Алексей Сова Информзащита Системы сбора и обработки событий информационной безопасности

Статистика Ernst&Young

Статистика от Verizon Предварительный сбор информации злоумышленниками Обнаружение злоумышленником возможности для совершения запланированных действий Обнаружение действий злоумышленника Пресечение действий злоумышленника

Показательный пример в результате внешнего вторжения хакерам в течение 1,5 лет удавалось воровать данные из центральной базы данных TJX скомпрометированы данные более 45 миллионов клиентов: -45,7 млн. записей о платежных картах покупателей -данные о 455 тыс. водительских прав людей, вернувших покупки без чека убытки от ликвидации последствий утечки – $150 млн. (без учета налогов). По оценкам Forrester долгосрочные потери корпорации могут составить порядка $1 млрд.

В чем же проблема? Степень ущерба и время восстановления напрямую зависят от скорости с которой организация выявит, проанализирует и среагирует на инцидент… Даже лучшая инфраструктура безопасности не может гарантировать того, что инцидент безопасности не произойдет Критичным для организации является наличие эффективных способов ответной реакции при возникновении инцидента ИБ

В чем же проблема? к возрастающему числу угроз к возрастающему числу угроз Уязвимость … понимания происходящего в сети понимания происходящего в сети Невозможность … доступности сервисов Риск … Сотни миллионов событий в день Anti Virus Databases Applications Anti-Virus Server and Desktop OS Network Equipment Vulnerability Assessment Intrusion Detection Systems Firewalls Firewalls/ VPN Sign-On Identity Management Directory Services User Attributes Physical Infrastructure Business Processes Mainframes

Ищем решение

Системы класса SIEM ArcSight ESM обеспечивает централизованный сбор, обработку и визуализацию происходящего в сети Network Devices Servers Mobile Desktop Security Devices Physical Access AppsDatabases Identity Sources

Взаимодействие Корреляция Преимущества Масштабируемость Системы класса SIEM

Сбор и обработка событий с любых источников 275+ продуктов, 50+ категориях, 80+ партнеров Единый формат данных Единый формат данных Взаимодействие

От миллионов событий к единицам, которые действительно важны Кто : идентификация Где : место в системе оценка : Что время : Когда Корреляция Как Корреляция

Масштабируемость Управление событиями ИБ в режиме реального времени

ArcSight Manager TM Анализ и корреляция SmartConnector FlexConnector Сбор данных Консоль управления Web- интерфейс ArcSight Console TM ArcSight Web TM Database Архитектура системы

Архитектура системы. Коннекторы Основные функции: Сбор данных Нормализация Категоризация Фильтрация Агрегация События SSL Централизованные обновления Кэш ArcSight Connector События Фильтрация Агрегация ArcSight Manager

Основные функции: Приоритезация Корреляция Мониторинг и Расследования Оповещения Отчетность Архитектура системы. Manager

Основные факторы приоритезации: Важность события История событий (System Active Lists) Критичность актива (Very High, High, Medium, Low, Very Low) Manager: Приоритезация

Корреляция в режиме реального времени –>100 установленных правил корреляции Статистическая корреляция Историческая корреляция Корреляция основанная на данных об уязвимостях Корреляция основанная на данных о пользователе и его роли Графический редактор для создания правил (без использования программирования) Manager: Корреляция

Active Channels для интерактивных расследований Manager: Мониторинг и расследование Статистический обзор Гисторграмма Табличный вид Возможности глубокой детализации (drill down)

Dashboards – наглядно и информативно Manager: Dashboards Графический и табличный вид –169 графических блоков –41 шаблон dashboards Возможности глубокой детализации (drill down)

Оповещения в режиме реального времени – , SMS –Оповещения в формате SNMP Возможность интеграции с Service Desk Manager: Оповещения

400 стандартных шаблонов отчетов Отчетность касающаяся активов Отчетность касающаяся событий Отчетность касающаяся соответствия требованиям стандартов (SOX, PCI DSS, ISO 17799) Графический пользовательский интерфейс Гибкая схема создания отчета Без использования программирования Manager: Отчетность

Централизованный сбор, хранение и обработка событий ИБ Автоматический анализ основанный на правилах корреляции Мониторинг в режиме реального времени (до 24*7) Использование средств визуализации и детализации инцидента Снижение времени расследования и реагирования на инциденты Снижение рисков информационной безопасности и повышение устойчивости бизнес-процессов за счет своевременного обнаружения и обработки инцидентов информационной безопасности Результаты внедрения

5 сертифицированных специалистов (ArcSight Certified Security Analyst, ArcSight Certified Integrator/Administrator) Проекты –Банк из TOP50 РФ (Проект завершен, запланировано развитие) –Банк из TOP50 РФ (Завершена первая стадия проекта, запланировано развитие) –Один из крупнейших Белорусских банков (Проект завершен) –Крупная финансовая корпорация РФ (Проект завершен) –Крупная государственная компания РФ (Проект начат, запланировано развитие) –Одна из крупнейших телекоммуникационных компаний СНГ (Начато полномасштабное внедрение) В настоящее время проходит несколько тестовых внедрений в банках и государственных организациях Опыт компании ИНФОРМЗАЩИТА

(495) Алексей Сова ВОПРОСЫ ?