыварться ит фирмы, безработица в ит мире стала страшная.

если меня выгонят с работы, шансов устроиться на новую –никаких.

Добавлено спустя 5 минут 1 секунду:

Сегодня был keynote Джона Томпсона (CEO Symantec). Говорил про уверенность. Про то, что это очень плохо когда ОС и системы защиты для этой ОС поставляются от одного вендора (привет, Билл). ???

я озвереваю.

во всех "марковых" компутерах предустановлен не только виндовс но и етот мерзопакостный нортон–антивирус.

сразу приходится компы форматировать и ставить виндовс заново.

поскольку удаление этого уродца невозможно.

Добавлено спустя 2 минуты 57 секунд:

Очень критичное падение :D

я в этом году не поехал.... билет пропал..... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А Symantec, по словам ее представителя Екатерины Николаевой, отказалась от участия из-за смены тематики выставки: теперь она фокусируется на мобильном контенте и связанном с ним оборудовании.

Мне удалось получить комментарии на этот материал Евгения Касперского, который только вернулся с CeBIT:

1. Бред какой... Цебит по традиции не фокусируется ни на чём - там можно найти всё для всего.

2. У Symantec стуканула бюрократическая система - на CeBIT там сбрасываются разные подразделения компании. В этот раз они сбросились недостаточно, на нормальный стенд не хватало, пока разбирались между собой - было уже поздно. И на их место на выставке встали мы :-))))))))) А местечко козырное. А по традиции на следующий год места под стенды предлагаются сначала тем, кто на этом месте стоял в предыдущем году. Короче, они просто облажались, к радости для всех остальных антивирусных компаний. Ура!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Che
У Symantec стуканула бюрократическая система - на CeBIT там сбрасываются разные подразделения компании. В этот раз они сбросились недостаточно, на нормальный стенд не хватало, пока разбирались между собой - было уже поздно.

IMHO, так оно и было, а на Томпсона народ не пошел, потому как Симантека не было на выставке. Глупо у них все в этом году получилось .... теперь будут отмазываться только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собеседник

_Stout

Сегодня был keynote Джона Томпсона (CEO Symantec). Говорил про уверенность. Про то, что это очень плохо когда ОС и системы защиты для этой ОС поставляются от одного вендора (привет, Билл). Про датацентры. Про АВ ни слова. Интересно, увидим ли мы инновации в NIS 2008???

Какой интерес слушать от главы огромной корпорации (>17500 сотрудников и >$5 миллиардов в год) про банальные антивирусные технологии? Symantec не местечковый антивирусный вендор, чтобы время главы компании тратить только на это. Странно, что это нужно объяснять.

Всему рынку, да и мне было бы гораздо интереснее слышать про стратегию и тенденции рынка и как представляет себе это Symantec. Судя по всему, в таком ключе и выступал John Thompson.

Инновации в NIS 2008 должны быть, куда они от этого денутся, но опять же, люди такого уровня не должны опускаться до пиара каких-то конкретных продуктов.

Сергей Ильин

Чего-то судя по фоткам Джон Томпсон собрал мало народу, в зале сидит человек 50 дай бог ...

Это проблема организаторов Цебита, а никак не Джона Томпсона. ;)

у нас акулы публичный выстулений, как Евгений Касперский, Сергей Антимонов или Михаил Кондрашин побольше собирают :D

Сергей, Вы это серьезно?

В общем, шутку оценил. :lol:

На фотках ниже в зале несколько тысяч человек. John Thompson, как и любой CEO больших компаний, человек публичный, поэтому такие аудитории не редкость, судя по рассказам и фоткам.

Его интервью на разных сайтах мне всегда интересно читать. Надеюсь, что когда-нибудь он и к нам в Россию заглянет, было бы интересно увидеть его живое выступление.

Ммм, "акулы" говорите? Ну, если только хищные рыбки местного маленького аквариума... ;)

Когда они будут собирать в зале хотя бы тысячу - можно будет вернуться к теме.

Мне удалось получить комментарии на этот материал Евгения Касперского, который только вернулся с CeBIT:

1. Бред какой... Цебит по традиции не фокусируется ни на чём - там можно найти всё для всего.

Все для всего можно было найти на первых Цебитах, сейчас выставка больше напоминает закат нашего Комтека, только в большем размахе. Организаторы уже осознали, что срочно нужно менять формат выставки для удержания существующих арендаторов и привлечения заново тех, кто отказался в предыдущие годы.

2. У Symantec стуканула бюрократическая система - на CeBIT там сбрасываются разные подразделения компании.

Касперcкому хотя бы иногда нужно тщательным тестированием сигнатур заниматься, нежели комментариями, в которых он далеко не эксперт.

За Цебит всегда платил немецкий Symantec, никто никуда не сбрасывается (это же не общак!). :lol:

Если пообщаться хотя бы с людьми из российского Symantec, то это можно легко выяснить с ними в кулуарной беседе. Они коммуникабельные, объединение Symantec с VERITAS пошло на пользу компании. :)

В этот раз они сбросились недостаточно, на нормальный стенд не хватало, пока разбирались между собой - было уже поздно.

Извините, но E.Касперский "жжот"! :lol:

Где такой ганжубас берут? Хочу...

Опять же, еще в ноябре многим особо пытливым и плотно работающим с Symantec партнерам было известно, что Symantec отказался от участия. Чуть позже и про других ИТ-грандов в кулуарах всплывала информация. Короче, кто хотел, тот узнал...

Короче, они просто облажались, к радости для всех остальных антивирусных компаний. Ура!

Сергей, Вы уверены, что эти комментарии Вам дал Е. Касперский? Уж извините, но больно каким-то детсадом отдает от таких слов. :lol:

Я думал, он все таки человек серьезный, эксперт, так сказать, а не разносчик чужих слухов и собственных домыслов.

В деловой этике он точно не силен. Проженным технарям это простительно, но только не публичным людям, которые всегда говорят от имени компании. :P

Сергей, без обид, но на уровне рекомендации - не доверяйте наслово кому бы то ни было, а особенно агентству ОКС (Один Касперский Сказал), а проверяйте слухи и домыслы.

В целом, если по теме, то Цебит разочаровал, они легко могут повторить путь российского Комтека. Дай ты бог, чтобы руководство это осознало и исправило ситуацию, т.к. выставка была уникальной несколько лет назад. Подтверждение этому - неучастие очень большого числа компаний. Такого повального отказа от участия в выставке среди ИТ-грандов я не видел. Надо менять что-то в консерватории...

John_Thomson_speech.jpg

John_Thomson_speech2.jpg

John_Thomson_speech3.jpg

post-200-1174777866.jpg

post-1-1174777866.jpg

post-1-1174777867.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Инновации в NIS 2008 должны быть' date=' куда они от этого денутся, но опять же, люди такого уровня не должны опускаться до пиара каких-то конкретных продуктов.

[/quote']

Осталось ждать два-три месяца до беты. Вот и посмотрим. Судя по Norton 360 и другим последним продуктам, ничего особо нового мы не увидим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

вот по поводу объединение с веритас пошло на пользу я бы поспорил (смотри ниже)

к тому же если говорить за Россию, то у Симантека насколько мне известно теперь стала такая странная маржа для партнеров, что даже и не знаю... что тут поменялось к лучшему

Новый портал MySymantec вызывает нарекания клиентов

Источник: C-news # Новости (Москва)

Автор: БЕЗ АВТОРА

Дата: 23 марта 2007

23.03.07, Пт, 18:15, Мск

Интернет

Безопасность

Новый интернет-портал лицензирования и услуг для клиентов MySymantec, запущенный компанией Symantec в конце декабря, вызывает нарекания со стороны клиентов: обновление лицензий и другие функции представляются слишком трудными. Компания признаёт это и обещает исправить ситуацию.

Джули Пэрис (Julie Paris), вице-президент мирового офиса каналов продаж Symantec, говорит, что проблемы имеют место из-за комбинирования корпоративной системы планирования ресурсов (ERP) Veritas и Symantec. "Мы обнаружили, что слияние оказало воздействие на множество рабочих потоков и приложений". Среди прочих неудобств — проблема с оповещением и системами отчётности для партнёров. Но в течение нескольких месяцев компания планирует обновить систему.

На неудовлетворительную работу портала, в частности, жаловался Кевин Лэдд (Kevin Ladd), директор по инфраструктуре Direct Media. По его словам, не сохраняется информация о профиле пользователя, процесс её ввода непрост: каждый раз необходимо заново вводить идентификатор пользователя и ряд серийных номеров, указанных на сертификате. Ещё одна проблема — после того как лицензия была обновлена, при необходимости загрузить установочный файл снова, приходится вводить большое количество информации. Некто Пол Л. (Paul L.), менеджер по ИТ-инфраструктуре одного из муниципалитетов на юго-западе США, пожаловался на то, что система не смогла сгенерировать для него новый лицензионный ключ при обновлении Backup Exec, сообщил ComputerWeekly.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Чего-то судя по фоткам Джон Томпсон собрал мало народу, в зале сидит человек 50 дай бог ... у нас акулы публичный выстулений, как Евгений Касперский, Сергей Антимонов или Михаил Кондрашин побольше собирают :D

Тоже юмор ( (с) Масяня )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
E.K.

Какой интерес слушать от главы огромной корпорации (>17500 сотрудников и >$5 миллиардов в год) про банальные антивирусные технологии? Symantec не местечковый антивирусный вендор, чтобы время главы компании тратить только на это. Странно, что это нужно объяснять.

Есть одна софтверная компания - Микрософт называется, если слышали о такой... Так вот, пару лет назад на выставке-конференции RSA в Сан-Франциско я был на кейнот-спиче их тогдашнего главы, звали его Билл Гейтс, хотя это неважно. Так вот, этот самый Билл Гейтс не стеснялся говотить о банальных антивирусных технологиях, о сборе зловредных самплов и их анализе. И ничего - слушали внимательно, мест свободных в зале не было.

