SIEM как центр системы информационной безопасности
За минувшие несколько лет с банковских карт украинских компаний было украдено 500 млн. грн. Кроме того, совсем недавно была зафиксирована атака на украинский банк, в результате чего со счетов было похищено свыше 20 млн. грн. Как противостоять подобным атакам? Единого решения для построения надежной защиты не существует. Оптимальный выход — в объединении комплексной системы безопасности и одновременном внедрении организационных мер. Не менее важно обучение пользователей, ведь в любой системе защиты самое слабое звено — человек. Хорошо обученный пользователь может стать последним кордоном на пути вредоносной атаки, когда все уровни защиты уже взломаны. Классический пример, который привел в своем докладе Андрей Козленко, менеджер по продажам — один из работников компании получает письмо с вредоносным вложением, однако заподозрив неладное, решает не открывать его, пока письмо не проверят сотрудники отдела ИБ.
Тем не менее, даже опытный пользователь может попасться на уловки социальной инженерии со стороны хакеров. Кроме того, проникновение в корпоративную сеть может быть выполнено скрытно. Так, согласно статистике, среднее время, которое требуется на обнаружение проникновения, составляет 243 дня. Эксперты полагают, что сократить этот период позволяет применение систем SIEM.
Фото 1. Игорь Ковалев, директор СВІТ ІТ и Евгений Нечитайло, НР
Именно поэтому в центре сегодняшней системы информационной безопасности должно находиться решение SIEM — система управления информацией о безопасности и событиях (Security Information and Event Management). SIEM помогает компаниям выявлять и предотвращать кибератаки на ранних стадиях, анализируя данные корпоративной ИТ-инфраструктуры в режиме реального времени для определения потенциальных угроз безопасности.
Лидером на украинском рынке SIEM-продуктов является компания HP с ее решением HP ArcSight. Система позволяет подключить множество различных дополнительных модулей как производства HP, так и сторонних производителей.
Рис. 1. Магический квадрант Гартнера для SIEM-систем, июнь 2014 г.
Рис. 2. Магический квадрант Гартнера для SIEM-систем, июль 2015 г.
Стоит отметить, что компания HP предлагает полный спектр решений в области информационной безопасности. Так, решение HP Fortify нацелено на улучшение и снижение числа уязвимостей в корпоративном ПО. HP ArcSight отвечает за поиск и предотвращение известных и неизвестных угроз. HP TippingPoint осуществляет проактивную защиту от известных атак и атак нулевого дня. HP Atalla обеспечивает защиту данных, криптографических ключей и безопасность платежных транзакций.
Однако именно решение HP ArcSight можно назвать центром системы ИБ. Как отметили выступающие, это решение может быть и сложным, и простым – в зависимости от требований заказчика. Продукт предлагает широкую функциональность в части сбора, консолидации и корреляции событий; обеспечивает расширенные возможности корреляции; ответы на «Что? Где? Когда?», готовые правила, отчеты и графики.
Компания СВІТ ІT предоставляет услуги внедрения, включая базовые консультации и обучение работе с системой, а также обеспечивает постпроектную поддержку и рекомендации по дальнейшему развитию и усовершенствованию.
Обзор продуктов и архитектуры
В рамках конференции выступающие уделили внимание функциональным особенностям каждого из продуктов, входящих в состав решения HP ArcSight. Например, продукт ArcSight Logger, выполняющий сбор любых типов журналов, отличается простым веб-интерфейсом, возможностями поиска, аналогичного Google, макроязыком для написания собственных сценариев выполнения. Кроме того, решение содержит свыше 500 готовых отчетов.
Рис. 3. Структура HP ArcSight
HP ArcSight Express — данное средство SIEM предоставляет необходимую аналитическую информацию и средства для выявления и приоритезации текущих и потенциальных угроз, что позволяет оптимизировать ответные меры и повысить безопасность систем.
Версия HP ArcSight Express 6.9 — кардинально новый продукт. Лицензируется только по количеству событий, без ограничений по пользователям или источникам. Веб-консоль — ArcSight Command Center — выполняет поиск событий (как в Logger и ESM) через веб; полнотекстовый поиск. Продукт базируется на сервере HP DL380 Gen9 (2x12-core CPU, 196 GB, 8х600 ГБ).
