KUMA 2.1 позволит сократить затраты на оборудование почти в 4 раза

KUMA 2.1 позволит сократить затраты на оборудование почти в 4 раза

KUMA 2.1 позволит сократить затраты на оборудование почти в 4 раза

«Лаборатория Касперского» представила обновлённую версию системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA).

В KUMA 2.1 внедрён новый подход к хранению данных о событиях безопасности, осуществлена поддержка 1С, повышена отказоустойчивость ядра системы и расширены возможности по обнаружению и реагированию на угрозы. Изменения также коснулись автообновления контента и интеграции с системой ГосСОПКА.

Сокращение стоимости владения и затрат на оборудование. В KUMA 2.1 обеспечивается поддержка двух областей хранения: оперативное хранилище данных о событиях безопасности работает на ClickHouse, а архивное хранилище может быть реализовано на Hadoop. Такой подход реализуется во многих SIEM-системах, но в версии KUMA 2.1 специалисты могут создавать поисковые запросы в едином интерфейсе, не переключаясь между двумя областями данных.

Это позволяет полностью сосредоточиться на расследовании инцидента и сохранить высокую скорость работы. При этом новая область хранения не потребует дорогостоящих серверов и может быть развёрнута на бюджетном оборудовании: это даст возможность владельцам бизнеса уменьшить совокупную стоимость владения (ТСО) почти в два раза и сократить затраты на оборудование почти в 4 раза.

Система автообновления контента. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры. В версии 2.1 появилась возможность автоматически добавлять пакеты обновлений, необходимые для расследования инцидентов, и новые версии уже существующего контента. Это касается как правил корреляции, так и коннекторов к источникам логов. При этом скачивание новых версий коннекторов и правил корреляции может быть реализовано без прямого доступа к интернету, что гарантирует конфиденциальность обрабатываемых системой данных.

Встроенный чат и автоматизация работы с НКЦКИ. В KUMA 2.1 расширена автоматизированная поддержка сценариев с модулем ГосСОПКА. Теперь в личном кабинете пользователи могут передавать данные регулятору и получать обратную связь от представителей НКЦКИ непосредственно в чате в KUMA, а также обновлять данные об инциденте, полученные в процессе расследования. При этом благодаря интеграции с платформой Kaspersky CyberTrace, которая обрабатывает отчёты «Национального координационного центра по компьютерным инцидентам», исследователь может извлекать индикаторы компрометации и применять их для детектирования событий в SIEM. Это позволяет автоматизировать часть задач по работе с НКЦКИ.

Автореагирование и интеграция с обучающей платформой для сотрудников. Более80% инцидентов в компаниях возникают из-за низкой осведомлённости сотрудников в области IT-безопасности. Чтобы минимизировать подобные риски, в KUMA 2.1 добавлены продвинутые инструменты для реагирования, контекстного анализа и сдерживания. За счёт интегрированной обучающей платформы Kaspersky Automated Security Awareness Platform (KASAP) и каталога Active Directory, который хранит сведения о действиях пользователей, специалисты могут управлять группой учётных записей в домене и пользоваться системой обучения непосредственно в интерфейсе SIEM. Например, блокировать аккаунты пользователей, совершающих подозрительные действия, инициировать смену пароля, управлять членством учётной записи пользователя в группах AD, просматривать информацию о курсах сотрудников или записывать их на новые тренинги.

«SIEM – центральный элемент большинства зрелых систем информационной безопасности, поэтому она должна отвечать всем актуальным требованиям рынка и учитывать меняющийся ландшафт киберугроз. KUMA 2.1 расширяет возможности аналитиков, позволяет бизнесу оптимизировать бюджет на информационную безопасность, обеспечивая защиту на высоком уровне», — отмечает Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг

За полтора года эксперты Zimperium обнаружили более 770 поддельных Android-программ, использующих NFC и HCE (Host Card Emulation, возможность эмуляции карт на телефоне) для кражи платежных данных и проведения мошеннических транзакций.

Особенно много таких находок, обычно выдаваемых за приложения банков России, Белоруссии, Бразилии, Польши, Чехии, Словакии, объявилось минувшим летом.

Для маскировки злоумышленники суммарно используют имена двух десятков организаций и сервисов, в основном российских. Список включает Банк России, Т-Банк, ВТБ, Госуслуги, Росфинмониторинг и Google Pay.

 

Исследователи также выявили более 180 командных серверов и источников распространения вредоносных фальшивок. Для координации NFC-атак и эксфильтрации краденых данных инициаторы используют десятки приватных каналов и ботов Telegram.

Применяемые ими зловреды действуют по-разному. Одни (SuperCard X, PhantomCard) работают как сканеры, считывая данные с банковской карты, а принимает их другое Android-устройство, под контролем злоумышленников и с приложением, эмулирующим карту жертвы, что позволяет расплачиваться в магазинах ее деньгами или снимать их со счета.

Создатели новейшей вредоносной модификации NFCGate пошли дальше: их детище умеет эмулировать карты дропов, помогающих авторам атак выводить деньги с чужих счетов. В итоге жертва, думая, что вносит деньги через банкомат на свой счет, отправляет их в карман мошенников. 

Менее сложные вредоносы собирают данные карт и выводят их в заданный телеграм-канал. Оператор при этом автоматически, в реальном времени получает сообщения и постит содержимое в закрытом чате.

Подобные инструменты атаки требуют минимального взаимодействия с пользователем. Ему обычно в полноэкранном режиме отображается простейшая фейковая страница банка (иногда через WebView) с предложением назначить приложение дефолтным средством NFC-платежей. Вся обработка соответствующих событий при этом выполняется в фоне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru