Кин Наблюдатель

ИТ-инфраструктура современных предприятий с каждым днем становится все сложнее.

Многие системы генерируют огромное количество информации, которую необходимо обрабатывать и анализировать, в том числе на предмет реальных и потенциальных угроз безопасности.

Можно нанять десяток-другой администраторов, но гораздо дешевле и эффективнее установить SIEM-систему, которая сможет собирать данные из множества источников, анализировать их и сообщать о возможных рисках и уязвимостях в корпоративной ИТ-инфраструктуре.

Это также помогает предотвратить киберпреступления, связанные с мошенничеством, кражей информации и другими инцидентами.

По данным аналитического агентства Gartner, ArcSight от Hewlett Packard Enterprise уже несколько лет является одним из безоговорочных лидеров мирового рынка SIEM-решений.

Этот продукт, изначально разработанный для нужд правоохранительных органов США, позже был одобрен для использования коммерческими предприятиями.

Компания ArcSight была основана в 2000 году, а в 2010 году ее приобрела компания HP, которая занимается разработкой решения ArcSight, продвигая его на рынках США, Европы и других стран.

В России она появилась еще в 2007 году.

С тех пор по внедрению системы было реализовано около 400 проектов, для которых ФНСЭК недавно предоставила сертификат НДВ 4, гарантирующий отсутствие недекларированных возможностей.

Это означает, что ArcSight теперь можно использовать в проектах по защите персональных данных и защите АИС, не содержащих государственной тайны.

Возможности HPE ArcSight в части сбора, анализа и визуализации событий в сфере информационной безопасности хорошо известны российским организациям; Кроме того, вокруг данного решения уже давно сформировалась широкая партнерская сеть системных интеграторов, успешно реализующих проекты внедрения ArcSight. Hewlett Packard Enterprise, преемник HP, продолжает развивать ArcSight, совершенствуя существующие компоненты и разрабатывая новые.

Одна из новых функций, ArcSight User Behavior Analytics, обнаруживает аномалии на основе анализа поведения пользователей и дополняет традиционную корреляцию, которая является основной функцией ArcSight. Традиционный механизм корреляции работает на основе правил, фиксирующих аномальные действия пользователя.

При обнаружении инцидента он либо уведомляет администратора ИБ, либо автоматически выполняет заданную операцию: запускает скрипт, блокирует пользователя и т. д. Помимо этого, поведенческий механизм User Behavior Analytics сообщает об инцидентах, закономерность и симптомы которых еще не известны администраторам.

При разработке User Behavior Analytics использовался принцип самообучения на основе ежедневных действий пользователей.

В дальнейшем активность, не укладывающаяся в профиль нормального поведения, фиксируется как подозрительная в соответствии с рассчитанным уровнем риска.

Примером такого поведения является изменение привычных действий пользователя, который, отправив в обычные дни не более десятка писем, вдруг отправил 100 или 1000 сообщений.

Для каждого пользователя User Behavior Analytics автоматически формирует индивидуальный поведенческий профиль, и при выходе за его пределы система отправляет соответствующий сигнал.

Такой подход упрощает работу администраторов ИБ, позволяя им реагировать только на важные инциденты и события.

Еще одно новое решение на платформе HPE ArcSight — DNS Malware Analytics. Он анализирует DNS-трафик и обеспечивает полную прозрачность вашей ИТ-инфраструктуры, помогая выявлять уязвимости сети до того, как ими воспользуются злоумышленники.

Идея анализа DNS-трафика для обнаружения вредоносной активности зародилась в исследовательском подразделении HP Labs четыре года назад, и последние полтора года созданное его специалистами решение тестировалось в HP, выискивая зараженные машины, которые под контролем злоумышленников.

Сложная гетерогенная сеть и огромное количество сотрудников — вот в каких сложных условиях проходило полевое тестирование HPE ArcSight DNS Malware Analytics. Сегодня это решение доступно и российским заказчикам.

Принцип его работы следующий: зараженная машина пытается скачать или передать что-то за пределы корпоративной сети; эти действия вызывают негативные профили поведения, а администраторы информационной безопасности уведомляются о происходящем, включая тип вредоносной троянской программы, заражающей конкретный компьютер.

Поскольку система анализирует только DNS-трафик, она легко интегрируется с любой сетью и нет необходимости приобретать дорогостоящее сетевое оборудование.

