Актуальные задачи защиты информации и оптимальные подходы к выбору SIEM-решения Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука» Сердюк Виктор Александрович Генеральный директор ЗАО «ДиалогНаука»

О компании «ДиалогНаука» ЗАО «ДиалогНаука» создано 31 января 1992 г. Учредители - СП «Диалог» и ВЦ РАН. До этого два года наш коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН. До 2004 г. – разработка и распространение антивирусов: 1990 – Aidstest («сигнатурный» антивирус), 1991 – ADinf (ревизор дисков), 1992 – Sheriff (модуль защиты системных файлов), 1993 – ADinf Cure Module (универсальный лечащий модуль), 1994 – Doctor Web (побеждал также новые полиморфные вирусы), 1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus). C 2004 года – системная интеграция, консалтинг и дистрибуция в области информационной безопасности.

План Актуальные задачи защиты информации. Системы мониторинга событий информационной безопасности и реагирования на угрозы SIEM. «Ключевые возможности технологий SIEM в 2010 году» – обзор компании Гартнер по сравнению продуктов от 12 значимых участников рынка SIEM. «Волшебные квадранты» для рынка SIEM в гг. – обзоры компании Гартнер по сравнению продуктов от 20 основных игроков рынка SIEM. Этапы проекта по внедрению систем SIEM. Наличие сертификата соответствия ФСТЭК. Выводы.

Подсистемы в составе современных комплексных систем защиты данных Антивирусная защита. Межсетевые экраны. Системы обнаружения и предотвращения вторжений. Криптографическая защита информации в процессе ее хранения и передачи по сети. Управление доступом. Регистрация и учет. Обеспечение целостности. Контроль отсутствия недекларируемых возможностей. Средства тестирования и анализа защищённости. и др.

Тест по обнаружению файлов фальшивых антивирусов (research.zscaler.com; ) Проверки проводились на сайте 16 файлов-образцов фальшивых антивирусов были запущены для обнаружения 43 антивирусными программами этого сайта. 5 лучших результатов: Sophos – 81%, Sunbelt – 75%, GData – 69%, BitDefender – 69%, Nod32 – 63%. Еще 8 антивирусов -- не ниже 50%: AhnLab-V3, AntiVir, F-Secure, Kaspersky, PCTools, Symantec, TrendMicro и TrendMicro-HouseCall. Известные антивирусы AVG и McAfee показали всего 19%. 0% обнаружения показали следующие 7 антивирусов: ClamAV, eSafe, Fortinet, Jiangmin, TheHacker, ViRobot и VirusBuster.

Актуальные проблемы эксплуатации комплексных систем защиты информации Слишком много устройств, слишком много данных … Ответные действия на угрозы безопасности зачастую должны быть предприняты немедленно! Большое количество разных подсистем и устройств безопасности: –90% используют антивирусы и межсетевые экраны –40% используют системы обнаружения вторжений (IDS) –растет количество сетевых устройств –больше программ и оборудования означает большую сложность За короткий период времени происходит много событий по безопасности: –один межсетевой экран может генерировать за день более 1 Гигабайта данных в Log-файле –один сенсор IDS за день может выдавать до 50 тыс. сообщений, до 95% ложных тревог –сопоставить сигналы безопасности от разных систем практически невозможно

Принцип работы систем мониторинга и управления событиями ИБ Тысячи сообщений Десятки сообщений Миллион сообщений Антивирусная подсистема Межсетевые экраны Подсистемы обнаружения вторжений Маршрутизаторы, коммутаторы Серверы, операционные системы Подсистемы аутентификации Приоре- тизация Корреляция Фильтрация Нормализация Агрегирование

Общая архитектура систем мониторинга и управления событиями ИБ 8

SIEM-продукт - командный пункт: сбор данных, анализ ситуаций и принятие оперативных решений 9 Сетевые устройства Серверы Мобильные устройства Рабочие станции Системы безопас- ности Физический доступ Приложе- ния Базы данных Учётные записи

Продукты SIEM – системы управления информацией и событиями безопасности Широкое внедрение продуктов SIEM обусловлено действием двух рыночных факторов – это обеспечение: 1.Соответствия требованиям регуляторов: PCI DSS, SOX и др.; 2.Высокого уровня безопасности для корпоративных сетей. Две главные функции технологий SIEM по сбору и обработке событий безопасности (которые поступают от разных источников – сети и компьютеров, а также от общесистемных и прикладных пакетов программ): 1.SIM («управление информацией безопасности») обеспечивает сбор, хранение и анализ данных (взятых из журналов), подготовка отчетов по соответствию нормативным требованиям; 2.SEM («управление событиями безопасности») обеспечивает в реальном времени мониторинг событий безопасности, выявление и реагирование на инциденты безопасности.

