Когда в 2022 году Splunk, CrowdStrike и Tenable одномоментно отрубили российских клиентов, я был на проекте у госзаказчика. Утром SIEM показал пустую консоль вместо дашбордов. Ни алертов, ни корреляций, ни обновлений. Инфраструктура ослепла за одну ночь.
С тех пор прошло три года. За это время я руками развернул, протестировал на Red Team проектах и попытался обойти большинство российских SIEM, EDR и сканеров уязвимостей. Ниже - не маркетинговые буклеты и не пересказ вебинаров вендоров. Конкретные наблюдения пентестера: что реально детектируется, что проходит мимо, и чего будет стоить миграция вашему SOC.
Конкуренты в выдаче пишут про указы №166 и №250, сроки перехода и штрафы. К практической безопасности это отношения не имеет. По данным BISA, 25% субъектов КИИ уже завершили переход на отечественные СЗИ, ещё 32% обещали успеть. Но ни один из этих обзоров не отвечает на вопрос: а насколько новый стек реально защищает? Вот это и разберу.
Российские SIEM системы: MaxPatrol SIEM, KUMA и RuSIEM в бою
Начнём с главного инструмента SOC - SIEM. В России три основных игрока: MaxPatrol SIEM от Positive Technologies, KUMA от Kaspersky и RuSIEM. Каждый я тестировал с позиции Red Team - запускал атаки и смотрел, что появится (или не появится) в консоли аналитика.
MaxPatrol SIEM обзор: сильный движок, требовательный к экспертизе
MaxPatrol SIEM - наиболее зрелый продукт на рынке. Встроенный набор правил корреляции покрывает приличную часть тактик MITRE ATT&CK, особенно Discovery и Lateral Movement. На одном проекте я запускал классическую цепочку: Network Service Discovery (T1046) черезnmap -sV внутри сети, затем System Information Discovery (T1082) с помощью WMI-запросов. MaxPatrol SIEM поднял алерт на втором этапе - когда WMI-запросы посыпались веером на десяток хостов.Но вот нюанс. Правила из коробки - стартовый набор, не более. На каждом проекте, где я работал с MaxPatrol SIEM, заказчик дописывал правила руками. Миграция с Splunk - не перенос конфигов, а переписывание всей логики корреляции на PDQL (язык запросов MaxPatrol). Один заказчик убил на это восемь месяцев командой из четырёх аналитиков. Язык запросов мощный, но кривая обучения крутая. Если ваш SOC годами жил на SPL (Splunk Processing Language), готовьтесь к болезненному переходу.
Что проходит мимо: при грамотном использовании Living-off-the-Land (LOLBins) - когда атакующий работает через штатные системные утилиты - MaxPatrol SIEM без кастомных правил пропускает существенную часть активности. Disable or Modify Tools (T1562.001) - выключение агентов мониторинга через легитимные административные инструменты - в базовом наборе правил детектируется слабо. Нужны кастомные корреляции на события остановки сервисов и изменения ключей реестра.
KUMA SIEM Kaspersky: экосистемный подход
KUMA (Kaspersky Unified Monitoring and Analysis) - продукт относительно молодой, но с одним серьёзным козырем: нативная интеграция с хозяйством Kaspersky. Если у заказчика развёрнут Kaspersky EDR, KSC (Security Center) и KATA - телеметрия между ними течёт бесшовно, без плясок с коннекторами.На практике это выглядит так: Kaspersky EDR ловит подозрительный процесс на эндпоинте, событие прилетает в KUMA, там обогащается данными из KSN (Kaspersky Security Network) - облачной репутационной базы. Для заказчиков, уже вложившихся в стек Kaspersky, выбор очевиден.
Но с позиции Red Team я вижу ограничения. Набор правил корреляции в KUMA компактнее, чем у MaxPatrol SIEM. Сторонние источники событий (логи со специфичных Linux-дистрибутивов, сетевого оборудования не из top-листа) требуют ручной доработки парсеров. На одном проекте логи с отечественного сетевого оборудования приходили в KUMA, но парсились криво - часть полей терялась, и правила корреляции не срабатывали. Аналитик узнал об атаке из моего отчёта, а не из своей консоли.
