Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях.
Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.
Все статьи подряд / Информационная безопасность / Хабр