KUMA от «Лаборатории Касперского»: как бизнес защищается от кибератак

Read Time:5 Minute, 21 Second

Фото: Getty Images

Erid: 2SDnjewiQNd

В последние годы компании всех масштабов столкнулись с резким ростом числа и сложности кибератак. По данным IZ: SOC компании «Информзащита», в 2025 году до 80% атак сопровождалось скрытой утечкой данных, и лишь около 28% организаций успевали расследовать инциденты в первые сутки. Медленное реагирование увеличивает убытки и дает хакерам время закрепиться в инфраструктуре.

Кибератаки становятся все более сложными и многоходовыми, активнее применяются продвинутые APT-техники. В условиях удаленной работы и активного привлечения внешних команд границы корпоративной сети размываются, и атакующие находят новые точки входа. Значимая доля инцидентов связана с цепочками поставок — в 2025 году почти треть успешных атак на российский бизнес начиналась с компрометации подрядчиков. Под удар попадает и малый, и средний бизнес — на них приходится более трети утечек данных.

В таких условиях компании нуждаются в единых центрах мониторинга — SOC (Security Operations Center), объединяющих средства защиты и выявляющих даже скрытые угрозы. Основной инструмент SOC — SIEM-платформа, она собирает и анализирует события безопасности. По данным внутреннего исследовательского центра «Лаборатории Касперского», SIEM входит в тройку наиболее востребованных решений в SOC.

Показательный пример эволюции таких решений — KUMA (Kaspersky Unified Monitoring and Analysis Platform). Платформа «Лаборатории Касперского» используется как внутренними SOC, так и MSSP-провайдерами (SOC на аутсорсе) благодаря масштабируемости, отказоустойчивости, поддержке сложных сценариев обнаружения и прозрачной интеграции с другими системами безопасности.

SOC, SIEM и MSSP: ключевые термины кибербезопасности

SOC (Security Operations Center) — центр управления безопасностью, следит за инфраструктурой, выявляет инциденты и реагирует на них. SOC может быть внутренним подразделением компании или внешней командой по контракту.

SIEM-система — технологическая основа SOC. Автоматически собирает события со всех источников (сети, серверы, рабочие станции, приложения, средства защиты), анализирует их и выявляет подозрительные цепочки действий. В результате формируются структурированные инциденты и оповещения для аналитиков. Без SIEM ручной анализ всех событий невозможен.

MSSP (Managed Security Service Provider) — модель аутсорсинга функций SOC. Внешний провайдер круглосуточно мониторит инфраструктуру клиента, использует SIEM и другие инструменты и выполняет первичное реагирование на инциденты.

Базовые возможности SIEM

Любая SIEM выполняет несколько основных функций. Прежде всего это централизация данных, то есть сбор событий со всей инфраструктуры. Затем идет нормализация и хранение: система приводит данные к единому формату и сохраняет их для последующего анализа. Важнейшая функция — сопоставление событий для выявления подозрительных цепочек. Например, загрузка файла подрядчиком и последующая необычная попытка доступа к CRM фиксируются как потенциальный инцидент. Наконец, SIEM формирует оповещения и отчеты, предоставляя аналитикам инструменты для расследования.

Эти функции есть у всех SIEM, но решающее значение имеет качество их реализации. Современная SIEM должна быстро обрабатывать тысячи событий в секунду, масштабироваться без потери производительности и предоставлять актуальные правила для обнаружения атак. Стандартные правила часто создают «шум» и ложные срабатывания, поэтому ценен экспертный контент, который реально помогает аналитикам.

Не менее важно удобство работы: медленная и перегруженная сигналами тревоги SIEM быстро превращается в «пылесборник». Поэтому современные платформы развиваются в сторону повышения эффективности, интеллектуальности и поддержки аналитиков — главный тренд SIEM на 2026 год.

KUMA от «Лаборатории Касперского» — пример современной SIEM

Представленная в 2020 году, KUMA стала первым отечественным решением класса SIEM, подтвердившим соответствие требованиям к средствам ГоСОПКА в 2023 году. Спустя два года платформа прошла повторную проверку. Организации, которым необходимо использовать решение с сертификатом соответствия, теперь могут работать с KUMA 3.2.

