Что предлагает обновленная SIEM HP ArcSight?

14 Августа, 2015 16:01
По материалам SVIT IT
В период ключевых изменений, когда вопросы обеспечения информационной безопасности обсуждаются на самом высоком уровне, руководители, отвечающие за безопасность предприятия, стремятся в полной мере понять, что именно им угрожает. Для успешного решения этой задачи компания НР предлагает использовать одну из лучших на рынке комплексных платформ для защиты информации и управления событиями – HP ArcSight.

В начале статьи мы бы хотели привести несколько интересных фактов из мира информационной безопасности1

  • 416 дней – среднее время, требуемое для обнаружения нарушения в системе безопасности.
  • 56% организаций, работающих по всему миру, подвергались кибератакам.
  • Сегодня все больше приложений развертываются и интегрируются за пределами брандмауэра компании.
  • В 44% случаев утечка данных происходит по вине третьих лиц или из-за ошибок в каналах передачи.
  • Хакеры – это лица преследующие конкретную цель, например, кражу IP-адресов, почтовой переписки, нанесение ущерба бренду или сбор информации о клиентах.
  • Несоблюдение требований PCI стоит от $5000 до $500000 (банки или компании, занимающиеся выпуском кредитных карт).
  • 60% компаний во всем мире тратят больше времени и денег на устранение инцидентов, чем на проактивное управление рисками.

В свете всего этого очевидно, что информационная безопасность бизнеса уже давно стала базовой потребностью. Платформа HP ArcSight ключевым элементом системы информационной безопасности в современной корпоративной среде. Это хорошо масштабируемое решение для мониторинга угроз безопасности в неограниченных сетевых средах, которое позволяет справляться с рисками, актуальными для любых организаций – от крупных корпораций до компаний среднего и малого бизнеса. Решение дает возможность в любое время собирать и накапливать данные журналов и сведения о системах безопасности, поступающие с устройств любых типов и любых производителей. HP ArcSight сопоставляет системные события, потоки информации, действия пользователей и приложений. Поэтому можно всегда иметь достоверные сведения о том кто, что, где, когда и как делает и что произошло либо происходит сейчас в вашей организации.

HP ArcSight позволяет мгновенно определять все действия, выполняемые в сети, обнаруживать атаки «нулевого дня» и контролировать их распространение, отслеживать доступ к базам данных с конфиденциальными сведениями, осуществлять контроль за действиями ключевых пользователей, выполнять мониторинг критически важных приложений или сервисов и обеспечивать соблюдение нормативных требований. Вы будете видеть тенденции и взаимосвязи и сможете получить необходимую информацию для своевременного и надлежащего реагирования. Реагирование может производиться как в ручном, так и в автоматизированном режиме.

arcsight

Архитектура решения HP ArcSight (один из вариантов)

Каждый из элементов архитектуры выполняет следующие функции:

Connector – сбор событий из любых систем и приложений. Передает сырые или нормализированные и классифицированные события для качественного анализа в Logger или ESM/Express.

Logger – консолидация и длительное хранения собранной информации. Хранит данные до нескольких лет, позволяет быстро и удобно искать нужную информацию при сжатии до 10:1, может передавать ее по запросу в ESM/Express. ESM/Express – корреляция событий, в том числе в режиме реального времени. Существует несколько вариантов разворачивания комплекса, но наиболее часто используемые это:

  • Только Logger – для хранения информации, необходимой при расследовании инцидентов и соответствия стандарту PCI DSS.
  • Только ESM/Express – для распознавания угроз и обнаружения аномалий.
  • Комбинация Logger + ESM – для реализации комплексной защиты информации и управления событиями.

В течение последних нескольких месяцев произошли серьезные обновления в линейке продуктов HP ArcSight. Ниже приведен список основных нововведений:

HP ArcSight Logger 6.0

  • Улучшен алгоритм поиска, позволяющий ускорить поиск до 1000 раз.
  • Увеличена производительность.
  • Добавлена поддержка Big Data.
  • Использован новый интерфейс WEB 2.0.
  • Графический интерфейс (GUI) такой же как у ESM.
  • Добавлена поддержка RHEL 6.5, Firefox 30 ESR, IE 10 и IE 11.
  • Поддерживается работа через мобильные устройства.

ESM 6.8с

  • Реализована отказоустойчивость (High Availability) в режиме Active-Passive.
  • Увеличена скорость поиска и обработки запросов до 1000 раз по сравнению с предыдущей версией.
  • Улучшена работа корреляционных правил.
  • Добавлен контент для отчетности (новые отчеты и панели).
  • Поддерживаются хранилища до 12 TB.
  • Используется Java 7
  • Может быть развернут на RHEL 6.4, 6.5 и CentOS 6.5

Такие изменения позволяют компании НР удерживать лидирующие позиции среди производителей SIEM-систем. Для практического ознакомления с изменениями в продуктах HP ArcSight компания «СВIТ IТ» провела двухдневный обзорный тренинг для инженеров крупнейших компаний Украины, а в ближайшее время запланирована серия вебкастов по модулям ESM. Следите за анонсами на сайте компании и в рассылке. «Наши инженеры всегда готовы оказать квалифицированную помощь в переходе на новые версии продуктов и помочь внедрить такие актуальные модули, как IdentityView и Reputation Security Monitor» – отмечает директор компании «СВIТ IТ» Ковалев Игорь Геннадиевич. 

1 Внутренние данные HP, Forrester Research, Ponemon Institute, Coleman Parkes Research, focusonpci.com/site/index.php/PCI-101/pci-noncompliant-consequences.html,  Tom Pisello, blog.alinean.com/2013/09/more-stakeholders-and-business.html

Материалы по теме:

Комментарии: