Мы рады поделиться впечатлениями и материалами конференции VB-Trend 2019: Plan > B, которая прошла в Москве 13 ноября 2019 года!

Неслучайный выбор названия: Plan > B

Заявленная тема была лаконична, как выстрел! Plan > B обязывал нас раскрыть карты по теме, которая волновала сотни компаний в России, ранее использовавших Splunk. План предполагал поиск и реализацию инициативы по замене этой платформы анализа машинных данных, которая более не продается на территории нашей страны.

Реализовать задачу по замене Splunk наша компания решила через свой программный комплекс Smart Monitor, создав его версию на продуктах с открытым кодом. В качестве базиса новой версии продукта мы выбрали свободно распространяемую версию платформы Elastic Stack, которую ещё принято называть ELK. Так что совсем кратким содержанием конференции может служить вот этот ролик:

Кому этого ролика всё же окажется мало, ниже может найти подробную информацию в хронологическом порядке!

Smart Monitor. Plan B

Александр Скакунов, Иван Силкин | VolgaBlob

Вводная часть по традиции велась Генеральным директором VolgaBlob Александром Скакуновым. Проблематика конференции коррелирует со степенью проникновения знаний по Splunk и Elastic Stack среди участников VB-Trend. Да и, в целом, хорошо характеризует положение этих двух платформ на российском рынке.

Александр рассказал о шестилетней эволюции продукта Smart Monitor и о резком изменении траектории разработки после ухода Splunk из России.

В обзорном сравнении ключевым слайдом был анализ сильных и слабых стороны Splunk и Elastic Stack, а также качественная оценка доработок, которые реализованы в Smart Monitor Open Source.

Кроме текущего состояния развития решения, Александр упомянул о планах по сертификации продукта, включении его в реестр отечественного ПО и ценовой политике.

Стоимость Smart Monitor зависит от набора и числа модулей, но не привязана к объему индексируемых данных!

Последующие доклады VB-Trend строились по принципу постепенного раскрытия тезисов первого выступления: описание кейсов применения Smart Monitor, его функциональности и результатов нагрузочного тестирования платформ.

Возможности применения мониторинга бизнес-процессов для целей различных бизнес-функций

Дмитрий Мананников | Security and Risk Management Director в OBI

Дмитрий пришёл заранее, но обстоятельства вынудили его срочно уехать, за что он просил передать свои извинения нашим гостям. Хотя у нас был Plan > B и на этот случай. Эстафету перехватил Антон Смирнов, коллега Дмитрия и Генеральный директор нашего бизнес-партнёра компании 3N Intelligence. Ребята используют Smart Monitor для анализа и обеспечения безопасности бизнес-процессов, так что тема доклада была близка Антону. Он выступает методологом и руководителем проектов для предприятий промышленности, логистических компаний и других Enterprise заказчиков.

Антон пояснил принципиальную разницу между классическим BI и мониторингом процессов, в рамках которого создаются цифровые двойники бизнес-процессов. Такие цифровые реплики способны в высокой степени отображать все события процесса в виде последовательности информационных артефактов, отслеживаемых в режиме реального времени.

Назывались достигнутые на практике показатели проектов. Например, 90% достоверности получаемых цифровых отпечатков бизнес-процессов.

В основе подхода по мониторингу процессов лежит модель выявления отклонений (девиантного поведения) в последовательности событий. Это достигается за счет автоматизированного создания динамической контрольной среды, что позволяет выявлять любые отклонения от заданной логики, влекущие за собой изменение качества этого процесса или потребляемых им ресурсов.

Коллеги ввели новый научный термин: иммунитет процесса, декомпозируемый на здоровье (показатель соответствия единицы процесса условному эталонному процессу или статистическим среднему значению совокупности процессов) и достоверность процесса (как показатель легитимности процесса (или события внутри процесса), вычисляемый через сличение предшествующих ему событий или процессов).

По словам Антона, он завис только на одном слайде, который не смог прокомментировать. А слайд красивый, приводим его, может дождёмся комментария Дмитрия после выхода этого отчёта 🙂

В целом же, Антон отлично справился с докладом и донес основной посыл презентации!

Ещё одним интересным выводом стало то, что, по наблюдению исследователей, соотношение потерь от инцидентов в корпоративной среде таково, что 80% инцидентов находится внутри бизнес-процессов, и только 20% составляют видимую часть инцидентов безопасности, которую ловит классически BI (и то, не всегда).