Про Симантек - похоже, что они меняют фокус с анти-малварного вендора на "общую секюрити и управление", что для них, скорее всего, будет не совсем хорошо. Если вспомнить историю, то Симантек как раз рванул резко вперёд, обогнал МcAfee и стал лидером индустрии именно тогда, когда продал все "побочные бизнесы", накупил антивирусных и "рядом лежащих" компаний - короче, сфокусировался на одной задаче - и в этом преуспел. Сейчас же они теряют фокусировку, что неизбежно приведёт к уменьшению доли на рынке - что даёт очень хорошие шансы "местечковым антивирусным вендорам" стать новыми огромными корпорациями - на смену старым.

Всему рынку, да и мне было бы гораздо интереснее слышать про стратегию и тенденции рынка и как представляет себе это Symantec. Судя по всему, в таком ключе и выступал John Thompson.

Стратегия и тенденции рынка глазами Симантека - это видно по их действиям, слоганам на выставках, выступлениям топ-менеджеров - это точно, никто не спорит. И звучит это так: "Ахтунг! Микрософт на рынке!".

Инновации в NIS 2008 должны быть, куда они от этого денутся, но опять же, люди такого уровня не должны опускаться до пиара каких-то конкретных продуктов.

А? Э? Я что-то пропустил?... Билл Гейтс почему-то пиарит продукты своей компании - http://news.netzor.org/microsoft-predstavila-novye-produkty/ , Стив Джобс тоже - http://www.iphones.ru/iNotes/109/ , а Джон Томпсон - нет... А?

Чего-то судя по фоткам Джон Томпсон собрал мало народу, в зале сидит человек 50 дай бог ...

Это проблема организаторов Цебита, а никак не Джона Томпсона. ;)

Ну да, конечно! 8-)

На фотках ниже в зале несколько тысяч человек. John Thompson, как и любой CEO больших компаний, человек публичный, поэтому такие аудитории не редкость, судя по рассказам и фоткам.

Эти фотки явно не с Цебита - ну нету там такого зала. А вот на Цебите ему пришлось выступать перед практически пустым залом - на 200 местах сидело чуть более 40 человек...

Ммм, "акулы" говорите? Ну, если только хищные рыбки местного маленького аквариума... ;)

Когда они будут собирать в зале хотя бы тысячу - можно будет вернуться к теме.

На RSA-2007 в Сан-Франциско я собрал около 600 человек, остальных не пустили, поскольку зал был рассчитан на ~400 мест... Возвращаемся к теме?

Касперcкому хотя бы иногда нужно тщательным тестированием сигнатур заниматься, нежели комментариями, в которых он далеко не эксперт.

Попрошу не вмешиваться своими советами в управление проектами моей компании - какнть сами обойдёмся. Проблема с апдейтами вроде как [практически] решена - это стоило немалых затрат (в наших мастшабах), но последний "кривой апдейт" у нас случился... месяцев 5-6 назад? (тьфу-тьфу-тьфу, и постучать по дереву). Увы - по причине исключительной зловредности современных зловредов приходится выпускать апдейты большие, часто и бысто - что несколько противоречит задаче качества этих самых апдейтов. Но нам вроде как удалось разрешить это противоречие (так же как в 6-ке удалось решить проблему противоречия качества обеспечения защиты и объёма потребляемых ресурсов компьютера).

За Цебит всегда платил немецкий Symantec, никто никуда не сбрасывается (это же не общак!).

Дык вроде как немецкий Симантек разогнали? (со слов бывших сотрудников бывшего отделения Симантека в Германии).

Если пообщаться хотя бы с людьми из российского Symantec, то это можно легко выяснить с ними в кулуарной беседе. Они коммуникабельные, объединение Symantec с VERITAS пошло на пользу компании. :)

Не поверите - это объединение пошло на пользу сразу нескольким компаниям! И моя компания в их числе. Перенос фокусировки Симантека с антивируса куда-то еще резко положительно сказался на наших результатах сразу в нескольких странах, и особенно - в Германии. Если раньше Симантек на немецком домашнем рынке был безусловным лидером-доминатором, то сейчас у него примерно треть рынка. Что интересно - у нас тоже примерно треть, но чуть меньше. Если тенденция сохранится, то в этом году в Германии мы будем #1 на рынке домашних антивирусов. Ура!

В этот раз они сбросились недостаточно, на нормальный стенд не хватало, пока разбирались между собой - было уже поздно.

Извините, но E.Касперский "жжот"! :lol:

Где такой ганжубас берут? Хочу...

Опять же, еще в ноябре многим особо пытливым и плотно работающим с Symantec партнерам было известно, что Symantec отказался от участия. Чуть позже и про других ИТ-грандов в кулуарах всплывала информация. Короче, кто хотел, тот узнал...

Для того, чтобы это узнать - совсем не надо быть пытливым и плотно работающим с Симантеком. Для этого надо всего-лишь трудиться в отделе маркетинга любой антивирсной компании, представленной на Цебите. То, что Симантека в этом году не будет, мы узнали в конце октября (или начале ноября?) 2006, когда с Цебита пришел план павильонов. Видимо, потом уже информация доползла до партнёров Симантека, они (как известно) - пытливые и плотно работающие, начали задавать вопросы - и получили устраивающий их ответ.

Короче, они просто облажались, к радости для всех остальных антивирусных компаний. Ура!

Сергей, Вы уверены, что эти комментарии Вам дал Е. Касперский? Уж извините, но больно каким-то детсадом отдает от таких слов.

Да, подтверждаю. С моих слов записано верно.

А как еще объяснить вот такие два факта: Симантек не присутствует на Цебите, глава Симантека читает кейнот-спич на том же самом Цебите. А? Нестыковочка получается...

Я думал, он все таки человек серьезный, эксперт, так сказать, а не разносчик чужих слухов и собственных домыслов.

Ага, сижу в дорогом костюме в огромном кабинете с парой вертушек на столе, а вход в святая-святых охраняется парой секретарш и бритой секюрити. Отдыхаю в Каннах и Куршавеле, ну и прочая мура... НЕ ДОЖДЁТЕСЬ!

В деловой этике он точно не силен. Проженным технарям это простительно, но только не публичным людям, которые всегда говорят от имени компании.

1. У нас сотни партнёров по всему миру - к моей деловой этике (и деловой этике моих сотрудников) у них практически не бывает претензий (обратное неверно - у нас к ним претензии иногда бывают). 2. Если партнёру или сотруднику компании-конкурента не нравятся мои комментарии по поводу его вендора - это его личные проблемы. 3. Если где-либо в беседе употребляются выражения "жжот" и "ганжубас" в мой адрес, я оставляю за собой право общаться с собеседником в той же форме.

Сергей, без обид, но на уровне рекомендации - не доверяйте наслово кому бы то ни было, а особенно агентству ОКС (Один Касперский Сказал), а проверяйте слухи и домыслы.

Иногда очень сложно выяснить - где правда, а где домыслы... Вот, например, на позапрошлом Цебите стенд Панды вёл себя просто неприлично - выводил полуголых мулаток и под барабаны водил их вокруг стенда. Этот шум ОЧЕНЬ мешал вести переговоры, давать интервью, да и раздражал изрядно. Несколько компаний пожаловались устроителям Цебита. В результате не след.год (да и в этом году) стенда Панды не было. Информация от Панды: решено не участвовать в Цебите. Информация от устроителей Цебита: Панде было отказано в участии. И где правда, и где домысел?

Сейчас же Симантек заявляет о решении не участвовать в выставке, бывшие сотрудники Симантека дают несколько иные показания... Я в данном случае больше доверяю неофициальным данным :-)

В целом, если по теме, то Цебит разочаровал, они легко могут повторить путь российского Комтека. Дай ты бог, чтобы руководство это осознало и исправило ситуацию, т.к. выставка была уникальной несколько лет назад. Подтверждение этому - неучастие очень большого числа компаний. Такого повального отказа от участия в выставке среди ИТ-грандов я не видел. Надо менять что-то в консерватории...

Повальный отказ от участия был после краха дот-комов, потом всё начало постепенно налаживаться. Отказ грандов от участия в выставке - скорее всего, они разучились использовать выставку эффективно... И не волнуйтесь за Цебит - их места на выставке будут заняты конкурентами поменьше (в софте) и китайскими компаниями (в железе).

Для нас же Цебит даёт обалденный бизнес-драйв, и не только в Германии - круги расходятся по всему шарику. И активное участие в этой выставке даёт нам дополнительный шанс на то, что в будущем мы займём место Симантека не только павильоном на Цебите :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собеседник

_Stout

Мне вот тоже было интересноь все это (тенденции, стратегии и пр)услышать. Было, но как-то однобоко. Такое впечатление, что Symantec-Veritas стал больше Veritas, чем Symantec.

Судя по отчетам Symantec для партнеров, решения для обеспечения безопасности и доступности информации сбалансированы в структуре продаж, т.е. примерно паритет. Кто-то из партнеров предпочитает продвигать только решения по безопасности, кто-то по доступности, многие предпочитают продвигать и то, и другое. Зачем же отдавать бюджет заказчика в руки других партнеров? Правильно, поэтому надо заниматься и безопасностью, и доступностью. ;)

Не поленившись залезть на сайт Цебита, с легкостью можно найти это выступление Джона Томпсона в печатном виде.

http://www.cebit.de/43718?usertyp=1&hi...t=john+thompson

(справа Download Keynote Symantec - 16.03.2007 (PDF, 40 KB)

Прицепил его к сообщению - см. внизу. Сам с удовольствием прочитал. Рекомендую ознакомиться всем, кто хоть как-то может читать на английском. Лично я однобокости в печатной версии не заметил. Очень хорошо рассказано и записано.

Возможно, что на слух вопринимать было сложнее (а это априори сложнее, чем читать с листа) или же Вам хотелось видеть его выступление однобоким. ;)

Symantec IMHO потерял свою индивидуальность. Ну да и к лучшему.

Кому и чем лучше? Непонятно...

