410 likes | 621 Views
Актуальные задачи защиты информации и оптимальные подходы к выбору SIEM-решения. Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука» Сердюк Виктор Александрович Генеральный директор ЗАО «ДиалогНаука». О компании «ДиалогНаука».
E N D
Актуальные задачи защиты информации и оптимальные подходы к выбору SIEM-решения Антимонов Сергей ГригорьевичПредседатель совета директоровЗАО «ДиалогНаука» Сердюк Виктор АлександровичГенеральный директорЗАО «ДиалогНаука»
О компании «ДиалогНаука» • ЗАО «ДиалогНаука» создано 31 января 1992 г. Учредители - СП «Диалог» и ВЦ РАН. До этого два года наш коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН. • До 2004 г. – разработка и распространение антивирусов: • 1990 – Aidstest («сигнатурный» антивирус), • 1991 – ADinf (ревизор дисков), • 1992 – Sheriff (модуль защиты системных файлов), • 1993 – ADinf Cure Module (универсальный лечащий модуль), • 1994 – Doctor Web (побеждал также новые полиморфные вирусы), • 1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus). • C 2004 года – системная интеграция, консалтинг и дистрибуция в области информационной безопасности.
План • Актуальные задачи защиты информации. • Системы мониторинга событий информационной безопасности и реагирования на угрозы SIEM. • «Ключевые возможности технологий SIEM в 2010 году» – обзор компании Гартнер по сравнению продуктов от 12 значимых участников рынка SIEM. • «Волшебные квадранты» для рынка SIEM в 2007-2010 гг. – обзоры компании Гартнер по сравнению продуктов от 20 основных игроков рынка SIEM. • Этапы проекта по внедрению систем SIEM. • Наличие сертификата соответствия ФСТЭК. • Выводы.
Подсистемы в составе современных комплексных систем защиты данных • Антивирусная защита. • Межсетевые экраны. • Системы обнаружения и предотвращения вторжений. • Криптографическая защита информациив процессе ее хранения и передачи по сети. • Управление доступом. • Регистрация и учет. • Обеспечение целостности. • Контроль отсутствия недекларируемых возможностей. • Средства тестирования и анализа защищённости. • и др.
Тест по обнаружению файлов фальшивых антивирусов(research.zscaler.com; 30.09.2010) • Проверки проводились на сайтеwww.VirusTotal.com. • 16 файлов-образцов фальшивых антивирусов были запущены для обнаружения 43 антивирусными программами этого сайта. • 5 лучших результатов: • Sophos – 81%, • Sunbelt – 75%, • GData – 69%, • BitDefender – 69%, • Nod32 – 63%. • Еще 8 антивирусов -- не ниже 50%: AhnLab-V3, AntiVir, F-Secure, Kaspersky, PCTools, Symantec, TrendMicro и TrendMicro-HouseCall. • Известные антивирусы AVGи McAfeeпоказали всего 19%. • 0% обнаружения показали следующие 7 антивирусов: ClamAV, eSafe, Fortinet, Jiangmin, TheHacker, ViRobot и VirusBuster.
Актуальные проблемы эксплуатации комплексных систем защиты информации Большое количество разных подсистем и устройств безопасности: • 90%используют антивирусы и межсетевые экраны • 40%используют системы обнаружения вторжений (IDS) • растет количество сетевых устройств • больше программ и оборудования означает большую сложность За короткий период времени происходит много событий по безопасности: • один межсетевой экран может генерировать за день более 1 Гигабайта данных в Log-файле • один сенсор IDS за день может выдавать до 50 тыс. сообщений, до 95% ложных тревог • сопоставить сигналы безопасности от разных систем практически невозможно Слишком много устройств, слишком много данных… Ответные действия на угрозы безопасностизачастую должны быть предприняты немедленно!