Три основные модели (или направления) по применению продуктов SIEM 1.Технологии SEM («мониторинг событий и управление угрозами»): обеспечивают в реальном времени мониторинг событий безопасности 1.в первую очередь, от устройств безопасности и сетевых устройств, 2.во вторую очередь, от операционных систем компьютеров и приложений; помогают персоналу, который отвечает за обеспечение безопасности, 1.выявлять внешние и внутренние угрозы, 2.реализовать эффективные ответные меры на обнаруженные угрозы. 2.Технологии SIM («отчетность по соответствию установленным нормативам») реализуют такие главные функции как управление журналами, создание отчетов и выполнение аналитических исследований по событиям безопасности для поддержки: соответствия требованиям регуляторов, управления внутренними угрозами и соответствия политике безопасности, принятой в организации. 3.Технологии SIEM = SIM + SEM.

Ключевые показатели общего характера, по которым сравниваются системы SIEM 1.Сбор событий и данных из разных источников. 2.Фильтрация и нормализация. 3.Корреляция. 4.Масштабируемая архитектура и гибкость внедрения. 5.Простота развертывания и поддержки.

Ключевые показатели подсистем SIM и SEM – для сравнения решений SIEM 1.Управление журналами. 2.Мониторинг пользователей. 3.Мониторинг приложений. 4.Отчеты о соответствии. 1.Сбор данных в реальном масштабе времени. 2.Консоль управления событиями безопасности. 3.Корреляция и анализ событий в реальном времени. 4.Поддержка процессов управления инцидентами. SIM: SЕM:

Шесть ключевых показателей, по которым сравниваются продукты SIEM в обзоре Gartner 1.Управление журналами. 2.Отчеты о соответствии. 3.SEM. 4.Мониторинг пользователей. 5.Мониторинг приложений. 6.Простота развертывания и поддержки.

Задание весов для ключевых показателей – и для разных моделей применения SIEM Ключевые показатели продуктов SIEM: Равные веса Соблюдение соответствия Управление угрозами Общая SIEM Управление журналами16,7%20,0%10,0%20,0% Отчеты о соответствии16,7%30,0%5,0%15,0% SEM16,6%5,0%70,0%40,0% Мониторинг пользователей16,7%5,0% 10,0% Мониторинг приложений16,6%5,0% Простота развертывания и сопровождения16,7%35,0%5,0%10,0% Всего100,0% 4 м о д е л и п р и м е н е н и я п р о д у к т о в SIEM:

Оценки (от 1 до 5) продуктов (соответственно, компаний) по выбранным ключевым показателям Оценки продуктов ArcSight/ ESM & Logger CA/ Log Manager RSA (EMC)/ EnVision IBM/ TSIEM LogLogic/ Appliences NetIQ/ Security Manager netForensics/ nFX SIM One, nFX Cinxi Novell/ Sentinel and Log Manager Q1 Labs/ Qradar Quest Software SenSage/ Solutions Symantec/ SSIM Управление журналами 4,5 2,83,62,04,22,43,33,23,92,04,03,6 Отчеты о соответствии 4,03,54,43,53,63,83,33,03,83,0 4,5 2,8 SEM 4,9 1,02,72,82,22,43,74,34,11,52,13,8 Мониторинг пользователей 4,6 3,83,53,72,73,21,93,93,53,04,02,7 Мониторинг приложений 4,8 2,53,32,33,53,21,83,23,31,04,33,4 Простота развертывания и сопровождения 2,82,5 4,5 2,03,52,5 4,32,02,53,5

Итоговая диаграмма оценки продуктов (компаний) по шести ключевым показателям

Итоговые оценки компаний (продуктов ) для разных моделей применения SIEM Модели приме- нения ArcSight/ ESM & Logger CA/ Log Manager RSA (EMC)/ EnVision IBM/ TSIEM LogLogic/ Appliences NetIQ/ Security Manager netForensics/ nFX SIM One, nFX Cinxi Novell/ Sentinel and Log Manager Q1 Labs/ Qradar Quest Software SenSage/ Solutions Symantec/ SSIM Равные веса 4,3 2,73,72,73,32,92,73,33,82,13,63,3 Соответ -ствие3,82,8 4,1 2,63,62,9 3,04,02,33,53,3 Угрозы 4,7 1,63,02,72,6 3,44,0 1,72,63,6 SIEM 4,4 2,23,42,73,02,73,23,63,92,03,23,5 Итого: 17,2 9,314,210,712,511,112,213,915,78,112,913,7 Оценка: Вел. Хор.Отл.Хор. Отл.Хор.Отл.Хор.