Какая может быть индивидуальность? Компания же не индивидуум, а колллектив из n-го количества индивидуумов (n>17500 в случае Symantec'а), каждый из которых может обладать индивидуальностью. ;)

Если Вы про особенности, которые отличают компанию от других, то на мой взгляд это практически единственная компания в мире, которая обеспечивает безопасность, доступность и целостность информации на практически всех существующих платформах, т.е. является стратегическим партнером всех крупных аппаратных и софтовых вендоров (только некоторые по памяти): IBM, Intel, HP, Dell, Sony, Toshiba, Fujitsu-Siemens, Sun, Cisco, Juniper Networks, Microsoft, Oracle, SAP и другие...

По моим наблюдениям этого Symantec вроде бы не теряет, а только наращивает поддержку различных платформ, органично и эффективно дополняя любую из них своими решениями для облегчения жизни домашних пользователей или ИТ-департаментов компаний любого размера.

При этом компания обладает очень качественным штатом консультантов, т.е. в компании активно развивается консалтинговое подразделение, причем и в России тоже, которое помогает партнерам и заказчикам в сложных проектах. Кстати, это консалтинговое подразделение не конкурирует с партнерами-интеграторами в канале, как, например, консалтинговое подразделение IBM Global Services, которое само выступает как интегратор и отнимает хлеб насущный. :twisted:

Иван

вот по поводу объединение с веритас пошло на пользу я бы поспорил...

Попробуйте. ;)

Насколько я знаю, на момент объединения Symantec с VERITAS (июль-ноябрь 2005) в российском офисе Symantec работало 4 человека, в офисе VERITAS не более 10, сейчас в российском офисе объединенной компании около 35 человек и возглавляет офис Ник Росситер, который очень долгое время возглавлял российский HP.

Я не думаю, что если у компании дела идут плохо, то она будет набирать все новых и новых сотрудников.

Я бы так не поступил, но я и не руковожу компанией такого размера, как Symantec, так что могу только предполагать. ;)

(смотри ниже)

Смотрю и вижу

Новый портал MySymantec вызывает нарекания клиентов

Во-первых, это абсолютно не касается домашних пользователей.

Во-вторых, если Вы партнер Symantec, то, наверное, знаете, что портал MySymantec.com используется только теми заказчиками, которые покупают продукты по программе REWARDS, которая подразумевает достаточно большую первичную покупку для попадания в программу, т.е. это только для немаленьких компаний. Большинство продаж в России и СНГ происходит по программе EXPRESS (почти полный аналог программы лицензирования Symantec VALUE), т.е. этот портал им не нужен.

У моих заказчиков, которые воспользовались программой REWARDS и, соответственно, сайтом MySymantec.com описанных затруднений не возникло, иначе я бы про них знал. Сайт MySymantec очень прост - заблудиться там затруднительно.

В заметке идет речь об Америке, заказчики в которой в среднем крупнее и на ИТ тратят больше, соответственно, т.е. у них больше продуктов и больше лицензий - возможно, что-то вызывает неудобство при регистрации и отслеживании большого количества закупленных продуктов, лицензий, сроков поддержки и т.д.

Коль есть отзывы о недоработках, то обязательно исправят.

Фиксить баги в Symantec умеют и достаточно оперативно.

к тому же если говорить за Россию, то у Симантека насколько мне известно теперь стала такая странная маржа для партнеров, что даже и не знаю... что тут поменялось к лучшему

Это мне подсказывает, что Вы все таки с Symantec ДО объединения и ПОСЛЕ объединения не работали - иначе бы почувствовали разницу. ;)

С вендором нужно плотно работать и тогда суммарный доход партнера от продаж (услуги в расчет не берем) будет точно не хуже, чем по другим вендорам на российском рынке (даже если брать только направление информационной безопасности). Я в курсе, какие схемы у каждого вендора, поэтому знаю о чем говорю. :)

Короче, если продавать от случая к случая, то и результата никакого не будет. Если целенаправленно работать с вендором, то можно добиться отличных результатов (особенно, когда становишься Gold и потом Platinum партнером). "Под сидячую задницу коньяк не течет", как говорит народ.

E.K.

Я общался с Сергеем, но коль появились Вы, то с удовольствием с Вами пообщаюсь.

Есть одна софтверная компания - Микрософт называется, если слышали о такой...

Ммм... Может и есть такая, названия разные бывают. :roll:

Так вот, этот самый Билл Гейтс не стеснялся говотить о банальных антивирусных технологиях, о сборе зловредных самплов и их анализе.

Аааа! Так Вы о Microsoft (он же ООО "Майкрософт Рус" в России)! Знаем, знаем таких, работаем.

Ну, Билл Гейтс на этом рынке новичок. Это Вы начали свое знакомство с малварой в далеком 89-м, если мне не изменяет память, а Билли же активно занимался DOS-ом и графическими надстройками над ним, именуемыми Windows, а борьбу с малварой оставил на 21 век. Symantec в том году вышел на IPO и стал публичной компанией.

Неудивительно, что выйдя на новый рынок антивирусов, Биллу нужно везде и громко заявлять, что теперь они крупнейший АВ-вендор и секьюрити-провайдер. :lol:

Он же стал автоматически самым богатым писателем, написав свою первую книгу. Такие гонорары среди писателей никому и не снились. ;)

Тема борьбы с малварой ему теперь интересна, поэтому с радостью и делится с другими.

И ничего - слушали внимательно, мест свободных в зале не было.

Его будут слушать внимательно в любом случае, о чем бы он ни рассказывал, почему бы и не послушать самого богатого человека. :?

Про Симантек - похоже, что они меняют фокус с анти-малварного вендора на "общую секюрити и управление"

Анти-малварные решения остаются для них фокусным направлением, впрочем как и "общая секюрити и управление", и решения по доступности информации. При таком штате специалистов они могут специализироваться на каждом из этих направлений и делать это вполне эффективно.

когда продал все "побочные бизнесы", накупил антивирусных и "рядом лежащих" компаний - короче, сфокусировался на одной задаче - и в этом преуспел.

Судя по этой ссылке, Symantec только приобретал и приобретал технологии. Недавнее приобретение технологий - Altiris.

Я помню, что продали продукт ACT! и правильно сделали - нафиг оно нужно было, это CRM-направление. ;)

Сейчас же они теряют фокусировку, что неизбежно приведёт к уменьшению доли на рынке

Они отказались от антивирусов? :shock:

Нет? Уф, отлегло...

Ничего они не теряют. Фокус у них четкий на свои рынки, в т.ч. и на высококонкурентный АВ-рынок.

что даёт очень хорошие шансы "местечковым антивирусным вендорам" стать новыми огромными корпорациями - на смену старым.

Плох тот вендор, что не хочет занять место Symantec! :wink:

Стратегия и тенденции рынка глазами Симантека - это видно по их действиям, слоганам на выставках, выступлениям топ-менеджеров - это точно, никто не спорит. И звучит это так: "Ахтунг! Микрософт на рынке!".

Ммм, Microsoft бОльшая угроза компаниям второго и третьего эшелона, т.к. они сосредоточены в первую очередь на SMB рынке.

В выступлении ничего не было про "Ахтунг! Микрософт на рынке!"

http://www.cebit.de/43718?usertyp=1&hi...t=john+thompson

(справа Download Keynote Symantec - 16.03.2007 (PDF, 40 KB)

Прицепил его к сообщению - см. внизу.

Да и как может быть Ахтунг, если эти компании - стратегические партнеры? Да, Microsoft занялся АВ-направлением, ну и пусть занимается, конкуренция обостряется, в конечном итоге выигрывают потребители. ;)

А? Э? Я что-то пропустил?... Билл Гейтс почему-то пиарит продукты своей компании, Стив Джобс тоже, а Джон Томпсон - нет... А?

Потому что это неинтересно. Я про продукты могу и сам спеки прочитать, скачать, потестировать, посмотреть, форумы полистать...

Выдержка из его выступления:

Now, let me say right up front that there are two things that I won’t do today: First, I won’t attempt to deliver my remarks in German. That’s for the benefit of our hosts and for the good of the language. Second, I’m not going to spend the next 30 minutes trying to sell you on Symantec or conducting a product demonstration.

Молодец, уважаю. Не надо мне впаривать, я сам разберусь. :)

Эти фотки явно не с Цебита - ну нету там такого зала.

Эээ, а я говорил, что это с Цебита? :roll:

Это где-то в Америке, думаю, что и в Европе с такими залами проблема...

А вот на Цебите ему пришлось выступать перед практически пустым залом - на 200 местах сидело чуть более 40 человек...

Судя по расписанию, он выступал с 10 утра. Я бы в такую рань тоже не пошел бы слушать. 8)

E.K. я собрал около 600 человек

Если формально, то

Когда они будут собирать в зале хотя бы тысячу - можно будет вернуться к теме.
;)

но это был ответ на фразу Сергея.

Никто не подвергает сомнению ваш талант вирусного аналитика, в т.ч. и я, но я люблю объективность.

Дык вроде как немецкий Симантек разогнали?

Это вряд ли, есть сомнения, что компания разогнала достаточно большой офис в Германии (вроде как второй ИТ-рынок в Европе после UK). Их там человек, наверное, 150-200, если не больше, там только на выходных пособиях можно разориться, так что Ваш информатор, наверное, что-то не то имел в виду или неправильно выразился. :)

А как еще объяснить вот такие два факта: Симантек не присутствует на Цебите, глава Симантека читает кейнот-спич на том же самом Цебите. А? Нестыковочка получается...

В чем нестыковка то? Простой визит вежливости, а CeBIT успешно добавит в свою копилку, что CEO Symantec почтил вниманием их выставку. Даже если компания не выставляется на Цебите в этом году, то если приглашают, почему бы не выступить?

Я бы тоже выступил, если б пригласили, но меня не приглашают. :)

1. У нас сотни партнёров по всему миру - к моей деловой этике (и деловой этике моих сотрудников) у них практически не бывает претензий (обратное неверно - у нас к ним претензии иногда бывают).

Ммм, бывали корпоративные поставки напрямую клиентам от ЗАО "Лаборатория Касперского" минуя партнеров, участвоваших в том же тендере или урезание скидок (маржи) по корпоративным проектам. Типа мы с ними уже работаем, поэтому вот вам скидка меньше. :twisted: :evil:

Nothing personal, just business.

