PT Container Security

Основная статья: Security Information and Event Management (SIEM)

2024: Возможности для поиска событий рантайма и проведения расследований инцидентов

Positive Technologies выпустили обновленную версию PT Container Security — продукта для защиты контейнерных сред. Главное в релизе — возможности для поиска событий рантайма и проведения расследований инцидентов, улучшение производительности за счет обновления рантайма WebAssembly (Wazero), детекторы рантайма, разработанные по итогам испытаний на киберполигоне Standoff, а также обновленная версия Tetragon, содержащая ряд улучшений движка мониторинга рантайма. Об этом компания сообщила 30 сентября 2024 года.

Согласно полевым испытаниям, PT Container Security способен обрабатывать поток в десятки тысяч событий в секунду и выше. Продукт поддерживает крупные высоконагруженные продакшен-кластеры без потери скорости, то есть может обеспечить безопасность инфраструктуры любого размера. При возрастании нагрузки PT Container Security можно масштабировать горизонтально, увеличивая количество реплик, либо вертикально, добавляя вычислительные ресурсы. Дополнительное улучшение производительности достигнуто за счет использования последних версий WebAssembly и Tetragon.

Технология WebAssembly позволяет разрабатывать детектирующие модули на языках программирования общего назначения и реализовать любую, сколь угодно сложную логику обнаружения в виде переносимого и кросс-платформенного байткода. Использование последних версий рантайма Wazero, который начиная с релиза 1.7 имплементировал оптимизирующий компилятор, ускорило работу каждого отдельного детектора на 30–35% без изменения исходного кода. Tetragon применяется в PT CS для обнаружения угроз в рантайме начиная с первой коммерческой версии продукта.

PT Container Security основан на самых актуальных технологиях. При помощи масштабирования наша команда разработки гарантированно обеспечивает стабильную работу решения при высоких нагрузках и с предельно возможной скоростью, — отметил Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies.

В рамках обновления PT Container Security получил новые возможности, облегчающие для аналитиков расследование инцидентов в рантайме:

• Контекстные фильтры. Позволяют быстро находить события, связанные с работой дочерних и родительских процессов, например запуск злоумышленником вредоносных утилит в скомпрометированном контейнере. Построены на наблюдениях и анализе реальных расследований, помогают простроить цепочку действий злоумышленников.
• Обычные фильтры. Помогают сфокусировать внимание на важных событиях, например, событиях, относящихся к конкретному поду в Kubernetes или связанных с определенными исполняемыми файлами.
• Пресеты для частых проверок, форматирование сырых событий и быстрые фильтры помогают специалистам по ИБ быстрее проводить расследование киберинцидентов в контейнерах. Позволяют не терять информацию и быстро возвращаться к любой точке расследования.
• Детекторы, разработанные вместе с экспертным центром безопасности PT Expert Security Center. За счет максимальной гибкости детекторы не требуют дополнительной настройки, объединяют сигнатурный и поведенческий подходы к обнаружению угроз в рантайме, предлагая гибридный вариант, объединяющий сильные стороны способов обнаружения. Набор детекторов постоянно пополняется.