Защита На Всех Этапах Кибератак

Решения HPE позволяют построить комплексную систему защиты от кибератак, в том числе осуществляемых с использованием принципиально новых методов проникновения в корпоративные системы.

Кибератаки становятся все более распространенными и изощренными.

Одной из ключевых причин массового масштаба кибератак является их доступность.

Например, в исследовательском отчете, опубликованном в октябре 2015 г.

«Исследование стоимости киберпреступности 2015 года: глобальное» , проведенного Институтом Ponemon при спонсорской поддержке HPE, средняя стоимость одного киберпреступления в России оценивается всего в 100-150 рублей, в долларовом выражении она снизилась с $3,33 в 2014 году до $2,37 в 2015 году.

Одна из основных проблем недостаточной эффективности защиты от кибератак заключается в том, что в большинстве случаев защита от атак строится фрагментарно, и не все риски адекватно учитываются.

Опыт показывает, что около 80% бюджетов, выделяемых на закупку оборудования информационной безопасности, тратится на приобретение и внедрение средств профилактики для защиты от сетевых вторжений.

Для этого устанавливаются межсетевые экраны, системы IPS и различные шлюзовые решения.

Защита от действий злоумышленников после проникновения составляет оставшиеся 20% средств, потраченных на средства информационной безопасности (ИБ).

Ключевая задача службы информационной безопасности – обеспечить целостную, комплексную, единую защиту от нападения на всех его этапах, не допуская сбоев в защите.

Hewlett Packard Enterprise предлагает проверенные на международном уровне решения, позволяющие построить многоуровневую защиту от кибератак и очень эффективно минимизировать наносимый ими ущерб.

Помимо чрезвычайно эффективных продуктов, у HPE также есть методологии защиты от хакерских атак.

Исходя из них, создание комплексной защиты информационных систем пользователей — ключевая задача для партнеров HPE. Портфель решений HPE построен на этапах атаки злоумышленника.

Первый этап — сбор информации о жертве: какие IP-адреса используются в организации, какие сервисы размещены, какие меры безопасности используются и т. д. Второй этап атаки — проникновение, которое может быть осуществлено либо с помощью только технологическими средствами или с использованием методов социальной инженерии, таких как обзвон пользователей или отправка им фишинговых сообщений.

Третий этап атаки: злоумышленник проник в сеть организации и ищет данные (например, бухгалтерские или клиентские базы данных), которые он мог бы использовать в своих интересах, для этого он пытается проникнуть в отдельные защищенные сегменты сети.

Четвертый этап: злоумышленник проник в защищенный сегмент, установил вредоносное ПО на компьютеры или сетевые устройства и пытается получить нужные ему данные (кстати, если они зашифрованы — а у HPE есть для этого соответствующие инструменты — то получить их возможно).

далеко не так просто).

Последний, пятый этап — отправка данных на удаленные компьютеры, подконтрольные хакеру, с целью их дальнейшего использования (например, продажи конкурентам или обнародования с целью подорвать репутацию жертвы).

В HPE есть подразделение исследований безопасности, которое анализирует угрозы и тенденции информационной безопасности.

Ежегодно HPE Security Research выпускает отчеты по информационной безопасности, в которых освещаются самые актуальные и ключевые тенденции в четырех областях:

• мониторинг и реагирование на инциденты (включая анализ поведения пользователей);
• анализ исходных кодов программного обеспечения;
• сетевая безопасность;
• шифрование.

Всего в портфеле HPE около четырех десятков продуктов информационной безопасности.

Семейство решений HPE ArcSight содержит технологии, которые решают следующие задачи:

• сбор, консолидация и корреляция событий о возникающих инцидентах ИБ – HPE ArcSight Enterprise Security Manager/Express/Logger;
• интеграция с более чем 350 источниками событий, а также удобный SDK для подключения любых других систем — HPE ArcSight Smart/FlexConnectors;
• расследование и своевременная идентификация угроз с использованием большого количества стандартных правил корреляции и пакетов Compliance Insight Packages;
• поведенческий анализ любых типов событий — HPE ArcSight ThreatDetector, анализ поведения пользователей — HPE ArcSight User Behavior Analytics для мониторинга активности внутренних нарушителей;
• подписка на оповещения о текущих угрозах информационной безопасности для противодействия вторжению в корпоративные сети и обнаружения утечек конфиденциальных данных — HPE ArcSight Reputation Security Monitor;
• централизованное управление развернутой инфраструктурой HPE ArcSight – HPE ArcSight Management Center;
• борьба с нехваткой человеческих и временных ресурсов при расследовании инцидентов — HPE ArcSight Risk Insight.