Если где-либо в беседе употребляются выражения "жжот" и "ганжубас" в мой адрес, я оставляю за собой право общаться с собеседником в той же форме.

Больше не буду. :roll:

Вот, например, на позапрошлом Цебите стенд Панды вёл себя просто неприлично - выводил полуголых мулаток и под барабаны водил их вокруг стенда. Этот шум ОЧЕНЬ мешал вести переговоры, давать интервью, да и раздражал изрядно.

Угу, и вы на своем телике запустили ролик с голодными пандами в зоопарке. Отличный ответ, браво! :lol:

Symantec в таких злодеяниях вроде не был замечен на Цебите, насколько я помню их стенды.

Сейчас же Симантек заявляет о решении не участвовать в выставке, бывшие сотрудники Симантека дают несколько иные показания... Я в данном случае больше доверяю неофициальным данным

Я тоже доверяю больше тому, что люди из Symantec говорят в неофициальной кулуарной беседе и у меня другая информация, нежели у Вас. ;)

И активное участие в этой выставке даёт нам дополнительный шанс на то, что в будущем мы займём место Симантека не только павильоном на Цебите

Плох тот вендор, что не хочет занять место Symantec! :wink:

Спасибо всем, кто осилил и дочитал до конца! :D

9548.pdf

9548.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.2.15. В числе прочего добавлена совместимость с Windows 10 20H2.
    • Ego Dekker
    • AM_Bot
      Хотя сама по себе технология контейнеризации — это не новое явление, за последние 3—5 лет её популярность возросла на фоне принятия методологии DevOps. Разработчики полюбили контейнеры за простоту и избавление от проблем совместимости. Однако для эффективного и безопасного перехода к микросервисной архитектуре необходимо обеспечить защиту среды контейнеризации и программных образов в совокупности. На рынке ИБ доступны два универсальных решения, с помощью которых можно этого добиться: Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition. ВведениеПринципы работыРиски, связанные с контейнерной технологиейОбзор решений по защите контейнеров4.1. Архитектура4.2. Функциональность4.3. Защита во время исполнения (runtime)4.4. Сетевой экран веб-приложений (WAF) от Prisma Cloud Compute4.5. Виртуальный патчинг от Aqua SecurityВыводы ВведениеПрименение технологии контейнеризации для работы приложений прогрессирует заметными темпами, и согласно исследованию 451 Research ожидается, что в 2020 году скорость роста увеличится ещё на 40%. Gartner прогнозирует, что к 2022 году более 75% организаций будут использовать контейнерные технологии, а объём этого рынка составит 4,3 миллиарда долларов США.Такой рост обусловлен переходом от виртуальных машин и монолитных приложений к микросервисной архитектуре, обладающей следующими преимуществами:Все зависимости — внутри контейнера. Это упрощает развёртывание приложения. Больше нет необходимости устанавливать дополнительные библиотеки и настраивать сторонние компоненты для корректной работы программы.Гарантированная воспроизводимость. Хранение внутри образа всех необходимых зависимостей, названий переменных и конфигурационных файлов гарантирует, что приложение, развёрнутое из этого образа, сможет запуститься.Небольшой размер образа. В отличие от образов виртуальных машин, размер которых порой исчисляется десятками гигабайт, правильно собранный образ контейнера может занимать всего лишь несколько килобайт.Небольшое потребление ресурсов. Вследствие того что контейнер представляет из себя лишь упакованное приложение, а нередко — и лишь один процесс, сильно уменьшается нагрузка на ресурсы «железа».Все эти преимущества позволяют снизить операционные расходы на разработку и эксплуатацию приложений. Рисунок 1. Визуальное представление работы контейнеров и виртуальных машин на сервере  Принципы работыПеред тем как начать говорить об уязвимостях технологии контейнеризации, необходимо погрузиться в базовые принципы её работы.Одно из самых известных в мире решений для контейнеризации — Docker. Для того чтобы упаковать приложение в образ Docker, необходимо составить т. н. «докер-файл». Он включает в себя описание используемых зависимостей, конфигурационные файлы, пароли, а также команды для сборки этого приложения. Рисунок 2. Пример того, как может выглядеть докер-файл для простого приложения, написанного на языке Python  После написания докер-файла и запуска команды сборки образ Docker собирается и отправляется в реестр (registry). Реестр может быть как приватным (внутри организации), так и публичным (например, Docker Hub). Рисунок 3. Архитектура работы Docker  Как правило, один контейнер представляет собой единственный процесс на хостовом сервере, и этого зачастую недостаточно для работы крупного корпоративного приложения. Приложение становится микросервисным, то есть состоящим из множества работающих вместе контейнеров.Комплексное корпоративное приложение требует обеспечения отказоустойчивости, балансировки, контроля трафика, бесшовного обновления, автоматического восстановления и т. д. С этими задачами прекрасно справляются средства оркестровки: Kubernetes или OpenShift. Оркестратор состоит из рабочих (worker) нод, на которых исполняется продуктивное приложение, и мастер-ноды, которая обеспечивает централизованное управление системой.Применение Docker, Kubernetes и микросервисов нашло своё успешное применение в DevOps на этапах тестирования публикуемого разработчиками кода, а также размещения в продуктивной среде. Рисунок 4. Пример конвейерной последовательности («пайплайна») CI / CD  Риски, связанные с контейнерной технологиейНесмотря на преимущества, которые даёт контейнеризация приложений, существует и ряд уязвимостей, которые не позволяют внедрить эту технологию повсеместно, без оглядки на безопасность.Первый риск — развёртывание контейнера из уязвимого образа, т. е. такого, который содержит уязвимый пакет, вредоносную программу или открытые пароли. Подобный образ, например, может быть скачан из публичного реестра. Рисунок 5. Верхнеуровневая схема атаки на сервер с помощью уязвимого образа  Рисунок 6. Сборка образа посредством импорта вредоносной программы, файла паролей, перечня уязвимых пакетов  Уязвимость может также содержаться в базовом образе. Согласно исследованиям компании Snyk, 10 самых популярных образов в Docker Hub содержат ошибки безопасности системных библиотек. Официальный образ Node.js включает в себя 580 уязвимых системных библиотек. Остальные образы из списка содержат не менее 30 общеизвестных программных изъянов. Рисунок 7. Число уязвимостей в самых популярных образах на Docker Hub  Помимо образов Docker источником уязвимостей также может являться развёрнутый контейнер. Наличие вредоносного кода, уязвимостей ПО несёт риск того, что злоумышленнику удастся скомпрометировать развёрнутый контейнер, использовать его с повышенными привилегиями, получить доступ к ОС хостового сервера, а далее запустить дочерние вредоносные процессы, подключиться к сторонним ресурсам в интернете, получить доступ к файловой системе и распространить атаки на соседние контейнеры.Риски для безопасности могут также скрываться в слабых настройках и уязвимостях компонентов Kubernetes. Для API-сервера это, например, — возможность анонимного доступа или осуществления неавторизованных запросов, отсутствие RBAC, использование небезопасных портов. Для хранилища Kubernetes (etcd) под слабыми настройками могут подразумеваться небезопасные методы подключения, возможность соединения без использования сертификатов. Рисунок 8. Угрозы, исходящие от отсутствия мер защиты среды контейнеризации, и их последствия  К числу других проблем относится контроль событий контейнеров и хостов. В условиях, когда средний срок службы контейнера — несколько часов или даже минут, мониторинг текущих процессов может быть особенно сложной задачей. Обзор решений по защите контейнеровПроведём сравнение двух наиболее распространённых enterprise-решений такого рода, которые представлены на российском рынке: Aqua Cloud Native Security Platform (CSP) и Prisma Cloud Compute Edition(до покупки Palo Alto Networks имевшего название Twistlock).Основная функциональность обоих решений:Автоматическая проверка конфигурации на предмет соответствия лучшим практикам для сокращения риска компрометации.Контроль взаимодействия (firewall) между элементами контейнеризации (поды, сервисы) для сокращения риска распространения атаки.Проверка образов контейнеров в процессе разработки для сокращения риска развёртывания уязвимых образов в продуктивной среде.Проверка развёрнутых контейнеров на предмет наличия уязвимостей, открытых паролей, аномальной активности и несоответствия политикам безопасности для сокращения ущерба от атак и кражи паролей.Сбор и анализ событий, поступающих от контейнеров и хостов, для обеспечения контроля за инцидентами и эффективного реагирования. Архитектура Рисунок 9. Архитектура Aqua CSP  Оба решения включают в себя два компонента, разворачиваемых в виде контейнеров: консоль управления (Twistlock Console и Aqua Console) и агент сканирования (Twistlick Defender и Aqua Enforcer).В число функций консоли входят:предоставление интерфейса для интерактивного управления решением;интеграция со сторонними программными компонентами (SIEM, средство запуска CI / CD);сканирование образов контейнеров в реестре.Агенты сканирования мониторит безопасность запущенных контейнеров во время их выполнения, чтобы обеспечить соблюдение политик, настроенных администратором системы с помощью пользовательского интерфейса на консоли. Агент также гарантирует, что только зарегистрированные и отсканированные образы будут работать на хостах, на которых установлен агент.Обоим решениям требуется выход в интернет для подключения к собственным базам знаний. База знаний используется при сканировании образов, контейнеров и хостов на предмет уязвимостей и вредоносных программ, содержит чёрный список IP-адресов, актуальные оценки производительности («бенчмарки») и так далее.С точки зрения архитектуры Aqua CSP отличается тем, что в ней есть два дополнительных компонента — Aqua Gateway и вынесенная за пределы консоли база данных. Aqua Gateway осуществляет взаимодействие между Aqua Console и Aqua Enforcer и размещается по одному компоненту на кластер, в случае если ваши сервисы размещены на разных кластерах. База данных содержит информацию, касающуюся конфигурации Aqua CSP (политики безопасности, роли и пользователи, параметры), и результаты аудита безопасности. Также в отличие от Prisma Cloud Compute, где БД размещена внутри консоли, Aqua позволяет вынести базу данных за пределы кластера на существующих серверах. ФункциональностьСравнение функциональных возможностей двух платформ представлено в таблице ниже. Таблица 1. Сопоставление Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition№ПараметрAqua Cloud Native Security PlatformPrisma Cloud Compute Edition1.