понедельник, 25 мая 2015 г.

MaxPatrol SIEM - Гибрид подходов Tenable и IBM

    Новый продукт с одной стороны имеет традиционные технологические корни ("делали новый сканнер а получился SIEM") чем очень близок к Security Center CV от Tenable с другой имеет значимую базу знаний по атакам, и должен "облегчить жизнь безопасникам" чем близок уже к IBM QRadar, с его оффенсами, автодискавери активов, анализом сетевых потоков и т.п.

    При этом продукт является частью комплексной экосистемы из как минимум 6-и продуктов:
  • MaxPatrol X.
  • MaxPatrol SIEM.
  • Multiscanner.
  • Anti-APT ("песочница"?).
  • Application Inspector.
  • Application Firewall.
   Экосистемный подход подводит уже к конкуренции и с McAfee, у которого как раз и сканер, и SIEM,  и "песочница" уже есть. Жаль, что технологическое сравнение бессмысленно, так у одного из перечисленных вендоров не очень с базой знаний, второй тяжело внедряется, а у третьего нет активного сканера. Поэтому мы сравним пресловутую экспертизу и базу знаний.
    Тем в более что в абсолютном превосходстве базы знаний Позитива у меня есть сомнения, так как на презентации продукта не была упомянута система управления знаниями (где держат знания? Инфовоч, например, недавно искал себе администратора известной системы управления знаниями Confluence), а также предоставлены изрядно преувеличенные сведения о отсутствии организованного сопротивления пентестерам Позитивов среди всех клиентов. Только я знаю 3 таких случая с PT и один не менее квалифицированной командой, и в одном из случаев пентестеры не смогли понять куда попали (запутались:). С другой стороны Позитивы волновались - продукт долго готовился к выпуску, да и маркетинг в целом у них отличный (хотя они формально "против" маркетинга - маркетинг у них один из лучших на рынке).
    Вскоре проведу сравнение источников знаний об угрозах и атаках Позитива с западными лидерами и опубликую его здесь.

Комментариев нет:

Отправить комментарий