В России он используется с 2007 года.

Пользователями ArcSight являются около половины из сотни крупнейших российских банков, почти все крупные телекоммуникационные компании и около 15 из двух десятков ведущих центров мониторинга событий ИБ и управления инцидентами (Security Operation Center, SOC).

ArcSight также используется во многих российских ситуационных центрах.

В нашей стране более 200 сертифицированных специалистов ArcSight (несертифицированных, наверное, в десятки раз больше).

Кроме того, существует сертифицированный учебный центр и экосистема партнеров HPE, внедряющих ArcSight. Например, компания Solar Security использует продукты семейства ArcSight для предоставления услуг информационной безопасности своим клиентам.

Еще одной важной причиной популярности этого семейства технологий информационной безопасности является то, что, работая с ArcSight, специалисты в области ИТ и информационной безопасности смогут значительно повысить свой профессиональный уровень, поскольку продукты семейства ArcSight вобрали в себя опыт огромного количества организаций-заказчиков и их экспертного опыта.

Помимо ArcSight, Hewlett Packard Enterprise Security предлагает рынку мощное семейство решений для комплексной защиты приложений на этапе разработки исходного кода, их статического анализа, а также для динамического анализа целостности систем защиты уже скомпилированных приложений.

(HPE Fortify), а также набор инструментов предотвращения вторжений (Intrusion Prevention System, IPS) и защиты от сетевых угроз — HPE TippingPoint, а также различные инструменты шифрования.

В этой статье мы остановимся на трех продуктах семейства ArcSight — Enterprise Security Manager (ESM), DNS Malware Analytics (DMA) и User Behavior Analytics (UBA).

Менеджер по безопасности HPE ArcSight Enterprise

Например, его можно использовать для мониторинга финансовых транзакций в банковских системах, бизнес-сценариев в ERP-системах, интеграции в единую консоль управления предприятием и т. д. ArcSight ESM часто используется в задачах, связанных с управлением рисками, в том числе с обеспечением соблюдения нормативных требований.

Однако чаще всего ESM используется в системах, направленных на выявление и отражение хакерских атак, а также предотвращение их последствий.

Случаев сбоев из-за таких злонамеренных действий немало.

Многие из них можно было бы предотвратить или остановить до того, как будет нанесен значительный ущерб, во-первых, проверив установленное программное обеспечение на наличие вредоносных кодов и/или уязвимостей и, во-вторых, постоянно отслеживая поведение программных продуктов в информационных системах.

Не секрет, что между проникновением хакера в систему и началом серьезных вредоносных действий может пройти значительный период времени.

Так, по данным Института Ponemon (см.

рис.

3), от проникновения до прекращения действия вредоносных кодов в среднем проходит около полутора месяцев, а от начала активности вредоносных инсайдеров до ее прекращения — около двух месяцев.

подавление.

За это время вполне можно отследить отклонения в поведении программы с помощью ESM и уведомить системного администратора.

ESM обеспечивает не только сбор событий ИБ, но и многие другие виды обработки, включая анализ корреляций этих событий.

ESM также можно рассматривать как платформу для автоматизации задач безопасности, причем не только информационной, но и физической: ESM можно использовать для мониторинга ИТ-событий, не связанных напрямую с информационной безопасностью, а также для сбора информации о традиционных угрозах и инструментах противодействия им.

Ничто не мешает, например, контролировать параметры KPI ИБ — соответствующая логика может быть встроена в продукт. При сборе информации с антивирусных систем не имеет значения, сколько их типов развернуто на предприятии.

Ничто не мешает вам отслеживать ситуацию в гетерогенной среде антивирусных инструментов, при этом показатели KPI будут оцениваться единообразно, что позволит анализировать в разрезе выбранных KPI не только текущую ситуацию, но и ту, которая имела место, например, год-два назад — это может быть полезно для анализа динамики KPI и выявления тенденций.

Кроме того, ESM можно использовать для защиты от мошенничества путем анализа информации из бизнес-приложений, таких как ERP-системы.

Если логику обнаружения удастся формализовать, то в этом случае ее наверняка можно будет внедрить в ESM. ESM может использовать платформу баз данных HPE Vertica для хранения и обработки очень больших объемов данных, что значительно ускоряет выполнение поисковых запросов, сформулированных аналитиками безопасности.

Интеграцию ArcSight и Vertica можно использовать не только для мониторинга событий информационной безопасности, но и, например, для отслеживания событий в бизнес-процессах, хранящих данные в Vertica, в частности, для предотвращения мошеннических действий.

Имеется специальный разъем для системной интеграции.