RuSIEM: бюджетный вариант с оговорками
RuSIEM занимает нишу «SIEM для тех, кому нужен сертифицированный продукт, но бюджет поджимает». Есть бесплатная версия (RuSIEM Free) с урезанными возможностями - для малых организаций это способ закрыть формальное требование по мониторингу.С позиции атакующего - RuSIEM из коробки ловит базовые вещи: брутфорс, множественные неудачные аутентификации, очевидные сканирования. Продвинутые техники - Log Enumeration (T1654), Security Software Discovery (T1518.001), сложные цепочки Lateral Movement - требуют серьёзной экспертизы при настройке правил. На одном проекте Red Team прошёл от первичного доступа до контроля домена, и RuSIEM сгенерировал единственный алерт - на начальное сканирование портов. Всё остальное утонуло в потоке.
Сравнительная таблица SIEM
| Параметр | MaxPatrol SIEM | KUMA | RuSIEM |
|---|---|---|---|
| Замена Splunk | Реально, но 6-12 мес. на миграцию правил | Реально при стеке Kaspersky | Частично - не хватает глубины корреляции |
| MITRE ATT&CK покрытие из коробки | Широкое (Discovery, Lateral Movement, Execution) | Среднее (сильно в Endpoint-части через интеграцию с EDR) | Базовое (Initial Access, некоторые Discovery) |
| Язык запросов | PDQL - мощный, сложный в освоении | KQL-подобный синтаксис | Простой, но ограниченный |
| Сертификат ФСТЭК | Да | Да | Да |
| Интеграция со сторонними источниками | Широкая (MaxPatrol 8, XSpider, сетевое оборудование) | Нативная с Kaspersky, прочее - через коннекторы | Базовые коннекторы, много ручной работы |
| Стоимость владения (TCO) за 3 года | Высокая | Средняя-высокая | Низкая |
Отечественный EDR сравнение: Kaspersky EDR, ViPNet EDR и PT Sandbox
EDR - агент, который видит происходящее на конечной точке на уровне процессов. «Boots on the ground», как говорят в CrowdStrike. Замена CrowdStrike Falcon - самая болезненная часть миграции, потому что именно здесь разрыв в зрелости ощущается острее всего.Kaspersky EDR: ближайший функциональный аналог
Kaspersky EDR Optimum и Expert - два продукта с разным уровнем глубины. Expert даёт полноценный threat hunting с IoC-scanning, sandbox-интеграцией и ретроспективным анализом телеметрии. Optimum - упрощённая версия для организаций без выделенного SOC.На Red Team проекте я тестировал обход Kaspersky EDR Expert: классический Mimikatz в чистом виде блокируется на этапе запуска - сигнатурный анализ плюс поведенческий. А вот кастомный дампер lsass через
[URL='https://learn.microsoft.com/en-us/windows/win32/api/minidumpapiset/nf-minidumpapiset-minidumpwritedump']MiniDumpWriteDump[/URL], скомпилированный с обфускацией - прошёл. Это не уникальная проблема Kaspersky - западные EDR тоже не ловят каждый кастомный инструмент. Но понимать это нужно: из коробки Kaspersky EDR детектирует известные инструменты, а на custom tooling нужен дополнительный тюнинг правил и YARA-сканирование.Сильная сторона - интеграция с KATA (Kaspersky Anti Targeted Attack Platform), которая добавляет сетевую видимость и sandbox-анализ. В связке KATA + Kaspersky EDR Expert + KUMA получается достаточно полноценная замена стеку CrowdStrike + Splunk, хотя и с оговорками по зрелости threat hunting.
ViPNet EDR: фокус на госсектор
ViPNet EDR от «ИнфоТеКС» - продукт, который чаще встречается в гос-инфраструктурах, где уже развёрнут зоопарк ViPNet (VPN, криптошлюзы). Козырь - сертификация ФСБ и нативная работа с СКЗИ (средствами криптографической защиты информации), что критично для организаций, работающих с данными по приказу ФСБ №378.С позиции Red Team - ViPNet EDR ориентирован скорее на compliance, чем на продвинутое детектирование. На одном проекте агент ViPNet EDR не среагировал на PowerShell-based reverse shell с AMSI bypass - а это достаточно стандартная техника в арсенале пентестера. Поведенческий анализ слабее, чем у Kaspersky EDR. Но заказчику задача была другой - закрыть требования регулятора по классу защиты СрЗИ. И с этим ViPNet справился.
