MaxPatrol SIEM за первый год жизни занял 10% российского рынка

MaxPatrol SIEM за первый год жизни занял 10% российского рынка

На прошедшем форуме PHDays компания Positive Technologies подвела итоги первого года существования продукта MaxPatrol SIEM. Сегодня на долю MaxPatrol SIEM приходится более 10% российского рынка, объем продаж по итогам года составил около 180 млн руб., в 2016 году компания планирует увеличить его до 400 млн, а в следующем году вывести продукт на европейский рынок.

Создание продукта такого уровня потребовало от специалистов Positive Technologies отказаться от концепции каскадной разработки и перейти к более гибким практикам, что позволило повысить скорость и эффективность выпуска обновлений продукта — соответствуя требованиям рынка, а в ряде случаев и опережая их. «Продукт такого уровня потребовал трансформации процесса разработки. Для нас это был не только внешний, но и внутренний вызов. Если раньше все наши продукты создавались группой энтузиастов, которые были частично хакерами, частично разработчиками, то столкнувшись с продуктом уровня SIEM, мы поняли, что разработку надо выделять в отдельное направление. Сегодня MaxPatrol SIEM создают 80 разработчиков и инженеров по качеству. Мы перешли на организацию микрокоманд по модели Two Pizza Team, доказавшей свою эффективность в компаниях мирового уровня. Такие команды легко взаимодействуют между собой, быстро принимают решения и реализуют изменения, кардинально улучшая продукт от пользовательского интерфейса до бэкенд-логики», — комментирует Алексей Андреев, директор по разработке MaxPatrol SIEM.

«Продукт быстро прогрессирует, — отмечает Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Мы научились качественно проводить пилотные проекты, наладили процесс поддержки любых источников заказчика (этого нет ни у кого), сформировали систему разработки мирового уровня и понятные планы развития продукта. Обучили 113 специалистов компаний-партнеров. Наша цель — в 2017 году сравняться с лидерами российского рынка классических SIEM-систем. Мы прогнозируем рост российского рынка в этом сегменте с 2,2 млрд руб. в 2016 году до 3,2 млрд в 2018-м, и ставим перед собой задачу занять на этом рынке лидирующую позицию».

Подход компании Positive Technologies подразумевает создание платформы, ключевым элементом которой является MaxPatrol SIEM. Построенная на активоцентрическом подходе, данная платформа должна быть легко управляема, адаптируема к динамично изменяющейся инфраструктуре организации и решать ее реальные задачи. В соответствии с уникальным видением развития индустрии SIEM и новой эры решений класса Threat Intelligence сформированы планы развития продукта на ближайшие три года, включающие четыре ключевых релиза ежегодно. Так, к третьему кварталу 2016 года выйдет релиз, в котором появится облачный механизм обновления данных об уязвимостях, а к осени запланировано внедрение механизма автокорреляций на основе моделирования векторов атак. Быстрый выпуск обновлений позволяет оперативно вносить исправления и доработки по результатам пилотных внедрений.

На сегодняшний день завершено 26 и находятся в работе еще 25 «пилотов» MaxPatrol SIEM, реализовано 15 коммерческих проектов. MaxPatrol SIEM используют российские Министерство обороны и Министерство транспорта, энергетическая компания «Россети», Департамент информационных технологий Москвы, Комитет по информатизации и связи Санкт-Петербурга.

За прошедший год решение было успешно протестировано ведущими отечественными интеграторами. Тимур Ниязов, руководитель направления SOC и защиты баз данных компании «Инфосистемы Джет», отмечает: «За этот год команда Positive Technologies проделала огромную работу. У нас есть четкое ощущение, что в ближайшее время MaxPatrol SIEM догонит своих конкурентов».

 

«В области SIEM ключевую роль играет уровень экспертизы, — добавляет Олег Шабуров, директор департамента информационной безопасности «Софтлайн». — Разработчики MaxPatrol SIEM делают ставку на "экспертизу из коробки", и это очень важно, так как не все заказчики могут уделять много времени тонкой настройке SIEM-системы, да и не у всех хватит компетенции: для этого требуются весьма специфические знания из областей, с которыми далеко не все сталкиваются.  Подобный подход позволит в разы повысить эффективность ИБ-службы. Это настоящий переворот».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы AV Killer используют драйвер Avast для отключения защитного софта

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

 

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru