Актуальность проблемы обеспечения информационной безопасности и надежного функционирования информационных систем сегодня ни у кого не вызывает сомнения. Без мощных средств, гарантирующих информационную безопасность, любое современное предприятие становится беззащитным не только перед внешними воздействиями злоумышленников, но и перед теми явлениями, которые носят случайный, стихийный характер (сбои и отказы оборудования, аварии систем электропитания, пожары, ошибки пользователей, и многое другое). В данном ключе информационная безопасность представляется как многогранная задача, решить которую можно только при комплексном подходе.

Данной статьей мы начинаем цикл материалов, в которых будут подняты вопросы информационной безопасности в современном мире. Поддержку в подготовке материалов нашему журналу оказывает компания IBM, и каждая из статей будет освещать одно из направлений информационной безопасности описанных в архитектуре IBM — IBM Security Framework (рис. 1). Сегодня мы поговорим о таком направление интеллектуальной информационной безопасности и аналитики, как Security Intelligence and Analytics.

В последнее время индустрия информационной безопасности сталкивается с проблемой роста комплексных атак нового поколения, направленных на организации, финансовые учреждения и правительства всего мира с целью индустриального шпионажа, финансового обогащения, подрыва национальной безопасности и саботажа. Традиционные методы безопасности уже не могут противостоять современным кибер-атакам. Для эффективной защиты от угроз нового поколения следует применять современные механизмы контроля в информационной безопасности. Одним из таких новых подходов является Интеллектуальная Информационная Безопасность — Security Intelligence. Слово «интеллект» происходит от латинского глагола «intelligere», что в переводе означает «понимать», «осознавать». Таким образом «интеллект» в контексте информационной безопасности дает нам возможность понимать, различать, осмысливать информацию, связанную с событиями безопасностями, полученными из различных источников. Осмысление и понимание данной информации позволяет нам обнаружить и оценить угрозы и уязвимости (как логические, так и физические). Таким образом, мы можем определить термин Security Intelligence как понимание и обнаружение текущих и потенциальных угроз информационной безопасности.

Основным решением на рынке информационной безопасности в сфере Security Intelligence являются системы SIEM — Security Information and Event Management (Система Управления Информацией и Событиями Безопасности). Главными задачами системы SIEM являются сбор, хранение и агрегация событий безопасности из различных источников IT-инфраструктуры, нормализация и корреляция данных, выявление угроз и нарушений политик безопасности и ведение отчетности.

Одним из лидеров по предоставлению SIEM-решений является компания IBM, предлагающая решение IBM QRadar Security Intelligence Platform. Данная платформа предоставляет возможность корреляционного анализа данных в реальном времени для получения актуальных знаний об угрозах безопасности. Продукт QRadar принадлежал компании Q1Labs, которая была поглощена корпорацией IBM в 2011 году. Примечательно, что топ-менеджмент Q1Labs ныне возглавляет дивизион IBM Security Systems. Компания полностью сохранила людей, олицетворяющих QRadar и определяющих его будущее. Также стоит отметить, что по рейтингу исследовательской и консалтинговой компании Gartner, решение IBM SIEM занимает лидирующую позицию (рис. 2).

Платформа IBM QRadar Security Intelligence

Платформа IBM QRadar Security Intelligence интегрирует в единое унифицированное решение управление сбором информации (SIEM), обработку системных журналов, выявление аномалий, управление конфигурациями систем и устранением их уязвимостей. Используя аналитику (интеллектуальную функциональность), интеграцию и автоматизацию для обеспечения всестороннего рассмотрения условий поддержания безопасного состояния защищаемой информационной системы, данное решение обеспечивает превосходное обнаружение угроз, увеличивает простоту использования и снижает общую стоимость владения (TCO).

Платформа QRadar Security Intelligence Platform обеспечивает преимущества в области безопасности и соответствия регуляторным требованиям, которые становятся бесценными в современном, более интеллектуальном мире, где технически оснащенные, взаимосвязанные и интеллектуальные бизнесы собирают, обрабатывают и хранят больше информации, чем когда бы то ни было ранее. Рассмотрим основные возможности, предоставляемые данной платформой.

Обнаружение угроз, которые в другом случае могли бы оказаться пропущенными:

Сегодня организации подвергаются большему количеству и разновидности атакам, чем когда-либо в прошлом. Современные взломщики стали умнее и терпеливее, об их присутствии сообщают лишь едва уловимые «шорохи». Платформа QRadar Security Intelligence представляет собой интегрированное семейство продуктов, помогающих обнаружить угрозы и защищаться от них путем применения новой аналитики к увеличенному числу типов рассматриваемых данных. Такая методика помогает выявить первоочередные инциденты, которые в другом случае могли бы затеряться в шуме.