PT Sandbox: не EDR, но критический элемент стека
PT Sandbox от Positive Technologies - не EDR в классическом смысле, а песочница для анализа файлов и URL. Но в связке с MaxPatrol SIEM и PT NAD (Network Attack Discovery) он закрывает пробел, который в западном стеке занимал, например, FireEye Sandbox.На практике PT Sandbox хорошо справляется с анализом вложений из почтового трафика и файлов, скачиваемых пользователями. Я тестировал доставку пейлоада через HTA-файл с обфускацией - PT Sandbox поднял алерт через 40 секунд после загрузки файла в песочницу. Приличный результат. Но sandbox - не real-time защита эндпоинта, а дополнительный слой. Путать одно с другим не стоит.
Сравнительная таблица EDR
| Параметр | Kaspersky EDR Expert | ViPNet EDR | PT Sandbox + PT NAD |
|---|---|---|---|
| Замена CrowdStrike | Наиболее близкий аналог | Частично - слабее в поведенческом анализе | Нет - другой класс продукта |
| Детектирование Mimikatz | Да, из коробки | Частично (сигнатурно) | Через анализ файла, не runtime |
| Threat Hunting | Да (Expert версия) | Ограниченный | Нет |
| Сертификация ФСБ для СКЗИ-сред | Нет (ФСТЭК) | Да | Нет (ФСТЭК) |
| Sandbox-анализ | Через KATA | Нет | Да, нативный |
Сканер уязвимостей российский: XSpider, MaxPatrol 8 и Сканер-ВС
По данным бенчмарка Pentest-Tools.com (2024), среди западных сканеров Nessus показал разрыв между заявленным покрытием (55.09%) и реальной точностью детектирования (18.56%). Это к вопросу о том, что даже западные сканеры врут в отчётах. У российских аналогов ситуация не лучше - но врут они по-своему.XSpider и MaxPatrol 8
XSpider - классический сетевой сканер от Positive Technologies, MaxPatrol 8 - его старший брат с возможностью аудита конфигураций. Оба используют одну и ту же базу уязвимостей, но MaxPatrol 8 добавляет compliance-проверки и аудит Windows/Linux систем через агентное и безагентное сканирование.На практике покрытие CVE у MaxPatrol 8 хорошее для массовой Windows-инфраструктуры: Active Directory, Exchange, стандартные службы. Vulnerability Scanning (T1595.002) с помощью MaxPatrol 8 даёт приемлемую картину. Но есть проблемы.
Специфичное Linux-ПО и контейнерные среды - слабое место. Если в инфраструктуре Docker/Kubernetes с custom-приложениями, MaxPatrol 8 покроет базовый уровень ОС, но не увидит уязвимости в пакетах внутри контейнера. Для этого нужен отдельный класс инструментов (SCA/SBOM-анализ).
Скорость обновления базы уязвимостей - отдельная боль. При появлении свежего CVE с публичным PoC на Exploit Public-Facing Application (T1190) время до появления проверки в MaxPatrol 8 может составлять от нескольких дней до нескольких недель. На одном проекте мы эксплуатировали уязвимость в веб-приложении, которая уже три недели была публичной с PoC, но MaxPatrol 8 её ещё не детектировал. Три недели - это вечность, когда PoC лежит на GitHub.
Сканер-ВС: нишевой игрок
«Сканер-ВС» от НПО «Эшелон» - сертифицированный сканер, который чаще встречается в закрытых сегментах сети (ГИС, АСУ ТП). Его козырь - возможность работы в изолированных средах без доступа к интернету с локально обновляемой базой уязвимостей. Для объектов КИИ, где сегмент физически отключён от внешних сетей, это может быть единственный вариант.По глубине проверок Сканер-ВС уступает и MaxPatrol 8, и тем более Nessus/Qualys. На одном проекте мы сравнивали результаты сканирования одного и того же сегмента: MaxPatrol 8 нашёл 47 уязвимостей, Сканер-ВС - 23, из которых 19 совпадали с результатами MaxPatrol 8. Четыре «уникальные» находки Сканера-ВС оказались false positive при ручной проверке. То есть из 23 находок четыре - мусор. Не катастрофа, но и не внушает.
