Сегодня большинство IT- и ИБ-систем накопили гигантские массивы информации. Поэтому идея создания аналитического инструмента, способного связать различные корпоративные хранилища данных, не зависящего при этом от источников и архитектуры, давно витала в воздухе. На ежегодном форуме VB-Trend, посвященном вопросам комплексного мониторинга и информационной безопасности, компания VolgaBlob презентовала новую версию платформы по анализу корпоративных данных Smart Monitor, не имеющей аналогов в России и мире.
Импортозамещение поневоле
VolgaBlob — специализированный интегратор в области информационной безопасности и производитель комплексных систем мониторинга. Основанная в 2004 году в Волгограде, компания за эти годы накопила богатый опыт интеграционной работы. В числе ее партнеров и клиентов такие компании и организации, как СУЭК, S7 Group, ДИТ Москвы, ЦБ РФ, МТС, Ozon, X5 Retail Group, ВТБ, банк «Восточный» и др. (реализовано более 500 проектов).
Сегодня компания делает ставку на собственную универсальную платформу анализа и обработки машинных данных Smart Monitor. Она позволяет использовать любые корпоративные хранилища данных и решать широкий набор задач в области кибербезопасности, зонтичного мониторинга IT-инфраструктуры и анализа бизнес-процессов.
Ранее Smart Monitor отказался от использования популярной проприетарной американской аналитической платформы Splunk, которая неожиданно прекратила сотрудничество с российскими компаниями. Впрочем, несмотря на это, VolgaBlob сохранила центр компетенции и продолжила сопровождение систем мониторинга на Splunk для российских пользователей. С 2019 года компания сосредоточилась на развитии собственной альтернативной платформы.
Похоже, это стало тем случаем, когда выражение «Не было бы счастья, да несчастье помогло» как нельзя лучше отражает сложившуюся ситуацию: при создании новой версии Smart Monitor VolgaBlob пришлось обходиться собственными силами, и результат превзошел ожидания самих разработчиков. Получилось «импортозамещение поневоле», но в компании признают, что даже рады этому. Новый продукт — это российская разработка на базе софта с открытым кодом, и она уже на пути включения в реестр отечественного ПО. «Заимствования при создании продукта были нулевыми, налицо технологическая независимость продукта, полностью соответствующая принципам цифрового суверенитета и импортозамещения»,— заявил CEO VolgaBlob Александр Скакунов.
За год программный комплекс Smart Monitor прошел путь от повторения ряда функций Splunk на Elastic Stack до Data Processing Platform — универсальной аналитической платформы, которая позволяет использовать любые корпоративные хранилища данных.
«Ищи повсюду»
Прежде чем выпустить на рынок новую версию Smart Monitor, разработчики поставили цель — увеличить эффективность имеющихся хранилищ за счет отсутствия необходимости переиндексировать данные из одного хранилища в другое и искать данные сквозным образом.
Диаграмма: графика VolgaBlob
Диаграмма: графика VolgaBlob
Концепция Search Anywhere, разработанная в рамках обновления платформы, представляет более удобный подход к поиску и обработке корпоративных данных. Теперь Smart Monitor предлагает искать их в различных хранилищах, но из единой платформы и с использованием единого синтаксиса. Для сообщества, расширению которого компания уделяет особое внимание, также проработана документация и описание синтаксиса по командам. Анонсирована партнерская программа. Аккредитованные по ней компании смогут начать обучение своих специалистов по интеграции уже в 2021 году.
«Мы понимаем, что сливать все данные в одно хранилище неудобно. Это не оперативно и с точки зрения ресурсов: новые сервера и новые хранилища предполагают очень долгий старт,— объясняет архитектор VolgaBlob Илья Шаманов,— поэтому мы начали разрабатывать поиск по данным в едином месте, но по разным источникам».
В итоге последняя версия Smart Monitor представляет собой новый класс решений с гибридной архитектурой, который позволит владельцам бизнеса задавать любой вопрос к своим корпоративным данным, где бы они ни располагались, и получать ценный для бизнеса результат — как в бизнес-процессах, так и в области IT-инфраструктуры и кибербезопасности. Решение позволяет централизовать функции анализа данных и сохранить ранее сделанные инвестиции в Big Data, повысив бизнес-эффективность их использования. «Мы предлагаем рынку отечественное доверенное решение, расположенное в инфраструктуре компании, без необходимости передавать данные в публичные облака»,— добавляют в VolgaBlob.
Сейчас на базе Smart Monitor заказчики могут оптимизированно и легко извлекать интересующую их информацию из различных источников, которая хранится в зависимости от задач либо в локальном хранилище, либо в хранилище источника данных.
