Post on 11-Feb-2017
АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОГО ЦЕНТРА БЕЗОПАСНОСТИ БАНКА
Сергей МаковецТехнический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4Тел. 044 390 03 01
Факс 044 390 03 02
• Компания Information Systems Security Partners – интегратор решений для безопасности информационных систем.
• Наше понимание системы информационной безопасности определяется как решение, которое обеспечивает стабильно высокий уровень безопасности, не ограничивая при этом возможностей, свободы и непрерывности бизнес-процессов.
Что такое операционный процесс безопасности (ОПБ) и его
проблематика
Информация
?
ЧТО НЕОБХОДИМО НАБЛЮДАТЬ ?
•Периметр
•Внутренняя сеть•Рабочие станции•Сервера
•Сотрудники•Приложения
•Партнеры•Клиенты•Моб. Сотрудники•Физ. безопасность
•Информация•Процессы•Политики
КАК УПРАВЛЯТЬ ПРОЦЕССОМ ИТ БЕЗОПАСНОСТИ ?
Аудит и Риски
Сетевой отделСопровождениеи поддержка
Безопасность
ИТ Операции
ИТ Управление
Управление развитием
Инфраструктура
?
? ????
?Проверкасоответствия
Управлениесетью
Управление пользователями
Внутренние и внешние угрозы
Мониторинг служб
Соблюдение стандартов
Управление конфигурацией
Доступность систем и сервисов
Неконтролируемая инфраструктура
Сложные и дорогие аудиты
Неэффективные ИТ операции
ВАША ИТ ИНФРАСТРУКТУРА УПРАВЛЯЕМАЯ ?!
НАРАЩИВАНИЕ СРЕДСТВ ИБ НЕ ВСЕГДА ВЕДЕТ К УМЕНЬШЕНИЮ РИСКОВ БЕЗОПАСНОСТИ.
НЕКОНТРОЛИРУЕМАЯ ИТ ИНФРАСТРУКТУРА ОПАСНА И НЕЭФФЕКТИВНА
ИНВЕСТИЦИИ В СИСТЕМЫ ИТ БЕЗОПАСНОСТИ НЕОПРАВДАНЫ БЕЗ АВТОМАТИЗАЦИИ ПРОЦЕССА УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ.
Система автоматизации операционного процесса безопасности
ПРИОРЕТИЗАЦИЯ
СБОР
АНАЛИЗ
АРХИВИРОВАНИЕ
ЗНАНИЯ
РЕА
ГИРО
ВА
НИ
Е
АРХИТЕКТУРА РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИБ
Регулятивные
Правила
Отчеты/Логика
Бизнес Другие
Механизмы реагирования
Коннекторы
Корреляция событий
Модули
Управление/Логика
Правила
Отчеты/Логика
Архивирование
Архитектура ArcSightдля автоматизации операционного процесса управления безопасностью.
ИНТЕГРАЦИЯ С ИТ ИНФРАСТРУКТУРОЙ
Регулятивные
Правила
Отчеты/Логика
Бизнес Другие
Механизмы реагирования
АрхивированиеКорреляция событий
Правила
Управление/Логика
Правила
Отчеты/Логика
Коннекторы ArcSight Компонент для интеграции с ИТ инфраструктурой
• Программный
• Аппаратный
• Резидентный
• Внешний
• ПрограммируемыйКоннекторы
КОННЕКТОРЫ ArcSight
СерверыМобильные системы
Рабочие станции
Приложения и службы
Базы данныхИсточники учетных записей
Электронная почта
Сетевые устройства
Устройства защиты
Физический доступ
•Базы Данных•Файлы и XML •Syslog•Журналы ОС•Директории•Приложения и устройства
•Фильтрация•Нормализация•Агрегация•Кэширование•Контроль загрузки канала•Шифрованная передача
WindowsFailed Login Event
OracleFailed Login Event
UNIXFailed Login Event
Badge Reader Entry Denied
OS/390Failed Login Event
НОРМАЛИЗАЦИЯ ОБЩИЙ ФОРМАТ
КОННЕКТОРЫ ArcSight
Стандартный формат события
Универсальный коннектор, который можно подключить к любому, даже «самописному ПО».