Итоговая диаграмма по оценке компаний (продуктов) для модели применения «Соответствие»

Итоговая диаграмма по оценке компаний (продуктов) для модели применения «Угрозы»

Итоговая диаграмма по оценке компаний (продуктов) для модели применения «SIEM»

Компания Symantec (оценка «хорошо») Symantec предлагает программно-аппаратный комплекс: - The Symantec Security Information Manager (SSIM), который обеспечивает функции по моделям применения SIM и SEM. Есть интеграция со следующими технологиями Symantec: SEP, IT GRCM и DLP. 1.Управление журналами: реализовано, но в случае масштабных внедрений этого решения, по отзывам пользователей, проблема с обработкой очередей. 2.Отчеты соответствия: 140 отчетов добавлено в 2010 г. 3.Мониторинг пользователей: IAM-интеграция ограничена AD и продуктами от нескольких других вендоров. Но этого достаточно во многих случаях. 4.Мониторинг приложений: интеграция по мониторингу событий для многих продуктов. В частности, от веб-серверов и некоторых SAP-приложений. 5.SEM: для корреляции событий компания Symantec активно использует свою технологию DeepSight real time security intelligence data – для динамической обработки данных в реальном времени о событиях, текущих внешних угрозах. 6.Простота развертывания и поддержки: данный программно-аппаратный комплекс с моделью «все в одном» легко устанавливать и поддерживать.

Компания RSA (EMC) (оценка «отлично») RSA (EMC) в линейке программно-аппаратных устройств The enVision ES дает комбинацию SIM и SEM, и очень хорошо подходит для компаний небольшого размера. Для поддержки больших и более распределенных внедрений предлагаются дополнительно: коллекторы, сервер БД и сервер приложений. 1.Управление журналами: устройство enVision обеспечивает полное управление журналами, оно легко устанавливается и поддерживается. 2.Отчеты соответствия: 1300 отчетов по требованиям разных регуляторов. 3.Мониторинг пользователей: enVision интегрируется со многими IAM- продуктами, имеет 140 отчетов по мониторингу действий пользователей. 4.Мониторинг приложений: есть интеграция с DLP-продуктами, своими и других вендоров. Идет интеграция с технологией «IT Governance, Risk and Compliance Management» (GRCM) от приобретенной Archer Technologies. 5.SEM: в марте 2010 вышла 4-я версия enVision с улучшенными - корреляцией внешних угроз, мониторингом системы и привилегированных пользователей. 6.Простота развертывания и поддержки: по этому показателю enVision – лучший в рамках данного обзора, однако требуется планирование ресурсов.

Компания ArcSight (оценка «великолепно») ArcSight предлагает три базовых продукта: - Enterprise Security Manager (ESM) для модели применения SEM, - The ArcSight Express(программно-аппаратное устройство) для SEM, - The Logger (линейка программно-аппаратных устройств) для SIM. 1.Управление журналами: The Logger (+ агенты ArcSight) (+ SEM). 2.Отчеты соответствия: 250 отчетов (+ доп. пакеты Compliance Insight) 3.Мониторинг пользователей: AD (+ доп. модуль IdentityView (IAM)). 4.Мониторинг приложений: коннекторы (+ доп. модуль FraudView). 5.SEM: ПО ArcSight ESM – для больших компаний, требует знаний и умений, Устройство The ArcSight Express – годится и для небольших компаний. 6.Простота развертывания и поддержки: устройства The ArcSight Express обеспечивают простоту развертывания и поддержки, но они уступают в части поддержки некоторым другим решениям на рынке.

«Волшебные квадранты» от компании Gartner «Волшебный Квадрант» – это графическое представление рынка на определенный момента и за указанный период времени. Это результат проведенного Gartner анализа того, как определенные производители продуктов соответствуют тем критериям рынка, которые были выбраны для данного исследования. Компания Gartner не поддерживает какого-то конкретного продавца, продукт или услугу, размещенных в «Волшебном Квадранте», и не советует пользователям технологий выбирать только тех продавцов, которые оказались в квадранте «Лидеры». «Волшебный Квадрант» является исключительно исследовательским инструментом и не предназначен быть руководством к действию. Компания Gartner не дает явно или неявно каких-либо гарантий относительно результатов этого исследования, включая любые гарантии коммерческого свойства или соответствия специфическим целям конечного потребителя.