Консолидирование хранилища первичных данных:

Несмотря на то, что в регистрационных журналах и системных логах, создаваемых в организации, в ее сетевом потоке и в данных бизнес-процессов, существует огромное количество информации, полезной для обеспечения информационной безопасности, эта информация часто остается в хранилищах и игнорируется, либо используется в недостаточной степени. QRadar сводит представления сети, безопасности и эксплуатации в единое, унифицированное и гибкое решение. Эта платформа разрушает препятствия между отдельными источниками сведений, выполняя коррелирование логов с потоками сети и множеством других данных, и представляя всю релевантную информацию на едином экране. Так обеспечивается отличное обнаружение угроз и более функциональное представление активности предприятия.

Обнаружение внутренних злоупотреблений:

Некоторые самые серьезные угрозы безопасности компании приходят изнутри, но организациям часто недостает аналитики и интеллектуальной функциональности, необходимой для обнаружения внутренних злоумышленников и внешних сторон, поставивших под угрозу учетные записи пользователей. Комбинируя мониторинг пользователей и приложений с наглядным представлением сети на уровне приложений, организации смогут лучше находить важные отклонения от нормальной активности, что поможет остановить атаку до того, как она достигнет цели.

Защита и устранение рисков с помощью управления устранением уязвимостей:

Команды, отвечающие за безопасность, сеть и инфраструктуру, стараются лучше справиться с рисками, выявляя уязвимости и вынося в приоритеты исправление этих уязвимостей, прежде чем произойдет взлом. QRadar Security Intelligence интегрирует в себе управление конфигурациями и устранением уязвимостей и возможности SIEM, включая коррелирование и аналитику сетевого потока, что позволяет получить лучшее понимание о критических уязвимостях. В результате организации могут устранять риски более эффективно и оперативно.

Соблюдение предписания нормативных требований регуляторов в области обеспечения информационной безопасности:

Многие организации бьются над тем, как пройти проверку на соблюдение требований регуляторов, одновременно пытаясь выполнить сбор данных, мониторинг и подготовку отчетов в условиях чрезвычайной ограниченности ресурсов. Чтобы автоматизировать и упростить задачу соответствия регуляторным требованиям, QRadar предлагает функциональность сбора данных, коррелирования и подготовки отчетов для активности, связанной с соблюдением требований регуляторов, подкрепленную многочисленными готовыми шаблонами отчетов.

Компоненты IBM QRadar Security Intelligence Platform

IBM Security QRadar Log Manager. Высокопроизводительная система для сбора, анализа, архивирования и сохранения больших объемов протоколов сетевых событий и событий безопасности.

IBM Security QRadar Network Anomaly Detection. Улучшение систем предотвращения вторжений IBM (IPS) за счет получения большего количества информации о ситуации в сети и ненормальных действиях для лучшего определения угроз безопасности.

IBM Security QRadar QFlow Collector. Сочетание с IBM Security QRadar SIEM и обработчиками потоков обеспечивает отображение приложений (уровень 7 модели OSI) и анализ потоков, чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.

IBM Security QRadar Risk Manager. Программное обеспечение IBM Security QRadar Risk Manager позволяет отслеживать конфигурацию сетевой топологии, коммутаторов, маршрутизаторов и Системы предотвращения вторжений (IPS) в целях минимизации рисков и повышения уровня соответствия нормативным требованиям.

IBM Security QRadar SIEM. Регистрация событий с тысяч конечных устройств и приложений, распределенных в сети. Эта система выполняет мгновенную нормализацию и выявляет связь между действиями над необработанными данными, чтобы отличить реальные угрозы от ложных срабатываний.

IBM Security QRadar VFlow Collector. Сочетание с IBM Security QRadar SIEM обеспечивает отображение потоков виртуальных сетей на уровне приложений (уровень 7 модели OSI), чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.

IBM Security QRadar Vulnerability Manager. IBM Security QRadar Vulnerability Manager позволяет прогнозировать уязвимые области защиты сетевых устройств и приложений, расширить контекст, а также обеспечить поддержку расстановки приоритетов среди корректирующих мероприятий и действий по смягчению рисков.

Примеры внедрения решений IBM Security Intelligence

IBM имеет большой опыт по внедрению решений Security Intelligence и внушающее количество заказчиков. Продукты платформы IBM QRadar Security Intelligence позволяют клиентам компании решить комплексные и уникальные задачи по информационной безопасности. Следующие примеры показывают, как некоторые мировые лидеры в различных отраслях индустрии смогли достичь поставленных целей с помощью решения IBM QRadar Security Intelligence.

Военный подрядчик Fortune 500

О заказчике: Организация Fortune 500, занимается оборонными и аэрокосмическими системами. Это компания с более чем 70000 сотрудников по всему миру.

Требования бизнеса: Организации было необходимо защитить свою комплексную и географически распределенную сеть от современных угроз, угрожающих конфиденциальной информации внутри компании. Из-за размера организации и критичности обнаружения угроз в режиме реального времени, этот клиент требует масштабируемость системы мониторинга для большого объема событий и потоков.