300+ продуктов Стандарт CEF (common event format)
ОПРЕДЕЛЕНИЕ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ
Регулятивные
Правила
Отчеты/Логика
Бизнес Другие
Механизмы реагирования
Правила
Управление/Логика
Правила
Отчеты/Логика
Коннекторы
Корреляция событий
Модуль ArcSight ESMКлючевой компонент системы
Собирает, хранит и анализирует информацию со всех устройств, систем и ПО в ИТ инфраструктуре.
Архивирование
КОРРЕЛЯЦИЯ
ArcSight ESM – интеллектуальный «мозговой центр» – сердце автоматизированного операционного центра безопасности.
Собирает события с любого ИТ оборудования, приложений и систем
Анализирует и коррелирует события, полученные с систем безопасности: DLP, IPS, URL-Filtering, Сканеры безопасности, SSO, AntiVirus, и т.д.
Анализирует информацию, полученную с систем физического доступа, корпоративных директорий, IdM, файловых серверов.
Обрабатывает информацию от бизнес приложений и платежных систем
Корреляция и анализ событий в реальном времени и по запросу в отношении пользователя/системы.
МЕХАНИЗЫМЫ КОРРЕЛЯЦИИ
Интеллектуальная корреляция для мониторинга в реальном времени и выявления аномалий
Приоритизация, основанная на модели рискаУменьшает ложные
срабатывания
Графический редактор правил
Не требуется программирование
Активные спискиАвтоматическая
эскалация событий об угрозах
Категоризация коннекторов
Корреляция архива
Корреляция прошедших событий, запланированная и корреляция по
запросу
Корреляция в памяти
Сотни правил корреляции «на лету»Мониторинг в реальном времени
Статистическая корреляция
Определение величин и отклонений от нормального
поведения
ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ АКТИВОВ
Правила
Отчеты/Логика
Механизмы реагирования
Правила
Управление/Логика
Архивирование
Уязвимость устройства
Уязвимо ли данное устройство к этому
типу атак?
История атакСобытия, связанные
с этой целью
Критичность Актива
Насколько важен данный актив для бизнеса?
Критичность устройства
Присвоение уровней критичности разным
типам устройств
Модель активов
Значимые активы
ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ ПОЛЬЗОВАТЕЛЕЙ
Роль Данное событие
сопоставимо с ролью пользователя,
который свершил его?
Профиль пользователяЭто нормальное
поведение?
ОпределениеКто скрывается за
данным IP адресом?
ПолитикаВлияние данного
проишествия на бизнес-риски
Модель пользователей
Значимые пользователи
ПРОФИЛИРОВАНИЕ АКТИВНОСТИ
Создание эталонных профилей нормальной и аномальной активности
АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ
Регистрация пропусков
Запросы к БД
Запись файлов на USB
VPN Логины
Просматриваемые файлы
Отправленные имейлы
Снимки экрана
Веб серфинг
Запущенныеприложения
Директории
Пользователи
Identity Management (IdM)
Роли
ArcSight IdentityView
ОПРЕДЕЛЕНИЕ МОШЕННИЧЕСТВА С АККАУНТАМИ
Удаленный сотрудник
ИНТЕРНЕТ
Локальный сотрудник
Firewall VPN
Файловые сервера Сервера БД
Системы физического доступа
Директория
Веб-ресурс
ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Регулятивные
Правила
Отчеты/Логика
Бизнес Другие
Механизмы реагирования
Правила
Управление/Логика
Правила
Отчеты/Логика
Коннекторы
Корреляция событий
Модуль ArcSight LoggerКомпонент системы для долгосрочного хранения информации
• Собирает, хранит, и анализирует информацию о предприятии
• Нормализует информацию и предоставляет возможности гибкой выборки, отчетов и поиска
Архивирование
РАССЛЕДОВАНИЕЯ ИТ БЕЗОПАСНОСТИ
Нормализованные данные архива – идеальный инструмент для проведения расследований
“Насколько долго это у нас происходит?”“Кто еще в это вовлечен?”