Метод развёртыванияAqua Enforcer — контейнер на хостTwistlock Defender — контейнер на хост2.Варианты развёртыванияКак в облаке, так и в локальной инфраструктуре (on-premise)3.КомпонентыAqua Server — центральный компонент управления Aqua Security Platform;Aqua Gateway — обеспечивает взаимодействие между компонентом управления и Aqua Enforcer, а также отправку событий в сторонние системы (SIEM, IRP);Aqua Enforcer — обеспечивает защиту среды выполнения контейнеров, хостов, виртуальных машин и лямбда-функций;PostgreSQL DB — база данных, используемая компонентами Aqua;Aqua CyberCenter — облачная служба данных киберразведки от лучших мировых сервисов: NVD, Mitre, CVSS, Red HatTwistlock Console — основной компонент управления. Выполняет сканирование образов. Поставляется с внутренней базой данных без возможности использования внешней БД;Twistlock Defender — обеспечивает защиту среды выполнения контейнеров и хостов;Twistlock Intelligence Stream — облачная служба данных киберразведки от лучших мировых сервисов: NVD, Mitre, CVSS, Red Hat4.Организация взаимодействия компонентов кластера по SSLВсё взаимодействие между компонентами происходит по зашифрованному каналу. Взаимодействие контейнерной среды по SSL обеспечивается средствами оркестратора5.Возможность настройки использования TLS-сертификатов для шифрованного взаимодействияСертификат выписывается внутренним УЦ решения для взаимодействия всех компонентов. Сертификаты для контейнерной среды настраиваются оркестратором6.Возможность написания правил для ограничения взаимодействия контейнеровФункциональность списков контроля доступа (ACL), сетевого экрана для создания правил взаимодействия контейнеров, хостов, виртуальных машин;функциональность объединения групп контейнеров, хостов, виртуальных машин в сервис с возможностью обучения сетевого взаимодействия внутри него (или между сервисами), а также автоматического создания правил и карты сетевого взаимодействия;утилита Kube-hunter, позволяющая проводить простые тесты на проникновение и эмулировать атаки на кластер Kubernetes с составлением отчётаФункциональность списков контроля доступа (ACL), сетевого экрана для создания правил взаимодействия контейнеров, хостов;обучение сетевого взаимодействия контейнеров и хостов, составление карты взаимодействия и предложения автоматических правил;функциональность брандмауэра веб-приложений (WAF)7.Визуализация взаимодействия между компонентами (пространства имён, поды)Поддержка полной визуализации взаимодействия между компонентами кластера (-ов) в консоли управления8.Сканирование образов в реестрах на наличие уязвимостейСканирование на уязвимости, наличие критических данных внутри контейнеров (приватные ключи, пароли), вирусы;сканирование хостов на наличие образов / контейнеров, не хранящихся ни в одном репозитории;сканирование библиотек исходного кода приложения на наличие уязвимостей с использованием CTI Feeds (Aqua CyberCenter);применение техник виртуального патчинга на время устранения найденной уязвимости или ожидания патча от вендораСканирование на уязвимости, наличие критических данных внутри контейнеров (приватные ключи, пароли), вирусы;сканирование хостов на наличие образов / контейнеров, не хранящихся ни в одном репозитории;сканирование библиотек исходного кода приложения на наличие уязвимостей;возможность определения собственных типов уязвимостей и импорта MD5-сумм бинарных файлов9.Сканирование образа на наличие открытых паролейСканирование на наличие критических данных внутри образов (приватные ключи, пароли) или в коде приложения10.Проверка цифровой подписи контейнера перед его развёртыванием на нодеПроверка хеш-суммы образа. Контейнер подписывается внутренним УЦ Aqua. Дополнительная подпись и проверка реализуются оркестраторомПроверка хеш-суммы образа. Дополнительная подпись и проверка реализуются оркестратором11.Защита контейнеров от изменений. Контроль среды выполненияЗащита от изменений при помощи хеширования содержимого каждого образа;защита от изменений согласно определённым политикам среды выполнения;запрет на выполнение;запрет доступа к файлам, режим «только чтение»;запрет исполнения команд ОС;запрет подключения с определённых IP-адресов;запрет повышения привилегий, использования учётной записи «root»;запрет доступа к определённым пакетам ОС;запрет на сканирование портов, блокировка ненужных портов;запрет использования нестандартных базовых образов12.Поддержка протоколов автоматизации управления данными безопасностиSCAP13.Наличие собственного хранилища секретовВстроенное хранилище секретов Aqua Secret Key Store; интеграция со сторонними Key VaultИнтеграция со сторонними Key Vault14.Управление секретами и мониторинг доступаНазначение секретов на контейнеры, хосты; изменение, удаление, добавление через консоль управления; подставление или переназначение секретов во время выполнения (runtime)Только через сторонний Key Vault15.Поиск уязвимостей на хостеСканирование хоста на уязвимости, вирусы аналогично контейнерам16.Профилирование контейнераОбучение модели на основе работы контейнера (поведенческой модели, в том числе и сетевого взаимодействия) в течение указанного периода. Создание профиля и применение его к другим контейнерамОбучение модели на основе работы контейнера в течение 24 часов17.Ограничение ресурсов контейнера (использование AppArmor, SELinux, cgroups)Контроль запуска контейнеров по критерию «запущены или нет»: Seccomp, SELinux, apparmorКонтроль запуска контейнеров по критерию «запущены или нет»: SELinux, apparmor18.Проверка конфигурации k8sВстроенная проверка на различные требования (compliance): CIS (Docker CIS, Kubernetes CIS)19.Реализация POD security policyРеализуется только функциональностью Kubernetes20.Шифрование данных, хранящихся в etcdРеализуется только функциональностью оркестратора21.Протоколирование действий пользователейОсуществляется запись в журнал следующих событий:действия в консоли,действия, связанные с Container Engine,действия внутри контейнера (имя пользователя, имя контейнера, имя образа, ID процесса),события, связанные с найденными уязвимостями,действия, связанные с использованием Docker API или команд на контейнере, хосте,действия, связанные с использованием LambdaFunction,события по политикам Host Runtime,действия на хостах,события успешных / неуспешных попыток входа,действия пользователей в оркестраторе22.Мониторинг чтения / записи файлов, атрибутов, директорий на хостеПоддерживается23.Отслеживание аномальной активности на хосте (например, брутфорс)Аудит всех действий на хосте, всех исполняемых процессов, использования команд и передаваемых аргументов, сетевых взаимодействий с участием хоста24.Реализация модели доступа RBACРолевая модель реализуется только по доступу к консоли управления. Есть возможность определять свои роли с настройкой доступов на чтение / изменение к определённым компонентам25.Управление сертификатами (PKI)Реализуется при помощи оркестратора26.Проверка на соответствиеPCI, GDPR, HIPAA, NIST SP 800-190PCI, GDPR, HIPAA, NIST SP 800-19027.Поддерживаемые реестры образов (image registries)Amazon EC2 Container Registry;Google Cloud Platform Container Registry;Azure CR;Cloud Foundry Registry;Harbor;Docker;CoreOS Quay;JFrog Artifactory;OpenShift Container Registry;Red Hat Atomic Registry;Sonatype Nexus Repository OSS;любой другой реестр, поддерживающий APIAmazon EC2 Container Registry;Google Cloud Platform Container Registry;Harbor;Docker;JFrog Artifactory;Sonatype Nexus Repository OSS28.CI / CDGoCD, TeamCity, Bamboo, GitLab, Jenkins, CircleCI, Azure DevOpsJenkins plugin; Twistcli — плагин по интеграции через API к CI / CD. Доработок не требуется29.РеестрыDocker Hub, Amazon ECR, Google GCR, CoreOS Quay, JFrog Artifactory, Azure ACRDocker Hub, Amazon ECR, Google GCR, IBM CCR, JFrog Artifactory, Azure ACR, OpenShift30.Хранилище паролей (Password Vault)CyberARK Password Vault, Conjur, AWS KMS, HashiCorp Vault, AzureHashiCorp, CyberARK, AWS KMS, Azure31.Active Directory / LDAPПоддержка интеграции с LDAP и AD FS32.Единый вход (SSO)SAML-based authentication, OpenID Connect, Google Apps, AD FSSAML-based authentication, OpenID Connect, AD FS33.SIEM и аналитикаArcSight, AWS CloudWatch, Datadog, Elasticsearch, Google SCC, Logentries, Loggly, Microsoft OMS, Splunk, Sumo Logic, Syslog, QRadarПотенциально — со всеми по Syslog. Нужна доработка коннекторов34.Система отслеживания ошибокJira35.Обратная связьSlack, PagerDutySlack Защита во время исполнения (runtime)Функция защиты во время исполнения позволяет отследить аномальное поведение развёрнутых контейнеров на основе данных о процессах, сети, обращениях к файловой системе, системных вызовах, данных хоста. Это обеспечивает защиту от криптомайнеров, нежелательных процессов, распространения атаки по сети, нежелательного исходящего соединения, открытых портов, появления вредоносных программ, а также от нежелательных системных вызовов.Кроме того, оба решения позволяют обеспечить неизменность контейнера, при которой обновления будут проходить только через конвейер CI / CD, не допуская изменений, разрешённых во время выполнения. И у Aqua CSP, и у Prisma Cloud Compute есть функциональность снятия криптографического отпечатка нескольких слоёв в пределах образа для обеспечения целостности последнего. Сетевой экран веб-приложений (WAF) от Prisma Cloud Compute Рисунок 10. Верхнеуровневая схема работы Cloud Native Application Firewall (CNAF)  Отличительной особенностью Prisma Cloud Compute на фоне других решений является встроенный модуль межсетевого экранирования на уровне L7 для веб-приложений — Cloud Native Application Firewall (CNAF). Агент сканирования является в данном случае прокси-сервером HTTP, анализируя поступающие GET- и POST-запросы от клиентов. Для этого Twistlock Defender добавляет новое правило iptables, перенаправляя трафик от веб-приложения через себя. Если соединение защищено с помощью TLS, Defender расшифровывает трафик, проверяет содержимое, а затем повторно шифрует его. Виртуальный патчинг от Aqua SecurityAqua CSP в свою очередь выделяется такой особенностью, как Aqua Vulnerability Shield (Aqua vShield) — функция виртуального патчинга. Это — запатентованная технология, использующая автоматический анализ уязвимостей для создания runtime-политик, которые могут обнаруживать и блокировать доступ к уязвимым компонентам в контейнерах приложения. Запуск vShield для найденной уязвимости позволит предотвратить её эксплуатацию до того, как разработчики выпустят исправление. ВыводыKubernetes не использует механизмы безопасности по умолчанию в силу того, что эти же механизмы, как правило, могут затруднять внедрение и перенос приложений. Технология не стала бы такой популярной и приятной в использовании, если бы первый запуск приложения в контейнерной среде сопровождался проблемами, вызванными чрезмерным контролем. И даже несмотря на то, что Kubernetes или OpenShift имеют в себе безопасные настройки, их использование остается трудоёмким и неконтролируемым для организаций со сложной микросервисной архитектурой и большим числом нод кластера.Такие решения, как Aqua CSP и Prisma Cloud Compute, созданы для упрощения контроля безопасности контейнерной среды. Развернув дополнительно по одному агенту на каждую ноду, можно получить сразу несколько механизмов безопасности «из коробки», что существенно сокращает риски финансовых и репутационных потерь от атаки злоумышленника на развёрнутое в среде контейнеризации приложение. Выбор того или иного инструмента зависит от потребностей отдела безопасности и бизнеса, но тенденция такова, что с ростом перехода на контейнеры популярность подобных решений будет только расти. Читать далее