Аналитика вредоносного ПО HPE ArcSight DNS

Он быстро и точно идентифицирует зараженные вредоносным ПО серверы, сетевые и пользовательские устройства, включая рабочие станции и мобильные устройства, путем анализа DNS-трафика для выявления в реальном времени неверных пакетов, перемещающихся между серверами, сетевым оборудованием и устройствами, подключенными к сети.

Это дает предприятиям возможность быстро защититься от новых, ранее неизвестных угроз, что важно, поскольку они представляют наибольший риск для бизнес-приложений, систем и данных.

Используя DMA, пользователи могут выявлять угрозы, не обременяя SIEM-системы дополнительной работой по анализу огромных объемов данных из системных журналов DNS. В основе DMA лежит идея, которая, как кажется на первый взгляд, лежит на поверхности — ее высказал один из экспертов по информационной безопасности HP Labs: практически все атаки на компьютерные сети так или иначе используют DNS (в частности, для обеспечения подключения, передачи команд или туннелирования данных, передаваемых злоумышленниками), а если научить компьютерную систему распознавать DNS-запросы, она сможет идентифицировать те, которые могут быть связаны с хакерскими атаками.

Экспериментальный образец такой системы был создан в HP Labs и развернут в HP SOC — центре управления инцидентами ИБ, расположенном в Калифорнии, который собирает и анализирует информацию о событиях ИБ с устройств 365 тысяч сотрудников HP и HPE. В процессе тестирования, продолжавшегося более года, система прошла обучение и после достижения необходимого уровня зрелости была выпущена на рынок как самостоятельный продукт – DMA. Шаблоны и базы для анализа поступают к нему от HPE. Заказчик продукта получает веб-интерфейс, который отображает визуализированную картину сетевой активности и выделяет компоненты с подозрительной активностью.

По сути, он реализует концепцию «красной кнопки», которая позволяет обнаруживать хакерские атаки практически без каких-либо усилий со стороны пользователя — они обязаны отражать и останавливать атаки, но не отслеживать их начало.

Очень важным свойством является масштабируемость продукта.

HPE SOC ежедневно обрабатывает около 20 миллиардов DNS-запросов — трафик, сопоставимый с трафиком крупных телекоммуникационных компаний, что указывает на необычайно высокую масштабируемость.

Аналитика поведения пользователей HPE ArcSight

При обнаружении признаков инцидента инициируется оповещение или уведомление дежурному администратору, после чего начинается обработка инцидента – вручную или автоматически.

Такой подход (от частного к общему) не всегда может быть применен, особенно в тех случаях, когда заранее выявить признаки вредоносной активности не представляется возможным.

Подход HPE ArcSight UBA работает в противоположном направлении: учетные записи пользователей и события аудита используются для построения профилей пользователей, содержащих закономерности их типичного поведения, а затем мониторинг событий выявляет нетипичное поведение пользователей при работе с приложениями и данными.

Выпущенный в апреле 2015 года продукт UBA позволяет анализировать любые события, связанные с активностью пользователей: доступ к базам данных, файловым каталогам, работа со съемными носителями, операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными), и т. д. Кроме того, UBA на основе готовых математических моделей профилирования активности на основе полученных событий позволяет группировать схожие события (анализ одноранговых групп), выявлять аномалии (обнаружение аномалий), определять стандартные профили пользователей (базовое профилирование) , и определение частоты событий (редкости событий) ).

Применяя результаты математических моделей к проблемам информационной безопасности, UBA позволяет выявлять инсайдеров, отслеживать привилегированных пользователей, обнаруживать необычную активность в корпоративных системах (в том числе в «спящих аккаунтах», выявлять доступ к картам VIP-клиентов и т. д.).

Важно отметить, что UBA позволяет обогащать события безопасности информацией о пользователе, его рабочей среде, должностных обязанностях и других атрибутах.

Даже если событие содержит только IP-адрес, UBA можно использовать для определения реального имени пользователя, связанного с событием.

Таким образом, с помощью UBA можно создать «универсальную» карточку пользователя, которая будет автоматически поддерживать все его текущие атрибуты (даты приема и увольнения, должность, подразделение, регион и т.д.) и учетные записи в корпоративных системах.

На основе этой информации можно выявить различные инциденты информационной безопасности, например обнаружить активность одного из своих пользователей, заметно отличающуюся от активности его коллег.

Например, кассир банка открывает документы в среднем для 20 клиентов в день.

Однако один из кассиров вскрыл документы 200 клиентов.