Практическое ограничение всех российских сканеров
Ни один из российских сканеров не участвует в международных независимых бенчмарках (вроде того, что проводит Pentest-Tools.com). Объективно сравнить их точность с Nessus, Qualys или Nuclei невозможно - только на собственных проектах, что я и делаю. Западные бенчмарки тестировали 167 уязвимых сред и 128 удалённо эксплуатируемых CVE. Подобной методологии для российских продуктов в открытом доступе не существует. Заявлено «не хуже Nessus», однако подтвердить это некому.Пентест с российскими инструментами: что реально детектируется
Пройдём по типичной цепочке атаки и посмотрим, как российский стек ведёт себя на каждом этапе. Модель соответствует трёхфазной оценке AV-Comparatives EPR 2024: Endpoint Compromise and Foothold, Internal Propagation, Asset Breach.
Требования к окружению для тестирования
Прежде чем проверять детектирование, убедитесь, что стенд соответствует минимальным условиям:- ОС: Windows Server 2019+ для AD-сегмента, Astra Linux / РЕД ОС для импортозамещённых хостов
- SIEM: актуальная версия с подключёнными источниками (минимум - AD, DNS, DHCP, endpoint-агенты)
- EDR: агенты развёрнуты на всех целевых хостах, политики в режиме detect (не prevent - чтобы видеть полную цепочку)
- Сеть: изолированный сегмент, тестирование только в рамках согласованного скоупа
Фаза 1: первичный доступ и закрепление
Отправляем фишинговое письмо с вложением (macro-enabled документ или HTA). PT Sandbox перехватывает вложение из почтового трафика и анализирует в песочнице. Kaspersky EDR на эндпоинте блокирует запуск известного пейлоада. Стандартные техники первичного доступа детектируются хорошо.Но если пейлоад кастомный - собственный загрузчик, не использующий стандартные API-вызовы вроде
VirtualAlloc + CreateRemoteThread - поведенческий анализ может не сработать. Это граница, одинаковая для всех EDR, и российских, и западных. Кто говорит иначе - продаёт вам вебинар.Фаза 2: разведка и горизонтальное перемещение
Запускаемnltest /dclist: для обнаружения контроллеров домена, затем net group "Domain Admins" /domain. SIEM видит эти запросы, если настроена корреляция на Security Software Discovery (T1518.001) и System Information Discovery (T1082). MaxPatrol SIEM с настроенным набором правил поднимает алерт. KUMA - зависит от того, подключены ли логи AD и настроены ли правила на LDAP-запросы.Дальше -
PsExec или WMI для латерального перемещения. Здесь MaxPatrol SIEM и Kaspersky EDR работают в связке: EDR видит порождение процесса через WMI на целевом хосте, SIEM коррелирует сетевую активность (подключение к SMB/WMI) с событием на эндпоинте. Если оба компонента настроены и интегрированы - цепочка ловится. Если нет - ну, вы поняли.Фаза 3: достижение цели
Дамп NTDS.dit черезntdsutil или Volume Shadow Copy. Kaspersky EDR Expert детектирует создание теневой копии тома, если включено правило на мониторинг vssadmin. MaxPatrol SIEM коррелирует это событие с предшествующим латеральным перемещением.Ключевой вывод: российский стек детектирует стандартные цепочки, если все компоненты настроены и интегрированы. Проблема не в возможностях продуктов, а в экспертизе настройки. Рустэм Хайретдинов из BI.ZONE сформулировал точно: «перенести тысячи проприетарных правил из SIEM-системы в новую - непростая задача, практически ручная работа, проект миграции на пару лет».
Замена Splunk российский аналог: реальная стоимость перехода
Миграция с Splunk на российский SIEM - не замена одного ПО на другое. Это пересоздание всей детекшн-логики с нуля. Вот чек-лист, который я даю заказчикам:
Код:
# 1. Инвентаризация текущих правил корреляции в Splunk
# Выгрузите все savedsearches.conf и преобразуйте в CSV
cat $SPLUNK_HOME/etc/apps/*/local/savedsearches.conf \
| grep -E "^\[|^search" > splunk_rules_inventory.csv
# 2. Классифицируйте каждое правило по MITRE ATT&CK technique ID
# 3. Приоритизируйте: сначала Initial Access,
# Execution, Lateral Movement - они критичны
# 4. Для каждого правила напишите аналог на языке целевого SIEMУ меня по опыту проектов миграции: минимальный реалистичный срок - 6 месяцев для организации с 50-100 правилами. Для крупного SOC с 500+ правилами - 12-18 месяцев. И это при наличии аналитиков, которые уже владеют языком запросов нового SIEM.