Возможности платформы Smart Monitor усилены в сфере анализа машинных данных и за счет поддержки работы «из коробки» одновременно с несколькими корпоративными хранилищами (Elastic, ClickHouse, Hadoop, Splunk и пр.) без необходимости их объединения. По сути, подключение новых источников удалось вывести «в промышленный масштаб», говорят в компании.
Отряд быстрого реагирования
В прошлом году на конференции VB-Trend компания представила инцидент-менеджеры на Splunk и на платформе c открытым исходным кодом ELK. Теперь же разработчики VolgaBlob не только шагнули вперед в развитии на платформе ELK, но и разработали дополнительный модуль для удобного взаимодействия с инцидентами.
Так, Incident Response работает в связке с менеджером инцидентов и является шиной для двустороннего взаимодействия со сторонними сервисами. Можно выполнить активные действия из любой системы, которая поддерживается в модуле Incident Response. Он отлавливает изменения или создание инцидентов и присылает уведомления об их создании, если есть интеграция с мессенджерами — такими, как децентрализованная система обмена и хранения сообщений Matrix или известный всем Telegram. Есть и опция подключить систему работы с тикетами Jira.
Кроме того, VolgaBlob реализовали SDK (software development kit — комплект средств разработки для специалистов по созданию приложений), который позволяет интегрировать в продукт и другие платформы. За инцидентами можно следить как на мобильном устройстве, так и на десктопе.
Решение для «СберРешений»
Опытом применения платформы Smart Monitor и перепрофилирования модуля User Behavior Analytics для оценки эффективности сотрудников и формирования индекса корпоративного соответствия в ходе конференции поделилась компания «СберРешения» — лидер рынка аутсорсинга бизнес-процессов в России и СНГ (более 1,5 тыс. клиентов в крупном бизнесе, СМБ и госсекторе).
Перед компанией как агрегатором персональных данных стояла задача построить систему функционального мониторинга и управления информбезопасностью. «СберРешения» выбрала платформу на базе системы Smart Monitor. Построенная ресурсно-сервисная модель позволила продемонстрировать состояние текущих информационных систем, наладить управление инцидентами и добавить интеграцию с системой Jira.
После начала пандемии компания была вынуждена перевести на удаленную работу большую часть сотрудников. Исходя из накопленной информации в «СберРешениях» решили использовать системы кибербезопасности для операционного управления, пользуясь имеющимися профилями сотрудников. Это потребовало дополнительной интеграции с HR-системой. Для контроля за трудовой дисциплиной и оценкой производительности был создан механизм учета активных сессий.
Диаграмма: графика VolgaBlob
Диаграмма: графика VolgaBlob
В результате прирост эффективности по закрытию сроков проектов и задач составил около 10%. В масштабе всей компании был разработан индекс кибербезопасности филиалов. Благодаря этому внедрению число инцидентов безопасности в филиалах снизилось, тогда как трудовую дисциплину удалось повысить. Система также помогла балансировать нагрузку между сотрудниками и подразделениями. В планах дальнейшего развития платформы — повышение операционной эффективности и улучшение финансового контроля.
Безоблачное будущее
Завершило форум обсуждение достоинств и недостатков решений на базе локальных серверов и SaaS-решений, локального SOC (Security Operations Center, Центр обеспечения безопасности), гибридной модели и облачных сервисов. Участники круглого стола прокомментировали экономические и технические риски перевода на дистанционный режим — как избежать «дикой удаленки» и обеспечить безопасность работы.
По словам директора по росту бизнеса BI.ZONE Рустэма Хайретдинова, антагонизма в этом случае нет, но важно учитывать, что при любой организации удаленной работы необходимо иметь локальные резервы: «Сейчас наблюдается прямое сегментирование, когда все, что называется SOC, уходит в инфраструктуру. А то, что связано с бизнес-процессами (антифрод, аналитические системы), относится к разным функциям и не требует одновременной амортизации».
Каждый сценарий реализации SOC имеет свои слабые критические проблемы. По мнению директора по корпоративной безопасности Ozon Дмитрия Мананникова, хороший SOC по своей концепции должен быть «гибким, динамичным и подстраиваться под любые бизнес-изменения за охраняемым периметром»: «Внутренний SOC имеет больше шансов на успех, чем внешний, поскольку погружен во внутренний нетворкинг организации».
С полным обзором мероприятия можно ознакомиться в официальном блоге компании VolgaBlob. Там же расположены презентации и видеозаписи докладов.