Приоре-тизация Принцип работы систем мониторинга и управления событиями ИБ Антивирусная подсистема Межсетевые экраны Фильтрация Подсистемы обнаружения вторжений Нормализация Корреляция Маршрутизаторы, коммутаторы Агрегирование Серверы, операционные системы Подсистемы аутентификации Десятки сообщений Тысячи сообщений Миллион сообщений
Общая архитектура систем мониторинга и управления событиями ИБ 8
SIEM-продукт - командный пункт: сбор данных, анализ ситуаций и принятие оперативных решений Системы безопас-ности Мобильные устройства Сетевые устройства Приложе-ния Физический доступ Рабочие станции Базы данных Учётные записи Серверы Email 9
Продукты SIEM – системы управления информацией и событиями безопасности • Широкое внедрение продуктов SIEM обусловлено действием двух рыночных факторов – это обеспечение: • Соответствия требованиям регуляторов:PCI DSS, SOX и др.; • Высокого уровня безопасности для корпоративных сетей. • Две главные функции технологий SIEM по сбору и обработке событий безопасности (которые поступают от разных источников – сети и компьютеров, а также от общесистемных и прикладных пакетов программ): • SIM («управление информацией безопасности») обеспечивает • сбор, хранение и анализ данных (взятых из журналов), • подготовка отчетов по соответствию нормативным требованиям; • SEM («управление событиями безопасности») обеспечивает • в реальном времени мониторинг событий безопасности, • выявление и реагирование на инциденты безопасности.
Три основные модели (или направления) по применению продуктов SIEM • Технологии SEM («мониторинг событий и управление угрозами»): • обеспечивают в реальном времени мониторинг событий безопасности • в первую очередь, от устройств безопасности и сетевых устройств, • во вторую очередь, от операционных систем компьютеров и приложений; • помогают персоналу, который отвечает за обеспечение безопасности, • выявлять внешние и внутренние угрозы, • реализовать эффективные ответные меры на обнаруженные угрозы. • Технологии SIM («отчетность по соответствию установленным нормативам») реализуют такие главные функции как управление журналами, создание отчетов и выполнение аналитических исследований по событиям безопасности для поддержки: • соответствия требованиям регуляторов, • управления внутренними угрозами и • соответствия политике безопасности, принятой в организации. • Технологии SIEM = SIM + SEM.
Ключевые показатели общего характера, по которым сравниваются системы SIEM • Сбор событий и данных из разных источников. • Фильтрация и нормализация. • Корреляция. • Масштабируемая архитектура и гибкость внедрения. • Простота развертывания и поддержки.
Ключевые показатели подсистем SIM и SEM – для сравнения решений SIEM • Управление журналами. • Мониторинг пользователей. • Мониторинг приложений. • Отчеты о соответствии. SIM: SЕM: • Сбор данных в реальном масштабе времени. • Консоль управления событиями безопасности. • Корреляция и анализ событий в реальном времени. • Поддержка процессов управления инцидентами.
Шесть ключевых показателей,по которым сравниваются продукты SIEM в обзоре Gartner • Управление журналами. • Отчеты о соответствии. • SEM. • Мониторинг пользователей. • Мониторинг приложений. • Простота развертывания и поддержки.
Задание весов для ключевых показателей – и для разных моделей применения SIEM 4 модели применения продуктовSIEM:
Оценки (от 1 до 5) продуктов (соответственно, компаний) повыбранным ключевым показателям
Итоговая диаграмма оценки продуктов (компаний) по шести ключевым показателям
Итоговые оценки компаний (продуктов ) для разных моделей применения SIEM
Итоговая диаграмма по оценке компаний (продуктов) для модели применения «Соответствие»
Итоговая диаграмма по оценке компаний (продуктов) для модели применения «Угрозы»
Итоговая диаграмма по оценке компаний (продуктов) для модели применения «SIEM»
Компания Symantec (оценка «хорошо») Symantecпредлагает программно-аппаратный комплекс:- The Symantec Security Information Manager (SSIM),который обеспечивает функции по моделям применения SIM и SEM. Есть интеграция со следующими технологиями Symantec:SEP, IT GRCM и DLP. • Управление журналами: реализовано, но в случае масштабных внедрений этого решения, по отзывам пользователей, проблема с обработкой очередей. • Отчеты соответствия: 140 отчетов добавлено в 2010 г. • Мониторинг пользователей: IAM-интеграция ограничена AD ипродуктами от нескольких других вендоров. Но этого достаточно во многих случаях. • Мониторинг приложений:интеграция по мониторингу событий для многих продуктов. В частности, от веб-серверов и некоторых SAP-приложений. • SEM: для корреляции событий компания Symantec активно использует свою технологию “DeepSight real time security intelligence data” – для динамической обработки данных в реальном времени о событиях, текущих внешних угрозах. • Простота развертывания и поддержки: данный программно-аппаратный комплекс с моделью «все в одном» легко устанавливать и поддерживать.
