Сегодня на операционном столе у нас компания Tanium. Хоть я и кручусь в нужной области и посещаю практически все ивенты, я о ней до недавнего времени почти не слышал. Но сейчас она привлекает все больше внимания — в первую очередь тем, что имеет самые высокие оценки стоимости среди всех частных компаний в области безопасности. Tanium оценивается в 3,5 миллиарда долларов. Непросто найти что-нибудь для сравнения, но, например, пять лет назад HP купила фирму ArcSigh за 1,5 миллиарда, а довольно известная компания Trustwave год назад была куплена всего за 800 миллионов.
В общем, оценки стоимости Tanium смотрятся просто фантастически, учитывая, что пару лет назад об этой фирме мало кто знал. Компания вроде бы существует с 2007 года, но до 2012 года работала в закрытом режиме и до поры до времени не высовывалась. Управляют ей отец и сын — Девил Хиндави и Орион Хиндави. При этом Орион буквально недавно был назначен генеральным директором, в то время как его батя стал председателем совета директоров.
Секрет успеха — отчасти в том, что за плечами у Хиндави стоят самые крутые инвесторы в Долине, фонд Andreessen Horowitz. Марк Андриссен и Бен Хоровиц владеют акциями всех топовых ИТ-компаний, начиная с Facebook, Twiter, Skype и Airbnb, и заканчивая DigitalOcean, GitHub, Groupon, Pinterst, Slack, Stack Overflow и так далее.
Однако наличие крутых инвесторов — не главное преимущество Tanium. Но что тогда? Давай разбираться. Один из ключевых моментов, как мне кажется — то, что бизнес Хиндави ориентирован не столько на безопасность, сколько на IT в целом. Это позволяет им выходить на гораздо большие бюджеты, потому как решение Tanium реально помогает в повседневной работе и оптимизирует информационные процессы. Чего, конечно, не скажешь о продуктах по безопасности в целом.
Так что это в итоге за зверь такой? Tanium — это система класса Endpoint Security с элементами SIEM. Она в виде легковесного агента ставится на все устройства сети. После этого из основной консоли можно выполнять различные действия: к примеру, найти все с такой-то версией Windows и таким-то программным обеспечением, после чего передать найденным устройствам команду. Это может быть как установка обновлений, так и блокировка, или еще что-нибудь.
Инфраструктура Tanium
Особенность в том, что запросы к системе пишутся на понятном для человека языке, который в системе преобразуется в некие команды. Дополнительная фишка — супервысокая скорость, которая позволяет за считаные секунды передавать эти запросы миллионам устройств. Разработчики клянутся, что реакция на любой запрос происходит не более чем за 15 секунд. Секрет успеха — в p2p-соединениях между агентами.
К примеру, поступила информация о процессе, который использует определенная малварь. Убить этот процесс разом на всех серверах можно, набрав в консоли простую команду taskkill /F /IM AppX.exe.
Я, конечно, никогда не сталкивался с такими задачами, но знаю, что в крупных компаниях часто надо управлять тысячами разрозненных систем. В этом плане решение смотрится перспективно. Tanium, если задуматься, — очень крутая штука. Представь такой же мощный и быстрый поисковик по всем девайсам. Вот лишь несколько задач, которые с его помощью легко решить:
- найти определенное сообщение во всех логах событий Windows;
- найти пользователей, которые прямо сейчас работают с определенным старым приложением, и отключить их;
- поставить критичное обновление на тридцать тысяч систем за две минуты.
В сердце Tanium
Как это все работает? По сути, предельно просто. Есть так называемые сенсоры (Sensors) — простые скрипты, где описывается, какие данные и откуда брать. Есть пакеты (Packages) — это описания реакций на действия (например, заблокировать компьютер или пользователя или отправить в карантин всю сетку).
Дальше ставится сервер, консоль для запросов и по агенту на каждый компьютер. Все взаимодействие происходит по схеме p2p. Если с консоли на сервер посылается запрос показать некоторые устройства, то этот запрос переправляется определенным клиентам, а они, в свою очередь, опрашивают других клиентов (например, тех, до которых не достучаться напрямую из-за сетевых настроек и фаерволов) и так далее.
Получается что-то вроде SIEM (в том плане, что есть единая консоль — так-то это далеко не SIEM), который ничего не хранит, но зато быстро работает. Когда-то немецкие аналитики писали про класс решений RTSI — Real Time Security Intelligence. Сейчас проблема иная. С одной стороны, надо хранить все события для истории, а с другой — надо в реальном времени получать удобную выборку наиболее критичных событий. Традиционные SIEM, пытаясь решить две задачи одновременно, терпят неудачу. Это постепенно приводит к разделению на те системы, которые просто хранят события, и те, которые почти в реальном времени сигнализируют о самых важных событиях. Они-то и называются RTSI.
Будет ли Tanium относиться к этому классу систем или вокруг него сформируется новый класс, как быстро появятся конкуренты, оправдана ли вообще шумиха, мы скоро узнаем. А пока следим за тем, как у ребят идут дела.
На этом на сегодня все. Такой вот вводный экскурс. Следующий пост будет о надвигающейся конференции RSA в Сан-Франциско, которую в этом году посетят более тридцати тысяч человек. На ней, кстати, выступят и представители Tanium, а значит, можно будет узнать какие-нибудь интересные технические подробности.