    • AM_Bot
      Для того чтобы обеспечить надлежащий уровень защиты информационной инфраструктуры от угроз, организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности (Security Operations Center, далее — «SOC»), целью которых является быстрое реагирование на ИБ-инциденты с их последующим устранением. Но для эффективной борьбы с современными угрозами уже недостаточно просто создать SOC: необходимо оснастить его технологиями, актуальной информацией и знаниями. В этом могут помочь профильные сервисы «Лаборатории Касперского».   ВведениеСостав сервисов «Лаборатории Касперского» для корпоративного SOCОсновные возможности сервисов «Лаборатории Касперского» для корпоративного SOCОписание сервисов «Лаборатории Касперского» для корпоративного SOC4.1. Kaspersky Threat Hunting4.2. Kaspersky Threat Intelligence4.3. Kaspersky Anti Targeted Attack4.4. Kaspersky Endpoint Detection and ResponseРеагирование на инцидентыАнализ защищённости и тестирование на проникновениеЭкспертные тренинги для специалистов SOCВыводы ВведениеМы не раз уже ссылались на исследование «Лаборатории Касперского» под названием «Прогнозы по продвинутым угрозам на 2020 год». Помимо прочего, оно подтверждает рост сложности методов проведения атак. Злоумышленники намеренно пытаются проводить свои операции под ложным «флагом», чтобы отвести от себя первоначальные подозрения, и точечно выбирают жертв, которые готовы заплатить значительные суммы за восстановление данных. Не перестают появляться новые варианты вредоносных действий в сфере финансовых услуг (в частности — в онлайн-банкинге). При этом в настоящее время средства защиты часто нацелены на обеспечение безопасности рабочих станций, в то время как злоумышленники расширяют свой инструментарий и распространяют атаки не на терминалы, а на сетевое оборудование. Обнаружить такие воздействия всё сложнее.Накопленный специалистами «Лаборатории Касперского» опыт изучения компьютерных угроз и разработки высокоэффективных технологий защиты от них, глубокая экспертиза и практические навыки реализации сложных проектов в области кибербезопасности, реализованные в сервисах компании, обеспечат многоуровневую поддержку SOC организации для повышения его эффективности в борьбе с комплексными угрозами. Состав сервисов «Лаборатории Касперского» для корпоративного SOCСервисы «Лаборатории Касперского» для SOC нацелены на обеспечение эталонного подхода к защите, используя четыре ключевых элемента: управление знаниями, анализ угроз, активный поиск угроз и грамотно налаженный процесс реагирования на инциденты. Сообразно этому комплекс сервисов содержит несколько перечисленных далее частей.Threat Hunting: услуга Kaspersky Managed Protection позволяет своевременно обнаружить атаки, обходящие превентивные системы защиты, путём круглосуточного мониторинга и анализа угроз информационной безопасности экспертами «Лаборатории Касперского».Threat Intelligence: потоки данных об угрозах, индивидуализированные отчёты (аналитика о проблемах безопасности для конкретных компаний или стран, а также финансовых организаций), аналитические отчёты о постоянных угрозах повышенной сложности (APT), сервисы Threat Lookup, Cloud Sandbox, CyberTrace.Kaspersky Anti Targeted Attack: защита корпоративной сети от целевых атак злоумышленников.Kaspersky Endpoint Detection and Response: защита рабочих станций.Реагирование на инциденты, в том числе — анализ вредоносных программ и цифровая криминалистика.Анализ защищённости и тестирование на проникновение: проверка надёжности корпоративной системы борьбы с угрозами и компетентности персонала, ответственного за неё.Экспертные тренинги: формирование у специалистов SOC навыков в области реагирования на инциденты, цифровой криминалистики, анализа вредоносных программ. Рисунок 1. Сравнение классического SOC и SOC на основе сервисов «Лаборатории Касперского»  Основные возможности сервисов «Лаборатории Касперского» для корпоративного SOCИспользование сервисов «Лаборатории Касперского» для SOC предоставляет организации следующие возможности и преимущества:Своевременное обнаружение угроз посредством использования машинного обучения и множества аналитических данных, что позволяет быстро и эффективно выявлять и отражать сложные атаки.Использование аналитических данных, предоставляемых в различных форматах и по разным каналам, для понимания контекста проблемы и обеспечения SOC требуемыми актуальными сведениями. Это даст возможность непрерывно адаптироваться к постоянно меняющимся условиям, а также активно обнаруживать и приоритизировать угрозы информационной безопасности.Активный поиск угроз, реализуемый за счёт постоянного мониторинга событий, обнаружения новой и ранее неизвестной активности злоумышленников.Помощь экспертов «Лаборатории Касперского» в анализе вредоносных программ и цифровой криминалистике, благодаря чему можно своевременно получить полную картину инцидента для совершенствования текущих мер защиты.Своевременное реагирование на инциденты, выполняемое компетентными специалистами и позволяющее быстро обнаружить и предотвратить любую вредоносную активность, восстановить системы и бизнес-процессы.Анализ защищённости в реальных условиях, реализуемый за счёт глубоких экспертных знаний вместе с передовыми методами исследования.Тестирование на проникновение, которое показывает существующие сценарии атак на основе собранных данных об угрозах. Это даёт возможность оценить готовность средств защиты к отражению нападений.Экспертные тренинги для специалистов SOC, повышающие их квалификацию в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ. Сотрудники центра мониторинга и оперативного реагирования на инциденты информационной безопасности получат знания и опыт, которые позволят правильно проанализировать большие объёмы данных и выбрать направление для дальнейшего расследования. Описание сервисов «Лаборатории Касперского» для корпоративного SOCKaspersky Threat HuntingСервис Threat Hunting представляет собой круглосуточную службу мониторинга и реагирования на инциденты — Kaspersky Managed Protection. Для конкретной организации формируется команда экспертов, обладающих богатым практическим опытом в области анализа угроз; это позволяет предоставить сервис, подобранный полностью индивидуально и нацеленный на непрерывное обнаружение и исследование проблем информационной безопасности, равно как и на защиту от них. Круглосуточная служба мониторинга своевременно выявляет инциденты, собирает необходимые для классификации данные, определяет степень уникальности атаки, в случае необходимости запускает процесс реагирования на инцидент и обновление баз знаний средств защиты для блокировки угрозы, а также ретроспективно анализирует системную и сетевую активность процессов и приложений с целью расследования инцидентов.Использование сервиса предоставляет следующие преимущества:Качественная и своевременная защита от целевых атак и вредоносных программ посредством взаимодействия с экспертами «Лаборатории Касперского».Обнаружение нестандартных атак (т.н. non-malware attacks, атаки с применением неизвестных ранее инструментов, эксплуатирующие уязвимости нулевого дня).Оперативная защита от обнаруженных угроз посредством мгновенного обновления баз данных.Комплексный анализ инцидентов, в том числе — на основе методов и технологий, используемых злоумышленниками.Комплексный подход к организации полного цикла защиты от целевых атак. Рисунок 2. Защита инфраструктуры организации с помощью круглосуточной службы Kaspersky Managed Protection  Kaspersky Threat IntelligenceСервис Kaspersky Threat Intelligence является источником информации для SOC и состоит из следующих компонентов.Потоки данных об угрозах, предназначенные для того, чтобы дополнять существующие средства защиты и повышать уровень экспертного анализа специалистов SOC, предоставляя актуальные данные об индикаторах угроз (IP- и URL-адреса, домены, контрольные суммы файлов и т.д.).Индивидуализированные аналитические отчёты об угрозах для конкретных компаний или стран, для финансовых организаций, об APT.Сервис Threat Lookup, представляющий собой единую платформу с доступом к накопленным «Лабораторией Касперского» данным о компьютерных угрозах и их взаимосвязях, а также с возможностью поиска в режиме реального времени. Непрерывное аккумулирование информации об индикаторах угроз позволяет специалистам SOC предотвращать атаки злоумышленников ещё до того, как безопасности компании будет нанесён ущерб. Результатом работы сервиса является отчёт, в котором содержатся краткое описание проблем безопасности, технические подробности и список соответствующих индикаторов компрометации.Сервис Cloud Sandbox — облачная песочница, позволяющая мгновенно реагировать на инциденты, определять источники вредоносных файлов и защищать от неизвестных угроз посредством проверки поведения подозрительного объекта на виртуальной машине, изолированной от реальной инфраструктуры организации. В результате сервис подготавливает отчёт с описанием исследуемого файла, техническими подробностями и списком индикаторов компрометации, имеющих отношение к изученному образцу.