Решение QRadar: Для решения этих задач организация развернула решение QRadar SIEM совместно с QRadar QFlow в количестве 40 устройств в 25 офисах по всему миру. Таким образом, QRadar смог обеспечить мониторинг и защиту всех критических сегментов распределенной инфраструктуры компании. Решение QRadar обеспечивает интеллектуальную безопасность в масштабах всего предприятия и позволяет следить за сетевой активностью и выявлять аномалии и угрозы. Сбор и накопление данных протокола NetFlow вместе с захватом контента данных с помощью QFlow дает организации полную видимость и способность коррелировать пользователей, а также данные, место нахождения и необходимую телеметрию, для того чтобы изолировать важную информацию от прочего шумового потока данных. Организация использует QRadar для обработки более 6 млрд. событий в день. Это одна из крупнейших систем SIEM, развернутых в мире. Распределенное решение QRadar обрабатывает 70000 событий в секунду, и может обрабатывать более 100000 событий в секунду во время вспышек повышенного потока событий. Все данные не только записывается на диск, но и полностью коррелируются в соответствии с требованием компании. QRadar SIEM является незаменимым элементом центра операционной безопасности данной организации, обеспечивая полную видимость информационной безопасности и постоянное своевременное оповещение об угрозах.

Энергетическая компания Fortune 5

О заказчике: Энергетическая компания с мировым именем, входящая в рейтинг Fortune 5, в которой работают больше 50000 сотрудников по всему миру.

Требования бизнеса: Данная компания должна удовлетворять регуляторным требованиям и стандартам в различных странах, включая PCI DSS (Payment Card Industry Data Security Standard) и NERC (North American Electric Reliability Corporation). Также защите от угроз безопасности требуется обработка и анализ 2 млрд. событий, приходящих с различных источников каждый день.

Решение QRadar: Данная компания решила все свои регуляторные требования и задачи информационной безопасности, развернув решение QRadar SIEM совместно с QRadar QFlow в количестве 30 глобально распределенных устройств. Сопоставляя события, сетевую активность, информацию об активах и данные конфигурации устройств, стало возможным определять от 25 до 50 нарушений информационной безопасности из 2 млрд. ежедневных событий, занимающих в совокупности 40 Тb дискового объема. Решение обслуживает 100 пользователей безопасности, распределенных по четырем группам, защищая 10000 сетевых устройств, 10000 серверов и 80000 конечных точек пользователей. Основные технологии, защищенные QRadar SIEM, включают в себя продукты Oracle, SAP, Cisco и Juniper. Компания также использует решение QRadar для контроля 6 млн. карточных операций в день для соблюдения требований PCI DSS.

Торговая компания Fortune 200

О заказчике: Крупная торговая компания, входящая в рейтинг Fortune 200, с количеством сотрудников, превышающим 100000 человек.

Требования бизнеса: Компании требовалось в кратчайший срок заменить конкурирующее решение SIEM, которое не смогло справиться с поставленными задачами, для удовлетворения всех регуляторных требований и прохождения предстоящего аудита PCI DSS. Также задачей компании было выявление всех угроз информационной безопасности в ее распределенной сети магазинов.

Решение QRadar: Компания в кратчайший срок внедрила решение IBM QRadar и успешно прошла аудит PCI DSS, состоявшийся через 90 дней после начала внедрения решения. Было развернуто решение QRadar SIEM вместе с QRadar QFlow и QRadar VFlow в количестве 15 устройств, которые собирали и коррелировали события с 45000 аппаратов в пунктах продажи и 6000 корпоративных IT-активов. Данное распределенное решение обрабатывает более 1 млрд. событий в день и в результате выявляет до 30 нарушений информационной безопасности. QRadar было единственным решением, которое полностью удовлетворило потребности организации.

Почему IBM?

В распоряжении IBM находится одна из самых больших в мире организаций, занимающихся исследованиями, разработкой и предоставлением решений в области безопасности. Она состоит из 10 операционных центров защиты, 9 исследовательских центров IBM Research, 11 лабораторий разработки ПО для обеспечения безопасности и Института передовой безопасности (Institute for Advanced Security) с отделениями в США, Европе и Юго-Восточной Азии. Решения IBM позволяют организациям уменьшить уязвимости в своей системе информационной безопасности и бросить основные силы на обеспечение успеха стратегических инициатив. Такие продукты создаются на основании опыта исследований угроз, накопленного группой IBM X-Force по исследованию и разработке, что гарантирует предупредительный подход к безопасности. Компания IBM, доверенный партнер в области безопасности, предоставляет решения, позволяющие обеспечить защиту всей инфраструктуры предприятия, включая облако, от самых современных рисков в области безопасности.

Для получения дополнительных сведений о решениях IBM, описанных в данной статье, обратитесь к представителю или бизнес-партнеру IBM в нашей стране, либо посетите web-сайт: www.ibm.com/security.