Продукт ArcSight ESM предлагает расширенные возможности корреляции, готовые правила, отчеты и графики, защищенное и эффективное хранение данных, а также реагирование в реальном времени. Стандартный набор отчетов содержит следующие наименования: Configuration Monitoring, Network Monitoring, Workflow, NetFlow Monitoring, Intrusion Monitoring, Cisco Monitoring и Microsoft Windows Monitoring.
Рис. 4. Версии продукта HP ArcSight
В версии ArcSight ESM 6.9 число узлов в кластере увеличено до 40, расширены возможности веб-интерфейса, на 50% увеличен объем хранения событий в режиме онлайн, выполняется автоматическая оптимизация правил корреляции и оптимизация эвристических алгоритмов HP ArcSight ThreatDetector. Реализован модуль мониторинга процесса сбора событий, кроме того, добавлены новые функции в движок корреляции событий. Также есть возможность организации Active-Passive High Availability.
Фото 2. Евгений Афонин, НР
Интеграция Threat Intelligence с HP ArcSight
Василий Голодняк, руководитель сектора внедрения компании СВІТ ІТ, рассказал об аналитике угроз Threat Intelligence (TI). Согласно определению, Threat Intelligence – подкрепленные доказательствами знания о существующих или возникающих угрозах для ИТ-активов, которые могут быть использованы при принятии решений о реагировании на угрозы.
Интеграция Threat Intelligence с ArcSight предоставляет службам безопасности дополнительный инструмент для обнаружения угроз на раннем этапе, что позволяет уменьшить ущерб от кибератак, или же вовсе свести его к нулю. Использование TI-сервисов позволяет успешно противостоять APT-угрозам, обнаруживать хосты, зараженные вредоносным программным обеспечением (в том числе и в тех случаях, когда антивирус не сработал), детектировать атаки нулевого дня, а также отслеживать случаи потенциальной компрометации учетных данных сотрудников и клиентов.
В портфеле компании HP существует дополнительный модуль RepSM, который позволяет интегрировать в ArcSight репутационные базы, содержащие более двух миллионов записей о вредоносных IP адресах и DNS-именах (адреса командных центров и участников ботнетов, фишинговые сайты, распространители вредоносного ПО и др.). Кроме того, возможна интеграция ArcSight с TI-решениями сторонних производителей. В этом случае данные сначала конвертируются в Common Event Format, и уже после этого импортируются в ArcSight.
HP TippingPoint IPS — точка опоры в сетевой безопасности
Сергей Придыбайло, менеджер отдела продаж компании СВІТ ІТ, рассказал о решении HP TippingPoint — инструменте сетевой безопасности. HP TippingPoint состоит из следующих модулей: Next-Gen IPS, выполняющий глубокий анализ сетевого трафика на известные уязвимости; Next-Gen Firewall, корпоративный межсетевой экран и IPS нового поколения; Security Management System, централизованное управление FW и IPS, единая консоль для управления оборудованием и политиками безопасности; и Advanced Threat Appliance – устройство, которое защищает от потенциальных атак «нулевого дня» и «горизонтального» распространения, а также, поддерживает проверку более 80 протоколов. Ведущая лаборатория DVLabs выполняет анализ актуальных угроз в день их обнаружения.
Рис. 5. Платформа TippingPoint IPS
Поддержку репутационной базы данных выполняет лаборатория DVLABS. Благодаря использованию репутационной БД обеспечивается предотвращение программных уязвимостей; поддерживается черный список IP-адресов и DNS, а также обеспечивается контроль вредоносных программ при помощи фильтрации.
На рынке присутствует целый ряд IPS-решений HP TippingPoint: от модели 440Т с пропускной способностью 500 Мбит/с до 7500NX с пропускной способностью 20 Гбит/с.
Рис. 6. IPS-решения HP TippingPoint
Как отметил спикер, HP TippingPoint IPS прост в использовании, установке и конфигурировании, и обладает централизованным управлением. Благодаря обновлениям DVLabs, продукт является лидером по количеству выявленных атак нулевого дня. Также необходимо отметить его высокую надежность — время бесперебойной работы NGIPS составляет 99.99999%.