Компания RSA (EMC) (оценка «отлично») RSA (EMC)в линейке программно-аппаратных устройств The enVision ES дает комбинацию SIM и SEM, и очень хорошо подходит для компаний небольшого размера. Для поддержки больших и более распределенных внедрений предлагаются дополнительно: коллекторы, сервер БД и сервер приложений. • Управление журналами: устройствоenVision обеспечивает полное управление журналами, оно легко устанавливается и поддерживается. • Отчеты соответствия: 1300 отчетов по требованиям разных регуляторов. • Мониторинг пользователей: enVision интегрируется со многими IAM-продуктами, имеет 140 отчетов по мониторингу действий пользователей. • Мониторинг приложений:есть интеграция с DLP-продуктами, своими и других вендоров. Идет интеграция с технологией «IT Governance, Risk and Compliance Management» (GRCM) от приобретенной Archer Technologies. • SEM: в марте 2010 вышла 4-я версия enVision с улучшенными - корреляцией внешних угроз, мониторингом системы и привилегированных пользователей. • Простота развертывания и поддержки: по этому показателю enVision – лучший в рамках данного обзора, однако требуется планирование ресурсов.
Компания ArcSight (оценка «великолепно») ArcSightпредлагает три базовых продукта:- Enterprise Security Manager (ESM) для модели применения SEM,- The ArcSight Express(программно-аппаратное устройство)для SEM,- The Logger (линейка программно-аппаратных устройств)для SIM. • Управление журналами:The Logger (+агенты ArcSight)(+ SEM). • Отчеты соответствия: 250 отчетов (+ доп. пакеты Compliance Insight) • Мониторинг пользователей:AD (+ доп. модуль IdentityView (IAM)). • Мониторинг приложений:коннекторы (+ доп. модуль FraudView). • SEM: • ПО ArcSight ESM – для больших компаний, требует знаний и умений, • Устройство The ArcSight Express – годится и для небольших компаний. • Простота развертывания и поддержки: устройства The ArcSight Express обеспечивают простоту развертывания и поддержки, но они уступают в части поддержки некоторым другим решениям на рынке.
«Волшебные квадранты» от компании Gartner «Волшебный Квадрант» – это графическое представление рынка на определенный момента и за указанный период времени. Это результат проведенного Gartner анализа того, как определенные производители продуктов соответствуют тем критериям рынка, которые были выбраны для данного исследования. Компания Gartner не поддерживает какого-то конкретного продавца, продукт или услугу, размещенных в «Волшебном Квадранте», и не советует пользователям технологий выбирать только тех продавцов, которые оказались в квадранте «Лидеры». «Волшебный Квадрант» является исключительно исследовательским инструментом и не предназначен быть руководством к действию. Компания Gartner не дает явно или неявно каких-либо гарантий относительно результатов этого исследования, включая любые гарантии коммерческого свойства или соответствия специфическим целям конечного потребителя.
«Полнота предвидения»(ось X) Понимание рынка: понимание того, что покупатели хотят и что им нужно на рынке, реализация всего этого в своих продуктах и услугах. Стратегия маркетинга: ясный набор предписаний, имеющийся внутри компании и идущий через веб-сайт, рекламу, партнеров и т.п. Стратегия продаж: использование сетей прямых и непрямых продаж, сопутствующий маркетинг, подразделения сервиса и т.п. Стратегия предложения продукта: разработка и доставка продукта. Модель бизнеса: модель бизнеса компании-производителя в целом. Стратегия вертикального рынка: учет специфики разных отраслей. Инновации: наличие капитала, опыта, и др. ресурсов для инноваций. Географическая стратегия: использование ресурсов, опыта и возможностей для удовлетворение потребности рынков других стран. Напрямую или через партнеров, каналы и филиалы – по регионам.