Реализуемый подход даёт следующие бизнес-бенефиты:

• ОШИБКИ БИЗНЕС-АРХИТЕКТУРЫ. Фактически, статистика, собираемая таким способом, начнет показывать «бутылочные горлышки» в рамках существующих бизнес-процессов. И явится триггером для их реинжиниринга.
• КАЧЕСТВО ПРОЦЕССА\ПРОДУКТА. Инцидент (их совокупность) становится параметром для оценки качества процессов продуктов, которое можно учитывать при дизайне (помните — security by design?).
• ПЕРФОМИНГ ПРОЦЕССОВ. Инцидент становится исчисляемым количественным параметром, воздействуя на который, мы получаем влияние на основной бизнес-показатель самого процесса.
• БЕНЧМАРКИНГ. Инциденты становятся одним из бенчмарков для внутренней оценки одинаковых процессов, проходящих на разных площадках.

В целом, приводимая на докладе методология может быть взята на вооружение сразу несколькими бизнес-подразделениями компании: блоком операционного управления, отделами экономической безопасности и внутреннего контроля.

Smart Code – решение для комплексного мониторинга средств защиты Кода Безопасности

Олег Гомазков, Сергей Коваленко, Александр Мастеров | VolgaBlob

Следующий доклад представлял собой громкий анонс нового решения Smart Code, предназначенного для комплексного мониторинга средств защиты информации производства Код Безопасности.

Smart Code — приложение, состоящее из набора модулей Smart Monitor, и направленное на решение сдедующих задач:

• Централизованный мониторинг СЗИ Кода Безопасности.
• Выявление инцидентов информационной безопасности на основании корреляционных правил.
• Сквозная аналитика в режиме реального времени.
• Минимизация временных и человеческих ресурсов на диагностику и устранение инцидентов.
• Снижение операционных затрат за счет автоматизации процессов обработки и управления событиями ИБ от различных источников.

В качестве источников Smart Code принимает расширенный состав событий со всех ключевых продуктов портфеля Код Безопасности:

• Secret Net Studio
• Secret Net LSP
• vGate
• АПКШ «Континент»
• СКЗИ «Континент АП»
• СОВ «Континент»
• Континент WAF
• Континент TLS

Архитектура решения показана на следующей картинке, где перечислены входящие в состав Smart Code модули Smart Monitor.

В рамках многолетнего сотрудничества с Кодом Безопасности у компании VolgaBlob уже сформировались готовые коннекторы к СЗИ, облегчающие перенос опыта интеграции Smart Monitor со Splunk на Open Source. Наработанные за 6 лет сценарии выявления инцидентов информационной безопасности позволяют нам аккумулировать опыт клиентских проектов в новое решение и сделать его действительно полезным нашим клиентам.

В рамках проведенной демонстрации мы показали возможности Smart Code на действующем стенде, собранном из средств защиты последних версий.

Путь от SIEM к решению Big Data, полезному бизнесу. Опыт компании СУЭК

Дмитрий Мордвинкин | Начальник отдела информационной безопасности АО СУЭК

Ещё один бизнес-доклад был от компании СУЭК. И тут тоже не обошлось без изменений. Вместо выбывшего по техническим причинам Дмитрия Мордвинкина выступал Начальник отдела информационной безопасности Сибирской Генерирующей Компании Олег Масляков. Компании СУЭК и СГК находятся в процессе слияния ИБ-инфраструктур, а профессиональные команды уже функционируют как единое целое.

Отдельную благодарность хочется выразить Олегу и Дмитрию — нашим коллегам за оперативность замены спикера и проработку доклада по эволюции подхода мониторинга машинных данных — от SIEM к решению бизнес-кейсов.

У СЭУК просто хрестоматийная история успеха внедрения SIEM-системы, которая не ограничивается анализом данных от средств защиты, а переходит на уровень полезного для ИТ и бизнеса Data Lake.

Олег рассказал о критериях выбора SIEM, типовых для ТЭК проблемах в подключении и утилизации данных от информационных источниках, о «бутылочных горлышках» проекта и методах их преодоления. Попутно, за год внедрения Smart Monitor были решены задачи для смежных подразделений, ряд из которых вошли в доклад.

Упор в выступлении делался на методологию работы с данными и на критериях успеха подобных интеграционных проектов.