Сервис CyberTrace, предназначенный для повышения эффективности классификации событий ИБ и первоначального реагирования на инциденты. Он позволяет упростить интеграцию потоков аналитических данных об угрозах с SIEM-системами и источниками журналов, тем самым обеспечивая специалистам SOC своевременную осведомлённость, необходимую для принятия решений.Стоит отметить, что части сервиса Kaspersky Threat Intelligence показывают максимальную эффективность в том случае, если работают вместе и дополняют друг друга. Каждый компонент является источником данных для остальных. Рисунок 3. Главное окно Kaspersky Threat Intelligence   Kaspersky Anti Targeted AttackСервис Kaspersky Anti Targeted Attack — это платформа для обнаружения и противодействия комплексным угрозам на уровне сети. Доступны следующие возможности:визуализация корпоративной инфраструктуры,централизованный и автоматизированный процесс сбора и хранения данных,анализ инцидентов с помощью передовых технологий на базе машинного обучения, что позволяет свести к минимуму количество рутинных задач, связанных с обнаружением угроз,взаимодействие компонентов платформы в режиме реального времени, что даёт возможность сопоставлять данные с вердиктами от компонентов детектирования и ретроспективными материалами,сведение всей информации в единый инцидент для мгновенного реагирования и расследования,автоматизация задач по расследованию инцидентов, что ведёт к оптимизации расходования ресурсов специалистами SOC.Автоматизация отслеживания и реагирования на угрозы в Kaspersky Anti Targeted Attack реализована за счёт единой работы множества компонентов. В их числе — динамический анализ и эмуляция угроз с помощью песочницы; современные технологии обнаружения, включающие антивирусное ядро, использование YARA-правил, анализ сетевых пакетов и мобильных приложений на наличие вредоносной активности, проверку репутации URL-адресов и доменных имён и многое другое; анализатор целевых атак на основе машинного обучения, поведенческого анализа и автоматизированного сопоставления вердиктов (полученных от песочницы и механизмов обнаружения) с ретроспективными данными; репутационная база угроз, позволяющая держать руку на пульсе новых проблем безопасности, что повышает вероятность раннего обнаружения атак. Рисунок 4. Автоматизированное отслеживание угроз в сети и реагирование на них с помощью Kaspersky Anti Targeted Attack  Kaspersky Endpoint Detection and ResponseСервис Kaspersky Endpoint Detection and Response представляет собой платформу, обеспечивающую защиту рабочих мест. Сервис показывает картину событий безопасности в корпоративной инфраструктуре и позволяет автоматизировать выполнение рутинных операций по выявлению, приоритизации, расследованию и нейтрализации сложных угроз. Использование сервиса позволяет решать следующие задачи:формирование целостного подхода к выявлению и расследованию инцидентов, а также реагированию на них,исполнение рекомендаций ФинЦЕРТ, Федерального закона № 187-ФЗ и положений Указа Президента РФ № 31с «О создании ГосСОПКА»,постоянный мониторинг и активный поиск нелегитимной активности и индикаторов компрометации на всех рабочих местах,повышение эффективности реагирования на инциденты за счёт дополнения SIEM или SOC вспомогательными данными с возможностью сопоставления результатов с событиями других систем,быстрое реагирование на инцидент и прекращение его развития, а также устранение последствий атаки на рабочих станциях и восстановление их работоспособности без влияния на работу пользователей.К преимуществам сервиса можно отнести единый агент для защиты и контроля рабочих станций и серверов, централизованный сбор, запись и хранение данных о событиях безопасности (обеспечивает оперативный доступ к ретроспективным материалам при расследовании продолжительных атак), автоматический сбор, анализ и сопоставление данных для автоматизации и оптимизации работы специалистов SOC, единую консоль для реагирования на угрозы, обеспечение комплексной многоуровневой защиты посредством совместной работы с Kaspersky Anti Targeted Attack, а также использование Kaspersky Private Security Network для защиты инфраструктуры с повышенными требованиями к изоляции. Рисунок 5. Комплексная защита рабочих станций на основе сервиса Kaspersky Endpoint Detection and Response, интегрированного с Kaspersky Endpoint Security  Реагирование на инцидентыРеагирование на инциденты информационной безопасности, включающее цифровую криминалистику и анализ вредоносных программ, требует оперативного выделения значительных внутренних ресурсов. Речь идёт о компетентных специалистах, которые готовы оценить масштабы инцидента и быстро принять меры против распространения атаки: чем скорее последует реакция, тем меньше будет негативных последствий. Но реалии таковы, что даже у грамотно организованного SOC не хватает внутренних возможностей (как временных, так и профессиональных) для незамедлительной остановки атаки.В рамках сервиса «Лаборатории Касперского» специалисты компании оказывают услуги или проводят консультации по реагированию на инциденты, что позволяет быстро и компетентно ответить на угрозу. Эксперты проводят следующие действия:выявление скомпрометированных ресурсов, изоляция угрозы и остановка распространения атаки,поиск, сбор и анализ улик, а также восстановление хронологической картины и логики развития инцидента,анализ вредоносных программ, использованных для атаки (в случае их обнаружения),выявление источников атаки и дополнительных скомпрометированных систем, проверка инфраструктуры организации на возможные признаки компрометации,анализ исходящих соединений сети с внешними ресурсами для выявления нелегитимных объектов,устранение угрозы и выдача рекомендаций в отношении дальнейших действий по устранению последствий.Для наиболее эффективного и оперативного отклика на инциденты процесс реагирования должен включать шаги, представленные на рисунке 6. Рисунок 6. Процесс реагирования на инциденты  Анализ вредоносных программ предназначен для понимания их поведения, а также целей, которые преследуют злоумышленники. Эксперты составляют подробный отчёт, содержащий свойства экземпляра программного обеспечения (краткое описание и вердикт по классификации «Лаборатории Касперского»), детальное описание (анализ функций, поведения и целей программы, индикаторы компрометации, предназначенные для нейтрализации угрозы) и сценарий устранения последствий с рекомендациями по защите инфраструктуры организации от угроз данного типа.В ходе проведения цифрового криминалистического анализа эксперты «Лаборатории Касперского» используют для восстановления картины инцидента множество источников: трассировки сети, образы жёстких дисков, дампы памяти и т.д. Как указано на рисунке 6, в начале расследования клиент собирает улики и предоставляет описание инцидента, а эксперты исследуют симптомы последнего, идентифицируют исполняемый файл вредоносной программы (если он есть) и проводят его анализ. Итогом становится содержательный отчёт, включающий меры по ликвидации последствий.Сервис доступен по подписке или для устранения единичного инцидента. Анализ защищённости и тестирование на проникновениеСервис тестирования на проникновение подразумевает, что эксперты «Лаборатории Касперского» проводят анализ уязвимостей объектов инфраструктуры и возможных последствий их эксплуатации, оценивают эффективность текущих мер защиты, а также планируют меры по устранению обнаруженных недостатков и повышению уровня защищённости. В результате организация получает практическую демонстрацию реальных сценариев атаки с выявленными изъянами защиты корпоративной сети, а своевременное обнаружение последних позволяет не допустить финансового, операционного и репутационного ущерба. Сервис также обеспечивает соответствие государственным, отраслевым и корпоративным стандартам, включая GDPR.Виды тестирования на проникновение, проводимого экспертами «Лаборатории Касперского»:внешнее (без априорных данных об инфраструктуре организации);внутреннее (например, имитация действий посетителя, имеющего только физический доступ в офис);с использованием методов социальной инженерии (фишинг, небезопасные ссылки в электронных письмах и т.п.) для оценки уровня осведомлённости сотрудников организации в вопросах информационной безопасности.Стоит отметить, что в рамках сервиса может производиться анализ защищённости беспроводных сетей на территории организации.Сервис анализа защищённости включает три вида проверок, перечисленные далее.Анализ защищённости приложений предназначен для выявления уязвимостей в прикладных программах любого типа (крупные облачные решения, ERP-системы, механизмы дистанционного банковского обслуживания и другие специализированные бизнес-приложения, а также встроенные программы и мобильное ПО). Сервис позволяет избежать потерь различного рода, свести к минимуму издержки на ликвидацию последствий, организовать непрерывность жизненного цикла безопасной разработки программного обеспечения, а также выполнить требования государственных, отраслевых или корпоративных стандартов.Анализ защищённости банкоматов и POS-терминалов обнаруживает недостатки защиты платёжных устройств и позволяет снизить риск их компрометации за счёт заблаговременного выявления уязвимостей. Так же, как и в предыдущем случае, с помощью сервиса можно улучшить механизмы безопасности, избежать различного рода потерь в результате возможной атаки и обеспечить выполнение требований регуляторов.Анализ защищённости телекоммуникационных сетей включает проверку конфигурации инфраструктуры, сетей связи по стандартам GSM, UMTS и LTE, приложений, обеспечивающих пользование сервисами (например, IP-телевидением), средств голосового общения через интернет (VoIP) и телекоммуникационного оборудования. Экспертные тренинги для специалистов SOCНавыки в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ являются обязательными для специалистов SOC. В рамках тренингов эксперты «Лаборатории Касперского» делятся практическими знаниями и опытом в области информационной безопасности, а также уникальными данными об угрозах.Тренинги, формирующие вышеуказанные навыки, продолжаются по 5 дней и делятся на два уровня: базовый и экспертный.Тренинг по реагированию на инциденты и цифровой криминалистике позволит специалистам SOC лучше понять все стадии расследования инцидентов и даст необходимые сведения для успешного самостоятельного устранения последствий. Также он укрепит знания специалистов во всём, что касается поиска следов киберпреступления и анализа различных типов данных с целью установить источник и временные параметры атаки. После прохождения тренинга специалисты SOC самостоятельно смогут своевременно реагировать на инциденты, анализировать улики, восстанавливать хронологию и логику инцидентов, определять источники атаки и дополнительные скомпрометированные системы, а также выяснять причины инцидента для предотвращения подобных нарушений в будущем.