Импортозамещение средств защиты информации: что реально работает, а что - для галочки
Как отмечают в TAdviser, «если заказчик имеет у себя российскую систему ИБ на VMware и должен срочно перейти на отечественную систему виртуализации, то возникнут проблемы с работой». Это ключевая проблема: импортозамещение в ИБ невозможно отдельно от импортозамещения базовой инфраструктуры.По NIST CSF v2.0, функция IDENTIFY (ID.AM-01) требует актуального инвентаря аппаратного обеспечения, а функция DETECT (DE.AE-01) - установления базовых линий сетевых операций. Переход на новый стек одновременно сбрасывает оба фундамента: inventory нужно пересобирать, baseline - устанавливать заново. В переходный период организация фактически слепа. И именно в этот момент ломают чаще всего.
Практические рекомендации, выработанные на проектах:
- Мигрируйте послойно: сначала сканер уязвимостей (наименьший риск при замене), затем EDR (один-два месяца параллельной работы старого и нового агента), последним - SIEM (только после полной инвентаризации правил)
- Не отключайте старый стек до стабилизации нового. Если лицензии заблокированы - используйте open-source промежуточные решения (Wazuh как временный SIEM, YARA-правила на эндпоинтах)
- Фиксируйте MITRE ATT&CK покрытие до и после миграции. Заведите таблицу: техника - старое правило - новое правило - статус. Без этого вы не узнаете, какие пробелы появились
Про регуляторную сторону тоже забывать нельзя: класс защиты СрЗИ должен соответствовать категории информационной системы. Для ИСПДн уровня УЗ1 или ГИС класса К1 требуется класс защиты 4 (по приказу ФСТЭК №76), что существенно сужает выбор продуктов. Далеко не все российские EDR и SIEM имеют сертификацию на нужный класс - проверяйте реестр ФСТЭК до начала пилота, а не после закупки. Казалось бы, очевидно - но я видел обратное, минимум трижды.
Российские решения кибербезопасности: итоговая оценка для пентестера
Если сжать три года работы с российскими СЗИ в несколько тезисов:Связка MaxPatrol SIEM + Kaspersky EDR Expert + PT Sandbox - наиболее зрелая комбинация, но требует глубокой экспертизы и бюджета. Это реальная замена Splunk + CrowdStrike с оговоркой: вы потеряете 6-12 месяцев на выстраивание аналогичного уровня детектирования.
KUMA + Kaspersky EDR + KATA - оптимальна, если вы уже в стеке Kaspersky. Интеграция нативная, порог входа ниже. При необходимости подключить сторонние источники телеметрии - готовьтесь к ручной работе с парсерами.
RuSIEM + ViPNet EDR + Сканер-ВС - бюджетный вариант для организаций, где основная задача - формальное соответствие требованиям ФСТЭК и ФСБ. Реальный уровень защиты существенно ниже двух предыдущих связок. Но если альтернатива - вообще ничего, это лучше, чем ноль.
Ни одна из связок не детектирует всё. Это нормально - AV-Comparatives в EPR-тесте 2024 года оценивал западные продукты по 50 сценариям атак в трёх фазах, и ни один не показал 100%. Разница в том, что для западных продуктов есть независимые бенчмарки, а для российских - только ваш собственный Red Team. Так что если у вас его нет - вы не знаете, насколько защищены. Вы просто верите вендору на слово.
Вопрос к читателям
Кто из вас уже мигрировал корреляционные правила со Splunk SPL на PDQL (MaxPatrol SIEM) или KQL-подобный синтаксис KUMA? Вот что особо интересно: какой процент правил из старого Splunk-стека удалось портировать один-к-одному, а сколько пришлось полностью переписывать из-за разницы в модели данных? Если у вас есть пример правила на детектирование DCSync (событие 4662 + GUID репликации) в новом SIEM - покажите фрагмент запроса. Это будет полезно всем, кто сейчас в процессе миграции.
Последнее редактирование модератором:
