Применение средств мониторинга событий ИБ в качестве инструмента для эффективной защиты от Интернет-угроз Виктор Сердюк, CISSP, Генеральный директор ЗАО «ДиалогНаука»

Современные проблемы информационной безопасности Слишком много устройств, слишком много данных… Ответные действия на угрозы безопасности должны быть предприняты немедленно! Большое количество разнородных устройств безопасности –90% используют межсетевые экраны и антивирусы –40% используют системы обнаружения вторжений (IDS) –количество сетевых устройств растет –больше оборудования означает большую сложность Очень много событий по безопасности ! –один межсетевой экран может генерировать за день более 1 Гигабайта данных в Log-файле –один сенсор IDS за день может выдавать до 50 тыс. сообщений, до 95% ложных тревог! –сопоставить сигналы безопасности от разных систем безопасности практически невозможно

Принцип работы SIEM Тысячи сообщений Десятки сообщений Миллион сообщений Антивирусная подсистема Маршрутизаторы, коммутаторы Межсетевые экраны Системы обнаружения вторжений Серверы, операционные системы Системы аутентификации Приоре- тизация Корреляция Фильтрация Нормализация Агрегирование

Архитектура системы мониторинга 4

Важность SIEM систем 5 SIEM создаёт централизованную точку контроля информационной безопасности Сетевые устройства Серверы Мобильные устройства Рабочие станции Системы безопас- ности Физический доступ Приложе- ния Базы данных Учётные записи

Награды Данные в отчетахО компании О компании ArcSight Основана в мае сотрудников 600+ прямых клиентов 850+ клиентов партнеров NASDAQ: ARST Лидер в последних двух отчетах Лидер по доле рынка Лидирующие позиции за последние 5 лет

Место продуктов ArcSight в отчете MQ SIEM 2009 от Gartner

Доля рынка компании ArcSight

ArcSight ESM Архитектура Интегрированная платформа для сборки, обработки и оценки информации о событиях информационной безопасности. Правила Оповещения Отчёты Визуализация ArcSight НастраиваемыеДополнительные Реагирование КорреляцияЖурналирование Connectors Уровень ядра Модульный уровень Уровень интеграции Правила Оповещения Отчёты Визуализация Правила Оповещения Отчёты Визуализация

ArcSight ESM Архитектура База данных ArcSight Manager TM Сервер обработки событий безопасности SmartConnector FlexConnector Средства получения информации Хранилище данных ArcSight Web TM Web-консоль управления ArcSight Console TM Консоль администрирования

Уровень интеграции Собирают журналы в оригинальных форматах более чем с 275+ систем Приводят события к единому формату Передают события на Manager по защищённому, отказоустойчивому протоколу FlexConnector Wizard для добавления новых типов источников 11 Стоечные устройства Устройства для филиального офиса Отдельное ПО Доступны в виде: Преимущества: Анализ событий независимо от типа устройства Connectors

Поддерживаемые устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering

Отказоустойчивая архитектура сбора событий ArcSight Monitoring ArcSight Connector События Централизованное управление/обновление Управление загрузкой канала Heartbeat Поток сжатых событий

Достоинства: Нормализация Windows Ошибка входа Oracle Ошибка входа UNIX Ошибка входа HID-карты Вход запрещён OS/390 Ошибка входа

Достоинство: Категоризация Общая модель событий для всех устройств и программ Возможность понять действительную важность событий от различных систем Анализ событий независимо от типа устройства Без категоризацииКатегоризированное событие

Корреляция Анализ в режиме реального времени бизнес-событий Создание базовых шаблонов поведения Гибкая визуализация для разного уровня восприятия Корреляция – миллионы событий инциденты безопасности 16 Доступен в виде: ArcSight ESM Стоечное устройствоОтдельное ПО