Как правило, традиционные меры безопасности защищают периметр сети (DMZ), однако не весь зараженный трафик выходит за ее пределы, ведь работающий на своем ноутбуке сотрудник может находиться где угодно (дома, в аэропорту, в кафе и т. д.) .

Анализ DNS-трафика позволяет выявить и защитить корпоративную сеть от такого рода зараженных устройств.

Наконец, DNS-трафик проще агрегировать: достаточно настроить инфраструктуру таким образом, чтобы копия трафика концентрировалась в определенном месте.

HPE гарантирует, что сигнатуры, указывающие на заражение DNS-трафика, работают правильно и обновляются.

Разработчики HPE ArcSight отслеживают последние тенденции рынка и изменения предпочтений клиентов.

Ежегодно в США проводятся всемирные конференции пользователей ArcSight, на которых обсуждаются пожелания по реализации новых возможностей, а также анонсируются новые модули и функции.

С такой же регулярностью подобные пользовательские конференции проводятся и в Москве.

Особый интерес при выборе отчетов представляют проекты, в которых с помощью ArcSight удалось решить сложные или нетривиальные задачи в сфере информационной безопасности.

Помимо рассказа о новых компонентах HPE ArcSight, хотелось бы напомнить о ключевых «китах» решения.

Прежде всего, это Платформа данных безопасности — набор функций, отвечающих за сбор и классификацию событий, а также за их хранение и архивацию.

Продукт, наряду с коннекторами, выполняющими удаленный сбор событий, включает в себя логгер, обеспечивающий хранение событий, регулярный поиск и анализ, а также бесплатный Центр управления, который обновляет коннекторы, выполняет резервное копирование всей инфраструктуры сбора событий и осуществляет мониторинг.

Такие возможности подойдут тем клиентам, которым необходимо получать информацию об инцидентах ИБ не в режиме реального времени, а в виде отчетов за неделю, месяц и т.д. Security Data Platform лицензируется по объему обрабатываемых данных, что То есть, полученные разъемами от клиентских устройств.

Сегодня коннекторы, входящие в состав Security Data Platform, поддерживают в качестве источников событий более 350 различных информационных систем от разных производителей, но с помощью бесплатного SDK клиенты или партнеры могут самостоятельно написать такой коннектор для любой системы.

Модуль SDP является законченным продуктом, поэтому предприятия, которым не нужны дополнительные возможности, приобретают только его.

Другой основной компонент ArcSight, Enterprise Security Manager, отслеживает события информационной безопасности в режиме реального времени.

Этот компонент необходим тем, кому требуется немедленное реагирование на инциденты.

Enterprise Security Manager лицензируется на основе количества событий, обрабатываемых в секунду.

Минимальный порог лицензии — 250 событий в секунду.

Для сравнения достаточно отметить, что Hewlett Packard Enterprise обрабатывает 40-50 тысяч событий в секунду.

Внутри ESM находится модуль «Детектор угроз», который обнаруживает угрозы не по заранее запрограммированным сигнатурам, а путем анализа необычного поведения и повторяющейся активности пользователей или приложений.

Для представителей среднего и малого бизнеса предлагается специальная версия ArcSight ESM Express – также полностью самостоятельный продукт. От «большого» ESM он отличается, пожалуй, только отсутствием ряда функций, таких как, например, поддержка отказоустойчивого кластера.

Наконец, ArcSight Threat Central, онлайн-база знаний об угрозах, позволяет обмениваться информацией о способах их обнаружения и устранения, а портал MarketPlace содержит правила и атрибуты выявленных угроз (пакетов безопасности) и дополнительных приложений.

Разработчики из HPE надеются, что к созданию подобных пакетов безопасности и созданию дополнительных приложений присоединятся и партнеры компании.

Конечно, все проблемы в сфере информационной безопасности, как внешние, так и внутренние, вызваны прежде всего человеческим фактором.

Причем это может быть не какое-то злонамеренное действие, а простая невнимательность и несоблюдение правил и норм.

Зачастую сотрудники отдела информационной безопасности не обращают особого внимания на мелкие инциденты, пока не произойдет чрезвычайная ситуация.

При этом SIEM-решения, такие как HPE ArcSight, с одной стороны, помогают держать ситуацию под контролем, а с другой, оперативно предупреждают о потенциальных проблемах, которые, если оставить их без внимания, могут привести к катастрофическим последствиям.

Теги: #ИТ-инфраструктура #hpe #arcsight #Аналитика поведения пользователей