«Полнота предвидения» (ось X) Понимание рынка: понимание того, что покупатели хотят и что им нужно на рынке, реализация всего этого в своих продуктах и услугах. Стратегия маркетинга: ясный набор предписаний, имеющийся внутри компании и идущий через веб-сайт, рекламу, партнеров и т.п. Стратегия продаж: использование сетей прямых и непрямых продаж, сопутствующий маркетинг, подразделения сервиса и т.п. Стратегия предложения продукта: разработка и доставка продукта. Модель бизнеса: модель бизнеса компании-производителя в целом. Стратегия вертикального рынка: учет специфики разных отраслей. Инновации: наличие капитала, опыта, и др. ресурсов для инноваций. Географическая стратегия: использование ресурсов, опыта и возможностей для удовлетворение потребности рынков других стран. Напрямую или через партнеров, каналы и филиалы – по регионам.

«Способность исполнять» (ось Y) Продукты и услуги: ключевые продукты и услуги, представленные на рынке. Их возможности и качество, опыт персонала компании, каналы продвижения. Общая жизнестойкость компании: общее финансовое состояние компании, финансовый и бизнес-успех ее подразделений, способность компании продолжать инвестировать в развитие рассматриваемых продуктов и услуг. Выполнение продаж и цены: способность вести этапы предварительных продаж, сети поддержки, цены, общая эффективность каналов продаж. Реакция на потребности рынка и учет запросов: способность реагировать на текущие изменения рынка, желаний покупателей и действия конкурентов. Исполнение стратегии маркетинга: ясность, качество, креативность и эффективность доведения до рынка целей компании. Установка в умах покупателей положительного восприятия продуктов, услуг и самой компании. Поддержка пользователей: помощь пользователями в том, чтобы применение продуктов или услуг было успешным. Техническая поддержка. Операции компании: способность соответствовать целям и обязательствам. Качество организационной структуры, включая компетенции и опыт работ.

Компания ArcSight в настоящее время является наиболее успешным и прогрессирующим производителем продуктов класса SIEM, которые обладают достаточно широким набором функций. По сравнению с конкурентами у компании ArcSight имеется самое большое число внедрений продуктов класса SIEM. ArcSight явный лидер RSA опустилась ниже Cisco не была включена в данный обзор IBM вышла из квадранта лидеров «Волшебные квадранты» для рынка SIEM, Gartner – май 2010

Решение ArcSight EnterpriseView для инфраструктуры с Cisco-продуктами

Выручка ArcSight в гг. и доли SIEM-рынка в 2008 г. по данным от компании IDC Выручка ArcSight: 181 млн. долл. в 2010 г. 136 млн. долл. в 2009 г. 101 млн. долл. в 2008 г. 70 млн. долл. в 2007 г.

Наличие сертификата соответствия ФСТЭК

Поддерживаемые продукты и устройства Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering

«ДиалогНаука» разработала коннекторы – модули связи с ArcSight ESM – для следующих продуктов: DrWeb Enterprise Suite, Kaspersky OpenSpaceSecurity, Lumension DeviceControl, DeviceLock, 1С:Бухгалтерия 8, Межсетевой экран ССПТ2, Система обнаружения вторжений Форпост, IBM NetApp, Visa 3DSecure, Citrix AccessGateway, ФПСУ-IP и др.

Примеры внедрения SIEM-решений от компании ArcSight в сфере железнодорожного транспорта Япония JR East: East Japan Railway Company Гонг-Конг MTR: Mass Transit Railway

Выводы Одна из актуальных задач защиты информации – сбор и корреляция разных событий безопасности, которые поступают от многих компонентов корпоративной сети. Решают эту задачу как раз SIEM-решения. Они усиливают эффективность работы комплексных систем защиты. Оптимальный выбор SIEM-решения предполагает анализ различных показателей в доступных на рынке продуктах. Продукт ArcSight ESM имеет сертификат от ФСТЭК. Компания «ДиалогНаука» имеет большой опыт по созданию, внедрению и сопровождению систем мониторинга и управления событиями информационной безопасности на базе продуктов компании ArcSight.

Спасибо за внимание! Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука» Моб. тел.: +7 (916)