Tanium — система безопасности для сетей любого масштаба

Сегодня на операционном столе у нас компания Tanium. Хоть я и кручусь в нужной области и посещаю практически все ивенты, я о ней до недавнего времени почти не слышал. Но сейчас она привлекает все больше внимания — в первую очередь тем, что имеет самые высокие оценки стоимости среди всех частных компаний в области безопасности. Tanium оценивается в 3,5 миллиарда долларов. Непросто найти что-нибудь для сравнения, но, например, пять лет назад HP купила фирму ArcSigh за 1,5 миллиарда, а довольно известная компания Trustwave год назад была куплена всего за 800 миллионов.

В общем, оценки стоимости Tanium смотрятся просто фантастически, учитывая, что пару лет назад об этой фирме мало кто знал. Компания вроде бы существует с 2007 года, но до 2012 года работала в закрытом режиме и до поры до времени не высовывалась. Управляют ей отец и сын — Девил Хиндави и Орион Хиндави. При этом Орион буквально недавно был назначен генеральным директором, в то время как его батя стал председателем совета директоров.

Секрет успеха — отчасти в том, что за плечами у Хиндави стоят самые крутые инвесторы в Долине, фонд Andreessen Horowitz. Марк Андриссен и Бен Хоровиц владеют акциями всех топовых ИТ-компаний, начиная с Facebook, Twiter, Skype и Airbnb, и заканчивая DigitalOcean, GitHub, Groupon, Pinterst, Slack, Stack Overflow и так далее.

Однако наличие крутых инвесторов — не главное преимущество Tanium. Но что тогда? Давай разбираться. Один из ключевых моментов, как мне кажется — то, что бизнес Хиндави ориентирован не столько на безопасность, сколько на IT в целом. Это позволяет им выходить на гораздо большие бюджеты, потому как решение Tanium реально помогает в повседневной работе и оптимизирует информационные процессы. Чего, конечно, не скажешь о продуктах по безопасности в целом.

Так что это в итоге за зверь такой? Tanium — это система класса Endpoint Security с элементами SIEM. Она в виде легковесного агента ставится на все устройства сети. После этого из основной консоли можно выполнять различные действия: к примеру, найти все с такой-то версией Windows и таким-то программным обеспечением, после чего передать найденным устройствам команду. Это может быть как установка обновлений, так и блокировка, или еще что-нибудь.

Tanium

Инфраструктура Tanium

Особенность в том, что запросы к системе пишутся на понятном для человека языке, который в системе преобразуется в некие команды. Дополнительная фишка — супервысокая скорость, которая позволяет за считаные секунды передавать эти запросы миллионам устройств. Разработчики клянутся, что реакция на любой запрос происходит не более чем за 15 секунд. Секрет успеха — в p2p-соединениях между агентами.

К примеру, поступила информация о процессе, который использует определенная малварь. Убить этот процесс разом на всех серверах можно, набрав в консоли простую команду taskkill /F /IM AppX.exe.

Я, конечно, никогда не сталкивался с такими задачами, но знаю, что в крупных компаниях часто надо управлять тысячами разрозненных систем. В этом плане решение смотрится перспективно. Tanium, если задуматься, — очень крутая штука. Представь такой же мощный и быстрый поисковик по всем девайсам. Вот лишь несколько задач, которые с его помощью легко решить:

  • найти определенное сообщение во всех логах событий Windows;
  • найти пользователей, которые прямо сейчас работают с определенным старым приложением, и отключить их;
  • поставить критичное обновление на тридцать тысяч систем за две минуты.

В сердце Tanium

Как это все работает? По сути, предельно просто. Есть так называемые сенсоры (Sensors) — простые скрипты, где описывается, какие данные и откуда брать. Есть пакеты (Packages) — это описания реакций на действия (например, заблокировать компьютер или пользователя или отправить в карантин всю сетку).

Дальше ставится сервер, консоль для запросов и по агенту на каждый компьютер. Все взаимодействие происходит по схеме p2p. Если с консоли на сервер посылается запрос показать некоторые устройства, то этот запрос переправляется определенным клиентам, а они, в свою очередь, опрашивают других клиентов (например, тех, до которых не достучаться напрямую из-за сетевых настроек и фаерволов) и так далее.

Получается что-то вроде SIEM (в том плане, что есть единая консоль — так-то это далеко не SIEM), который ничего не хранит, но зато быстро работает. Когда-то немецкие аналитики писали про класс решений RTSI — Real Time Security Intelligence. Сейчас проблема иная. С одной стороны, надо хранить все события для истории, а с другой — надо в реальном времени получать удобную выборку наиболее критичных событий. Традиционные SIEM, пытаясь решить две задачи одновременно, терпят неудачу. Это постепенно приводит к разделению на те системы, которые просто хранят события, и те, которые почти в реальном времени сигнализируют о самых важных событиях. Они-то и называются RTSI.

Будет ли Tanium относиться к этому классу систем или вокруг него сформируется новый класс, как быстро появятся конкуренты, оправдана ли вообще шумиха, мы скоро узнаем. А пока следим за тем, как у ребят идут дела.

На этом на сегодня все. Такой вот вводный экскурс. Следующий пост будет о надвигающейся конференции RSA в Сан-Франциско, которую в этом году посетят более тридцати тысяч человек. На ней, кстати, выступят и представители Tanium, а значит, можно будет узнать какие-нибудь интересные технические подробности.

Полезная информация

Click to rate this post!
[Total: 6 Average: 3.7]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Leave a reply:

Your email address will not be published.