«Способность исполнять» (ось Y) Продукты и услуги: ключевые продукты и услуги, представленные на рынке. Их возможности и качество, опыт персонала компании, каналы продвижения. Общая жизнестойкость компании: общее финансовое состояние компании, финансовый и бизнес-успех ее подразделений, способность компании продолжать инвестировать в развитие рассматриваемых продуктов и услуг. Выполнение продаж и цены: способность вести этапы предварительных продаж, сети поддержки, цены, общая эффективность каналов продаж. Реакция на потребности рынка и учет запросов: способность реагировать на текущие изменения рынка, желаний покупателей и действия конкурентов. Исполнение стратегии маркетинга: ясность, качество, креативность и эффективность доведения до рынка целей компании. Установка в умах покупателей положительного восприятия продуктов, услуг и самой компании. Поддержка пользователей: помощь пользователями в том, чтобы применение продуктов или услуг было успешным. Техническая поддержка. Операции компании: способность соответствовать целям и обязательствам. Качество организационной структуры, включая компетенции и опыт работ.
«Волшебные квадранты» длярынка SIEM, Gartner – май 2010 • ArcSight явный лидер • RSA опустилась ниже • Cisco не была включена в данный обзор • IBM вышла из квадранта лидеров “Компания ArcSight в настоящее время является наиболее успешным и прогрессирующим производителем продуктов класса SIEM, которыеобладают достаточно широким набором функций. По сравнению с конкурентами у компании ArcSight имеется самое большое число внедрений продуктов класса SIEM.” www.arcsight.com 28
Решение ArcSightEnterpriseView для инфраструктуры с Cisco-продуктами
Выручка ArcSight в 2007-2010 гг. и доли SIEM-рынка в 2008 г. по данным от компании IDC Выручка ArcSight: • 181 млн. долл. в 2010 г. • 136 млн. долл. в 2009 г. • 101 млн. долл. в 2008 г. • 70 млн. долл. в 2007 г.
Наличие сертификата соответствия ФСТЭК
Поддерживаемые продукты и устройства Access and Identity Data Security Integrated Security Network Monitoring Security Management Web Cache Anti-Virus Firewalls Log Consolidation Operating Systems Switch Web Filtering Applications Honeypot Mail Relay & Filtering Payload Analysis VPN Web Server Content Security Host IDS/IPS Mail Server Policy Management Vulnerability Mgmt Wireless Security Database Network IDS/IPS Mainframe Router
«ДиалогНаука» разработала коннекторы – модули связи с ArcSight ESM–для следующих продуктов: • DrWeb Enterprise Suite, • Kaspersky OpenSpaceSecurity, • Lumension DeviceControl, • DeviceLock, • 1С:Бухгалтерия 8, • Межсетевой экран ССПТ2, • Система обнаружения вторжений Форпост, • IBM NetApp, • Visa 3DSecure, • Citrix AccessGateway, • ФПСУ-IP и др.
Примеры внедрения SIEM-решений от компании ArcSight в сфере железнодорожного транспорта • Япония • JR East: East Japan Railway Company • Гонг-Конг • MTR: Mass Transit Railway
Выводы Одна из актуальных задач защиты информации – сбор и корреляция разных событий безопасности, которые поступают от многих компонентов корпоративной сети. Решают эту задачу как раз SIEM-решения. Они усиливают эффективность работы комплексных систем защиты. Оптимальный выбор SIEM-решения предполагает анализ различных показателей в доступных на рынке продуктах. Продукт ArcSight ESM имеет сертификат от ФСТЭК. Компания «ДиалогНаука» имеет большой опыт по созданию, внедрению и сопровождению систем мониторинга и управления событиями информационной безопасности на базе продуктов компании ArcSight.
Спасибо за внимание! Антимонов Сергей Григорьевич Председатель совета директоровЗАО «ДиалогНаука» sa@DialogNauka.ru Моб. тел.: +7 (916) 676-76-24www.DialogNauka.ru