Тренинг по анализу вредоносных программ поможет специалистам SOC качественнее проводить расследования атак, анализировать вредоносные объекты, выявлять индикаторы компрометации, писать сигнатуры для обнаружения опасных файлов либо заражённых рабочих станций. После прохождения тренинга специалисты SOC смогут самостоятельно проводить анализ подозрительного образца и его возможностей, определять степень  его вредоносности, выявлять возможности его воздействия на скомпрометированные системы организации, а  также составлять план устранения последствий. ВыводыУгрозы безопасности информационных активов организаций постоянно меняются, и для защиты от них необходимо оперировать максимально возможным объёмом информации, развивать экспертные компетенции специалистов, оперативно реагировать на инциденты и на регулярной основе проводить анализ защищённости инфраструктуры. Современные организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности, чтобы достичь требуемого уровня борьбы с угрозами; но для максимальной эффективности работы SOC необходимо наладить взаимодействие с сервисами или продуктами, которые, с одной стороны, снабдят SOC необходимыми актуальными данными, а с другой стороны, будут помогать принимать решения и расследовать инциденты.Сервисы «Лаборатории Касперского» позволяют повысить уровень безопасности организации, встретить во всеоружии комплексные и целевые угрозы, а также обеспечить такое взаимодействие с SOC, при котором специалисты центра будут полностью освобождены от рутинных операций, а организация получит мощный инструмент для своевременного обнаружения угроз и реагирования на инциденты. Также с помощью этих сервисов можно получать экспертную помощь «Лаборатории Касперского» в исследовании вредоносных программ и в цифровой криминалистике, а также в анализе защищённости, тестировании на проникновение и многом другом. Читать далее
    • AM_Bot
      Недавно специалисты компании Positive Technologies представили новую версию системы MaxPatrol SIEM 5.1, предназначенной для выявления киберинцидентов. Команда разработчиков и продуктового маркетинга рассказала Anti-Malware.ru о новых возможностях продукта и продемонстрировала их.     ВведениеУскоряем работу на 30%Ищем атаки в прошлом с помощью правил корреляцииУправляем ролями пользователейОбъединяем похожие события в один инцидентЗашел, увидел, загрузил: как установить пакеты экспертизы в два «клика»Анализируем «сырые» событияНазывайте как хотите: кастомизация полей в виджетахВыводы ВведениеВ марте Positive Technologies выпустила новую версию системы для выявления инцидентов MaxPatrol SIEM. В MaxPatrol SIEM 5.1 теперь есть возможность уменьшить время реагирования на похожие инциденты, гибко управлять ролями пользователей, проводить ретроспективный анализ по правилам корреляции, анализировать «сырые» события и устанавливать пакеты экспертизы в два щелчка мышью. При этом скорость обработки данных на одной инсталляции выросла благодаря переходу на новую версию поисковой системы. Ускоряем работу на 30%MaxPatrol SIEM «переехал» на версию 7.4 ядра Elasticsearch. Внутреннее тестирование показало, что обновление увеличило скорость работы продукта на треть. Версия 5.0 обрабатывала до 30 тысяч событий в секунду (EPS, events per second) на одной инсталляции; теперь в таких же условиях EPS достигает 40 тысяч. Это важно для компаний с большой инфраструктурой, требующей высокой скорости. Ищем атаки в прошлом с помощью правил корреляцииПредставьте, что в новостях появилась информация об атаке на компании вашей отрасли. Вы хотите проверить, не взломана ли ваша инфраструктура по той же схеме. В этом случае поможет ретроспективный анализ — проверка сохранённых событий ИБ на наличие в них данных об угрозах, о которых стало известно только сейчас.Пользователи MaxPatrol SIEM 5.1 могут делать это двумя способами: по индикаторам компрометации и по правилам детектирования угроз (правилам корреляции). Соответственно, после установки последних можно ещё раз «проиграть» поток поступивших ранее событий и применить к ним новые правила. Это особенно полезно для тех, кто пишет собственные правила и использует пакеты экспертизы (то есть наборы способов обнаружения атак и рекомендаций по реагированию, разработанные Positive Technologies).Чтобы ретроспективный анализ заработал, нужно:создать профиль для задачи ретроспективного анализа,указать в нём период, за который нужно проверить данные, и параметры выполнения задачи (продолжительность и скорость выполнения, ограничение по количеству срабатываний правил),создать и запустить задачу на ретроспективную корреляцию событий для созданного профиля.Если вы ничего не поняли, или поняли, но не всё, то посмотрите видеоролик — в нём всё понятно и наглядно показано (и озвучка приятная): Управляем ролями пользователейРанее в системе можно было задать две роли — администратора или оператора. Теперь SIEM-администраторы смогут создавать другие новые роли и разрешать им доступ к определённым разделам продукта. Смотрите, как это можно сделать за три минуты:Гибкое управление ролями пользователей особенно полезно для компаний с иерархической или географически распределённой инфраструктурой, когда нужно дать пользователям возможность работать только с теми данными, которые относятся к их области мониторинга. Именно такие компании настойчиво просили об этой «фиче».В следующую версию мы добавим возможность ограничить доступ не только к разделам, но и к группам активов и событий. Иначе говоря, можно будет выбрать определённый набор активов, с которыми могут работать пользователи с одной ролью, и отказать им в доступе ко всем остальным активам. Сейчас такое возможно реализовать, если задать права каждому пользователю по отдельности. Объединяем похожие события в один инцидентЧтобы избавить пользователей от потока одинаковых инцидентов и помочь им снизить трудозатраты на реагирование на похожие подозрительные события, мы добавили в MaxPatrol SIEM возможность настраивать их агрегацию в один инцидент.Для этого в конструкторе правил корреляции пользователю нужно выбрать правило и задать параметры «склеивания»: к какому инциденту добавить события (уже закрытому или новому), как считать уровень опасности инцидента, за какой временной интервал агрегировать события и с какого момента его отсчитывать. К примеру, несколько последовательных неудачных попыток аутентификации можно задать как один инцидент. Это мы и сделали в видео: Зашёл, увидел, загрузил: как установить пакеты экспертизы в два «клика»Использование пакетов экспертизы стало значительно более удобным. Теперь в базе знаний появился раздел «Пакеты экспертизы», в котором наборы правил обнаружения угроз, разработанные экспертами Positive Technologies, сгруппированы в тематические папки. Вместе с правилами в папках вы найдёте белые списки, обновления параметров сбора и обработки событий ИБ, рекомендации по реагированию. Здесь же хранятся базовые правила обнаружения угроз, доступные «из коробки».У каждого пакета экспертизы есть подробное описание: какие правила есть в его составе, как настроить источники событий, как правильно реагировать на инцидент. Описание доступно прямо из интерфейса. Если описание пакета экспертизы устраивает пользователя и он хочет установить правила на свою инсталляцию, то теперь он может это сделать в два «клика».Посмотрите, как выглядят пакеты экспертизы в MaxPatrol SIEM 5.1:На апрель 2020 года пользователям MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат более 370 правил обнаружения атак. Новые пакеты мы загружаем ежемесячно. Анализируем «сырые» событияДля анализа и обработки событий ИБ из разных систем нужно привести эти события к единому формату. Для этого в SIEM используются парсеры, которые обрабатывают события с помощью формул нормализации. Производители систем, подключённых к SIEM, регулярно обновляют свои продукты и могут изменить формат данных или добавить новые типы событий.Чтобы получать все необходимые данные в MaxPatrol SIEM и быть уверенными в том, что формулы нормализации работают корректно, пользователи теперь могут работать с «сырыми» событиями. Исходное событие можно скопировать в один «клик» и добавить его в инструмент создания правил (Software Development Kit, SDK) для написания формулы нормализации.Если хотите наглядности, то смотрите видео с демонстрацией того, как выглядят «сырые» события в MaxPatrol SIEM, как создать виджет для контроля их поступления и как работает полнотекстовый поиск по событиям:Если вы предпочитаете текст, то читайте дальше. Здесь тоже коротко и весьма наглядно.Чтобы оперативно следить за тем, попадают ли в MaxPatrol SIEM события, которые не проходят нормализацию, можно настроить виджет на панели мониторинга (дашборде) и автоматическую отправку уведомлений на почту. Рисунок 1. Как следить с помощью виджета, поступают ли в систему события без нормализации  Содержимое всех событий — и нормализованных, и сырых — пользователи MaxPatrol SIEM могут найти по полнотекстовому поиску. Для этого в строку поиска достаточно ввести любой из признаков события. Такая функциональность полезна в случаях, когда есть время на глубокий анализ подозрительных действий. Например, можно отфильтровать события по IP-адресу или имени пользователя и увидеть всю их активность. Называйте как хотите: индивидуализация полей в виджетахС новой версией пользователи могут присвоить собственные названия полям событий и активов в выборках данных. Это поможет упростить понимание виджетов и отчётов, в которых такие поля используются. Покажем это на примере. Ниже приводим виджет без кастомизации названия полей (приходится догадываться, о чём он, не так ли?). Рисунок 2. Виджет без индивидуализации названия полей  А вот тот же самый виджет после обновления MaxPatrol SIEM до версии 5.1 и после изменения названий полей. Рисунок 3. Виджет после обновления MaxPatrol SIEM до версии 5.1  О том, как это получилось, мы рассказали в двухминутном видео: ВыводыМы перечислили новые возможности продукта MaxPatrol SIEM 5.1, а также продемонстрировали его преимущества. Если вы хотите протестировать нововведения, заполните короткую форму на сайте и выберите источники событий ИБ для подключения к MaxPatrol SIEM.Если вы уже пользуетесь MaxPatrol SIEM, то для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies. Читать далее
×