Существенный прирост эффективности комплексной системы мониторинга коллеги из СУЭК ощутили после подключения таких ключевых источников, как системы диспетчеризации, АСУ, ERP, модуля кадрового учета и контрактации.

Еще одним фактором успеха проекта послужило вовлечение проектной команды со стороны СУЭК и реализация большого пласта задач собственными силами. Во многом это стало возможным за счёт гибкости платформы, которая предоставила команде разработки гибкий конструктор визуальных отчетов и написания запросов для выявления инцидентов информационной и экономической безопасности.

Новый взгляд на автоматизацию оценки соответствия. Первое российское применение стандарта OSCAL

Тимофей Мельников, Александр Скакунов | VolgaBlob

В этом докладе мы презентовали новый для российского рынка стандарт OSCAL, позволяющий автоматизировать оценку соответствия систем безопасности нормативным требованиям. Прототип решения мы собрали на Splunk. Вообще, мы продолжаем проверять гипотезы именно на этой платформе, получая быстрый результат и перенося его в дальнейшем на ELK.

Основной целью применения этого стандарта является быстрая, удобная и унифицированная трансформация документальных требований по информационной безопасности в понятные для машин метрики/индикаторы соответствия этим требованиям компонент инфраструктуры.

С помощью OSCAL мы научили Smart Monitor представлять стандарты информационной безопасности в машиночитаемом виде.

Примерно в таком:

 "catalog": {
    "id": "uuid-47fdefdb-dc1a-4040-9f27-b517a16b06d2",
    "metadata": {
      "title": "NIST Special Publication 800-53…",
      "last-modified": "2019-09-23T14:19:17.649-04:00",
      "version": "2015-01-22",
      "oscal-version": "1.0.0-milestone1",
      "properties": {
        "keywords": "Assurance, computer security, FISMA…"
      },
      "links": [
        {
          "href": "#resource-pdf-sp-800-53r4",
          "rel": "alternate",
          "text": "NIST publication (PDF)"
        },
	…
      ],
      "roles": [
        {
          "id": "creator",
          "title": "Document creator"
        },
	…
]

Архитектура любого стандарта ИБ с применением OSCAL аккуратно раскладывается по полочкам ресурсно-сервисной модели Smart Monitor.

Это позволяет на дереве индикаторов одним взглядом охватить текущее состояние объекта мониторинга на предмет соответствия тому или иному стандарту. Будь то требования по защите персональных данных, PCI DSS, стандарт ЦБ по безопасности финансовых (банковских) операций (ГОСТ Р 57580.1-2017) или любой другой стандарт.

Визуально на ресурсно-сервисной модели стандарт отображается так:

В качестве демонстрации мы показали работающие контроли для ГОСТ Р 57580.1-2017, а в ходе общения получили запрос на формализацию стандартов серии ISO 2700x.

Мониторинг сред контейнеризации на примере Kubernetes и Docker

Иван Силкин, Илья Мельников | VolgaBlob

После обеда первым шёл доклад про мониторинг инфраструктуры контейнеризации. Данные для демонстрации собирались из рабочей инсталляции Kubernetes и Docker с запущенными прикладными приложениями, базами данных и сервисами.

В качестве кейса применения Smart Monitor было продемонстрировано полнофункциональное приложение, реализующее полный цикл управления данными с инфраструктуры контейнеризации: сбор с помощью агентов, обработка, анализ, корреляция, выявление и обработка инцидентов и множество визуальных витрин для ИТ-администраторов и безопасников.

Больше контейнеры не будут представляться вам чёрным ящиком. Ящик стал прозрачным!

Результат наших разработок мы представили в виде таблицы, где возможности Smart Monitor сравниваются с Prometheus и решением под Splunk Outcold Solutions. Outcold уже известен участникам VB-Trend по выступлению создателя этого приложения на нашей прошлогодней конференции.

Новый аналитический движок Smart Monitor Engine или Splunk возвращается

Алексей Орехов, Александр Басов, Максим Кириенко | VolgaBlob

Самое вкусное мы приберегли на конец. Давайте вместо картинки из презентации тут посмотрим на одно фото. На нём человек, очень похожий на Алексея Орехова, имеет вид довольного архитектора, гордящегося полученным результатом! Это от лица всей нашей команды эмоции, смесь усталости и довольства продуктом, его перспективами.