KUMA разрабатывалась под запросы организаций и рассчитана на высокие нагрузки при умеренных требованиях к оборудованию. Платформа развивается не только силами вендора, но и с учетом запросов экспертного сообщества. Быстрая реакция на потребности пользователей формирует функциональную платформу, где каждое улучшение помогает справляться с реальными задачами ИБ-специалистов и опирается на практические сценарии атак.

Вклад в развитие вносят и пользователи: вокруг платформы KUMA сформировалось активное сообщество. Его участники делятся правилами выявления атак, обмениваются наработками и опытом.

Платформа легкая и масштабируемая: подходит как для малого и среднего бизнеса (Kaspersky Smart), так и для крупных SOC, обслуживающих десятки клиентов. KUMA можно развернуть на обычном ноутбуке для тестов или в распределенной облачной инфраструктуре с высокими требованиями к отказоустойчивости.

Гибкость архитектуры дополняется прозрачным подходом к лицензированию. Вендоры SIEM используют различные подходы к лицензированию, как правило привязывая стоимость к объему событий, числу защищаемых активов или набору функциональных модулей. Так, в KUMA стоимость рассчитывается по объему событий, что делает расходы предсказуемыми. Кроме того, компании могут пользоваться платформой через MSSP — внешнего провайдера, получая все возможности SIEM без больших вложений в инфраструктуру и команду, оплачивая сервис по факту, как обычные операционные расходы.

Продвинутые возможности

KUMA — открытая платформа, которая легко интегрируется с разными системами. Она поддерживает сотни сторонних источников событий и позволяет подключать любые потоки данных через развитый открытый API.

Здесь реализована продвинутая аналитика и корреляция. KUMA сочетает проверку по шаблонам атак, анализ статистики и отслеживание необычного поведения. Исторические данные можно повторно обрабатывать и использовать для новых сценариев, что важно при медленных и скрытных APT-атаках.

Еще один обязательный элемент — обогащение данными Threat Intelligence. В KUMA есть модуль CyberTrace и открытые API для подключения собственных источников или наработок сообщества, что позволяет дополнять события актуальными сведениями о вредоносных ресурсах.

Платформа ориентирована на пользователя: она создавалась с участием практиков SOC, поэтому интерфейс и логика работы сокращают ручные действия и ускоряют доступ к контексту инцидента.

KUMA отличает гибкость и расширяемость. Платформа может использоваться не только для задач классической ИБ, но и для построения IT-дашбордов, мониторинга технических и бизнес-показателей, а также в роли единого хранилища данных (Data Lake). Поддерживаются собственные парсеры (преобразователи данных), интеграции и сценарии реагирования.

Наконец, это аналитика на базе искусственного интеллекта (ИИ). KUMA использует алгоритмы машинного обучения для выявления атак, которые невозможно обнаружить простыми правилами корреляции. Модели ИИ обучаются как на телеметрии «Лаборатории Касперского», так и внутри инфраструктуры компании, что позволяет обнаруживать целевые атаки, ранжировать сигналы тревоги для быстрой обработки наиболее критичных и распознавать боковое перемещение злоумышленников. Встроенный ИИ-ассистент KIRA анализирует командные строки, расшифровывает их, предоставляет краткую сводку по инцидентам и помогает аналитикам фокусироваться на самых важных событиях — без лишних затрат времени.

Значимость SIEM для бизнеса

«Эффект от вложений в информационную безопасность проявляется в первую очередь не в росте доходов, а в предотвращении ущерба, даже учитывая всю сложность его корректной оценки. SIEM не панацея, но при системном подходе становится одной из ключевых технологий выявления угроз и должна дополняться другими средствами защиты и обучением сотрудников. Эффективная SIEM повышает производительность команды ИБ, сокращает время расследований и нагрузку специалистов, а руководство получает полную картину угроз для принятия решений. Бизнесу, функционирующему в современном киберландшафте, важно выбирать проверенные экспертные решения», — объясняет Кирилл Дёмин, начальник отдела систем мониторинга IZ: SOC компании «Информзащита».

KUMA постепенно становится отраслевым стандартом: вокруг нее формируется сообщество инженеров и аналитиков SOC, растет доступность компетенций и обсуждается Community-версия. Компании получают не просто инструмент, а экосистему специалистов, что оправдывает вложения и поддерживает непрерывность бизнеса, доверие клиентов и финансовую устойчивость.