Корреляция Интеллектуальная корреляция событий в режиме реального времени для выявления необычных событий в сети Risk Based Prioritization Отсев ложных срабатываний Графический интер- фейс для создания правил Не требует програм- мирования Active Lists Динамические списки Connector Categorization Историческая корреляция Корреляция архивный событий, по запросу или по расписанию Корреляция в оперативной памяти Более 100+ правил реального времени, Мониторинг в реальном времени Статистическая корреляция Создание шаблонов поведения и выявление отклонений

Модель ресурса и модель пользователя Уязвимости Подверженность ресурса атакам Репозиторий ресурсов Критичность ресурса Насколько критичен данный ресурс для бизнеса? Важность ресурса Модель ресурса Роль Соответствует ли активность роли сотрудника? Профиль пользователя С чем обычно работает данный пользователь? Сопоставление Кто стоит за данным IP-адресом? Политики Каково влияние события на бизнес? Модель пользователя Чёткое понимание рисков и последствий Снижение количества ложных срабатываний Концентрация внимания на действительных угрозах и рисках

–Разделение событий по категориям –Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам –Возможности подробного анализа –Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки

Глобальный режим наблюдения отклонений безопасности –Интерфейс реального времени с географическим расположением объектов и представлением отклонений в параметрах безопасности –Отображение событий по подразделениям или устройствам –Выбор между опасностью события или его категорией –Интуитивно понятный инструментальный интерфейс для подготовки табличных и графических отчетов о безопасности или показ карты нарушений безопасности

Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF

Встроенное управление инцидентами Аннотации: Отслеживание и проведение инцидента в системе документооборота Cases: Создание инцидентов для специфических событий Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы Вложения: Дополнительные данные для расследований Оповещение в реальном времени , пейджер или текстовые сообщения SNMP сообщения

Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотирование инцидентов для более полного анализа Интеграция со сторонними система документооборота

Дополнительные пакеты ArcSight Набор правил, отчётов, графических панелей и коннекторов Стандарты: оценка соответствия стандартам и\или законодательству Бизнес: решение наиболее распространённых задач защиты информации Доступны в виде: Дополнительные пакеты ArcSight Предустановленного устройства Отдельного ПО Стандарты: SOX/JSOX PCI IT Gov FISMA Бизнес: IdentityView Fraud Detection Sensitive Data Protection

Основные этапы внедрения системы SIEM Проведение обследования Разработка комплекта нормативных документов Разработка технических и системных решений Поставка оборудования и программного обеспечения Установка и базовая настройка системы Опытная эксплуатация

Обследование Сбор информации об источниках, которые необходимо подключить к системе мониторинга Определение и согласование для каждого источника списка действий и событий, мониторинг которых будет проводиться Определение перечня соответствующих режимов аудита, которые необходимо включить на уровне источника Определение объема событий, поступающих со всех типов источников, подключенных к системе мониторинга

Формирование списка типовых инцидентов ИБ Определение типов основных инцидентов ИБ Определение списка событий, которые ведут к инциденту ИБ Определение источника инцидента ИБ Определение и приоритезация рисков, связанных с инцидентами ИБ

Разработка нормативных документов

Разработка технических и системных решений Разработка архитектуры системы мониторинга (состав и размещение компонентов) с учетом требований по отказоустойчивости и обеспечению надежности Определение функциональных требований к системе мониторинга событий информационной безопасности Разработка общесистемных решений по эксплуатации и управлению системой мониторинга Определение порядка установки и настройки системы мониторинга

Установка и настройка системы мониторинга Установка аппаратной и программной составляющих системы мониторинга Контроль установки режимов аудита на всех источниках, подключаемых к системе мониторинга Настройка системы мониторинга, необходимая для ее эксплуатации (группировка источников событий, настройка параметров архивирования и и резервирования базы событий и др.) Разработка эксплуатационной документации на систему мониторинга (инструкция оператору, администратору и т.д.)

Опытная эксплуатация системы мониторинга Тестирование и проверка функциональных возможностей системы мониторинга Нагрузочные испытания системы мониторинга Отработка регламентов управления инцидентами ИБ Перевод системы в промышленную эксплуатацию по результатам тестирования

Спасибо за внимание! Спасибо за внимание , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)