Уже после конференции один из дружественных нам экспертов охарактеризовал данный модуль как Splunk-like обёртку над ELK. Тепло, хотя это только часть правды.

Случилось то, что должно было случиться. На базе продуктов с открытым кодом мы повторили логику поисковых запросов Splunk, которые так полюбились российскому рынку за последние годы!

В Smart Monitor Engine (SME) мы вылечили достаточно много болячек, свойственных Elastic Stack, и реализовали дополнительные аналитические команды, которые позволяют повторять «магию Splunk без Splunk».

Чуть подробнее о реализованных функциях Smart Monitor Engine:

• Поддерживает pipes в командах.
• Обеспечивает обратную совместимость с командами Splunk.
• Совместная обработка данных кроме Elasticsearch возможна во внешних источниках (web сервис, СУБД, файл, физический сенсор и пр.).
• Результаты поиска на проиндексированных данных Elastic при использовании SME абсолютно релевантны, в них нет аппроксимаций и гипотез; данным можно доверять и использовать их для выявления инцидентов.
• Используется In Memory Store для ускорения обработки данных и хранения промежуточных результатов.
• Применяется неблокирующая мультипоточная схема обработки запросов. Запускайте столько запросов, сколько нужно!
• Реализован режим поиска Smart Search, и собственные алгоритмы оптимизации запросов.
• Доступен полнотекстовый поиск по всем полям.
• Динамическая подгрузка результатов и статистики по поисковым запросам. Не надо ждать! Первые результаты практически доступны сразу!
• Механизм Field Alias, позволяющий победить статичность структуры проиндексированных данных в Elastic за счет маппинга и приведения к общему результату.

В качестве иллюстрации приведём запрос на Smart Monitor Engine.

Тем, кто думал, что такое можно только на Splunk, просьба отойти от экрана!

source 'radius_logs' qsize=10000
| search user!='0'
| fields - raw_event
| eval user = upper(substr(user, 8, -1))
| eval cert = upper(cert)
| eval date = strptime(@timestamp, "y-M-d'T'H:m:s.SSSZ")
| eval date = strftime(date, "HH:mm:ss dd.MM.yyyy")
| eval type = type + ":" + event
| eval coordinate_x_start = tonumber(substr(src_ip, 1, 2), 16)
| eval coordinate_y_start = tonumber(substr(src_ip, 3, 4), 16)
| eval coordinate_x_end = tonumber(substr(assigned_ip, 1, 2), 16)
| eval coordinate_y_end = tonumber(substr(assigned_ip, 3, 4), 16)
| eval lon = coordinate_x_end * 3.141592 / 180 
| eval lat = coordinate_y_end * 3.141592 / 180 
| eval prev_lon = coordinate_x_start * 3.141592 / 180 
| eval prev_lat = coordinate_y_start * 3.141592 / 180 

Перефразируя фразу, с которой поставлялась лицензия Splunk:

Happy Smart Monitoring!

Автоматизация SOC: управление инцидентами. Новые возможности Smart Monitor

Юрий Чернигин, Олег Гомазков | VolgaBlob

В составе Smart Monitor одним из ключевых модулей является Менеджер Инцидентов. Компания работает над ним не первый год, активно слушает клиентов и постоянно дорабатывает этот компонент. В этом году мы показывали сразу две версии: на Splunk, и на ELK. На Splunk у нас в настоящий момент реализовано больше функций, так что демонстрацию в текущем докладе Юрий проводил на этой версии.

Ключевые функции нового релиза:

• Интеграция с модулем профилирования действий сотрудников. Задействованные в расследовании персонажи теперь не просто фиксируются в карточке инцидента, но и имеют «личные кабинеты», в которых отображается индивидуальный профиль, основанный на нескольких доменах. Для внутренних сотрудников такими доменами являются: информационная и экономическая безопасность, трудовая дисциплина, вовлеченность в бизнес-процессы компании. Механизм скорринга вычисляет сквозной индекс корпоративного соответствия по всем доменам как для каждого сотрудника индивидуально, так и в рамках групповых профилей.
• Автоматизация линий обработки инцидентов SOC. Доработан механизм управления инцидентами и распределения их по трём линиям технической поддержки SOC. У каждой линии задаются индивидуальные показатели SLA, которые в дальнейшем анализируются. Производится оценка эффективности обработки инцидентов по различным критериям и на разных уровнях детализации. Это позволяет оценить эффективность текущей команды SOC, выявить узкие места и сбалансировать нагрузку таким образом, чтобы получить максимальную пользу и производительность от каждой линии поддержки.
• Доработан Workflow по управлению инцидентами. Реализован механизм автоматического заведения инцидента из письма; усовершенствована система нотификации участников расследования; реализованы сценарии реагирования на инциденты, позволяющие существенно снизить нагрузку при обработке типовых инцидентов.
• И ещё, Юрий очень настаивал, чтобы приложили в этот отчёт снимок экрана с почтовыми оповещениями! Они информативные, функциональные, приятные на ощупь и «их хочется укусить«! И да, они доступны в Dark Mode уже сегодня!