Такое нетипичное поведение пользователей — хороший повод задуматься, что же происходит? Почему именно этому оператору понадобилось в 10 раз больше документов, чем другим? Может, начальник дал ему какую-то нетипичную работу? Или этому оператору дали нагрузку больного начальника? Или, готовясь к увольнению, оператор начал копировать информацию о клиентах банка на свой носитель (или фотографировать на телефон)? Окончательный вывод можно сделать, проведя внутреннее расследование.

Другой пример: объем транзакций, осуществленных по одному из продуктов банка или оператора связи, превышает обычно наблюдаемые значения для расчетных временных интервалов (час дня, день недели, день месяца, месяц, выходные и т. д.) — это повод задуматься, стоит ли за этой деятельностью что-то хакерское или инсайдерское мошенник.

В обоих случаях важно то, что с помощью UBA можно выявить нетипичное поведение пользователя и затем изучить, что за ним стоит. Конечно, инструменты мониторинга, с помощью которых можно было бы отслеживать поведение пользователей и программ и, оценивая динамику, выявлять нетипичное поведение некоторых из них, были возможны и раньше.

Преимущество UBA в том, что с помощью этого инструмента сделать это намного проще.

Например, при попытке реализовать функции анализа поведения пользователей в традиционных SIEM-инструментах мне пришлось изучить множество регламентов и должностных инструкций, но они часто не давали полной и достоверной картины поведения пользователей, так как, во-первых, это делают сотрудники.

не везде строго придерживаться должностных инструкций, а - во-вторых, регламенты, как правило, не очень глубоко детализированы, и в регламенте обычно невозможно увидеть расстановку приоритетов и акцентов (в частности, невозможно определить как должна выглядеть основная деятельность сотрудника в организации с точки зрения информационных систем, с которыми он работает).

С помощью UBA можно строить профили поведения пользователей, классифицируя их по должностям и группам должностных функций, включать в список контролируемых параметров любые события, связанные с поведением пользователей и отражаемые в информационных системах компании, а затем отслеживать отклонения от типового поведения.

Важно то, что таким образом можно контролировать не только внутренних пользователей, но и внешних — например, быстро пресечь взлом систем дистанционного банковского обслуживания или незаконные подключения к счетам клиентов телекоммуникационных компаний.

Однако, как правило, наибольшие убытки связаны с действиями злонамеренных инсайдеров, и чем выше положение инсайдера, тем больший ущерб он может причинить своими действиями.

Сейчас HPE совместно с разработчиками ведущих ERP, CRM, SCM-систем разрабатывает системы защиты от инсайдеров, снижая риски злоупотребления ими служебным положением, коррупции, мошенничества, экономического шпионажа и т. д. Кроме того, HPE охотно делится со своими использует свой опыт в построении систем защиты от инсайдеров в организациях самых разных отраслей и секторов.

* * *

Самое главное, они помогают предотвратить ущерб от ранее неизвестных угроз и рисков, оперативно выявляя подозрительную активность и помогая найти бреши в ИТ-системах.

Все эти продукты появились в ответ на новые вызовы, возникшие в последнее время в сфере информационной безопасности, помогая клиентам HPE обеспечить бесперебойную и безопасную работу своего бизнеса.

Виды атак выявлены в 252 компаниях:



Источник: Институт Понемон, «Исследование стоимости киберпреступности 2015 г.

: глобальный», октябрь 2015 г.

Средняя стоимость ущерба, причиненного в течение года в результате кибератак:



Источник: Институт Понемон, «Исследование стоимости киберпреступности 2015 г.

: глобальный», октябрь 2015 г.

Средняя продолжительность приступов до их купирования (в днях):



Источник: Институт Понемон, «Исследование стоимости киберпреступности 2015 г.

: глобальный», октябрь 2015 г.

Теги: #информационная безопасность #безопасность #hpe #HPE ArcSight

• Стоит Ли Посещать Мастерскую По Ремонту Сотовых Телефонов Или Ремонтировать Телефон Самостоятельно?

  19 Oct, 24

• Управление Электронной Почтой Играет Важную Роль В Вашем Бизнесе, Справляйтесь С Этим Эффективно

  19 Oct, 24

• Пляж

  19 Oct, 24

• Нексус 7 В Качестве Навигатора В -32. Минитест

  19 Oct, 24

• Jquery-Ui Внутри Двоичного Файла

  19 Oct, 24

• Wall Street Journal Прогнозирует Инновации В Ipad 2

  19 Oct, 24

• Объемы Интернет-Рекламы В 2006 Году Продолжают Расти

  19 Oct, 24

• Программа Bryansk Web Day 2011

  19 Oct, 24

• Обзор Комплектов Приложений Java

  19 Oct, 24

• Социальная Сеть: Поиск Предмета Исследования

  19 Oct, 24