Демонстрация результатов нагрузочного тестирования Smart Monitor: Splunk vs Elastic Search

Илья Шаманов, Алексей Орехов, Александр Басов | VolgaBlob

Илья, как бывалый архитектор, который много лет внедрял и продолжает внедрять Splunk, очень переживал по поводу этого доклада. Дело в том, что:

Но есть и ложка меда в этой бочке дёгтя! И не одна!

Краткие выводы по нагрузочному тестированию можно сформулировать так:

• ELK медленнее, чем Splunk индексирует данные. Разница может составлять от 250% до 800%, в зависимости от настроек обеих платформ.
• ELK можно прилично форсировать по отношению к версии «из коробки». Время индексирования удаётся сократить в 5 раз, увеличить пропускную способность на 440%, и снизить занимаемый объем хранимых логов на 50%.
• При поиске ELK гораздо хуже чувствует себя на выдаче больших объемов данных, но обгоняет Splunk на поисках типа «иголка в стоге сена».

Часть узких мест платформы ELK удалось улучшить за счет применения нашего модуля Smart Monitor Engine. В итоге, качественная оценка производительности выглядит так.

Надо признаться, что данные результаты предсказуемы, и, во многом, упираются в технологические особенности платформ. Понимая это, в архитектуре Smart Monitor мы закладываем возможность работы с различными источниками, не только с Elasticsearch.

Уже после конференции мы продолжили исследования и испытания. Результаты этих испытаний будут являться предметом отдельных публикаций. Но от спойлера не удержимся и тут!

Мы почти готовы привести цифры, которые кардинально изменят результаты части тестов, но возьмем небольшую паузу на дополнительные проверки.

Неформальная часть

Участники, которые геройски выдержали такую насыщенную программу, смогли вечером облегчённо выдохнуть и улыбнуться!

Приглашенные на VB-Trend музыканты воплотили идею, которую можно признать неофициальным слоганом текущей конференции:

В умелых руках балалайки звучат так, что вы захотите слушать их вечно!

Мы готовим к публикации видеозапись всего мероприятия. И нам кажется, что эта часть соберет больше всего просмотров! Но пока видео готовится, вот фото. Андрей Матвеев, Станислав Сабадаш, на нашем мероприятии у вас появилось, по меньшей мере, пол сотни новых фанатов!

Спасибо, это произвело тот эффект, который мы и планировали, только сильнее 🙂

Финальным аккордом стала традиционная для VB-Trend дегустация виски.

Геннадий Силиванов нам в очередной раз шикарно обиграл основную тему конференции. Мы робко попросили подумать в сторону Made in Russia, и наш уважаемый виски-шеф собрал со всей страны несколько сортов российского виски, которым можно гордиться!

Российское качественное виски в «слепой дегустации» было воспринято непредвзятым жюри на УРА, не уступило по отметкам шотландским фирмачам, и потом было добито/допито с великим удовольствием всем составом VB-Trend!

Вместо заключения

Шесть лет назад мы хотели немного повнедрять SIEM, но увлеклись, и стали ведущими разработчиками Splunk в России.

В начале 2019 хотели несколько поднастроить ELK, но увлеклись, и создали первую версию универсального российского решения для аналитики машинных данных.

Вот и сейчас, хотели быстро выпустить небольшую заметку по VB-Trend, но увлеклись, и выпустили самый подробный отчёт за шесть лет.

Совпадение  Не думаем 

Легко запоминающаяся формула успеха VB-Trend 2019: увлечённые своим делом разработчики, профи-подрядчики, сочувствующие ИТ/ИБ-гикам владельцы уютного и ставшего родным кафе Дижестив, и, конечно же, вы: эксперты-участники VB-Trend!

Всем спасибо, друзья!