Хранение событий в аутентичном и нормализованном виде
Функции отчетности, поиска и выборки, 10х архивация
ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Регулятивные
Правила
Отчеты/Логика
Бизнес Другие
Правила
Управление/Логика
Правила
Отчеты/Логика
Коннекторы
Корреляция событий
Консоли и модуль реагированияНастраиваемые консоли для различных функциональных и служебных ролей офицеров безопасности, администраторов и руководителей.
Модуль автоматического реагирования для взаимодействия с директорией, сетевыми устройствами и приложениями.
Архивирование
Механизмы реагирования
КОНСОЛИ ВИЗУАЛИЗАЦИИ СОБЫТИЙ
Активные каналы для интуитивного расследования Панели управления с возможностью углубляться в детали
Обозревательные панели125 Интерактивных, графических окон представления (real-time data monitors) 48 встроенных панелей управления, с вложенными просмотрами деталей
Интерактивное обнаружение: визуальное расследование
Интуитивное расследование и панели управления
ГИБКАЯ СИСТЕМА ОТЧЕТОВ РАЗНЫХ УРОВНЕЙ ДЕТАЛИЗАЦИИ
30
Отчеты соответствия нормам Долгосрочный анализ
– события, нарушения политик, риски или другие типы данных
Легкий и интуитивно-понятный инструмент создания отчетов
Построение настраиваемых графических отчетов
GUI-based – Не требует программирования
Форматы экспорта:– HTML, XLS, PDF
МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Устройство, которое взаимодействует с инфраструктурой, превентивно реагируя на возможные угрозы.
Андрей Андреев в Киеве логинится в систему
Директория
login
Через 10 минут Андрей АндреевЧерез Днепропетровский прокси-сервер запрашивает соединение с внешнимвеб-ресурсом
Virus.com
BLOCK
DROP
МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Сетевой порт ее розетки блокируется автоматически
Татьяна уходит из офиса
Андрей заходит в офис Татьяны и видит включенный компьютер.
Но он не может подключиться к сетевым приложениям !!!!
СООТВЕТСТВИЯЕ СТАНДАРТАМ БЕЗОПАСНОСТИ
Правила
Отчеты/Логика
Бизнес Другие
Механизмы реагирования
Коннекторы
Корреляция событий
Модули
Управление/Логика
Архивирование
Поддержка отраслевых стандартов безопасности
Модули для соответствия стандартам безопасности.
Регулятивные
Правила
Отчеты/Логика
ЭВОЛЮЦИЯ ТЕОРИИ СООТВЕТСТВИЯ СТАНДАРТАМ БЕЗОПАСНОСТИ
2. Мы защищены? (Предотвращения нарушений и инцидентов)
a) Инвентаризация активовb) Сегментация сетейc) Инструменты для мониторинга и определения
угроз
3. Как улучшить безопасность? a) Корреляция событийb) Уведомление об инцидентах
и их анализc) Автоматизация процесса
управления безопасностью
1 2 31. Мы прошли аудит? (Избежание
штрафов)
a) Покупка технологийb) Наем специалистов ИБc) Описание политик
Полноценное соответствие стандарту PCI• Правила, политики, уведомления и отчеты
Прямое соответствие 12 требованиям
Трех-фокусная направленность:• Эффективное управление требованиями PCI• Подготовка к аудиту• Направленность на требования аудита
Более 100 отчетов формируют эффективное представление информации
28 правил автоматически определяют нарушение требования PCI
Многослойная система панелей управления предоставит детализированный вид о статусе соответствия стандарту PCI
PAYMENT CARD INDUSTRY (PCI)
PaymentCard Industry
Пример консоли, PCI требование 7
36
Ограничить доступ к данным о держателях карт только служебной необходимостью
Основные характеристики ОПБ
Эффективность инвестиций в технологии автоматизации
АВТОМАТИЗАЦИЯ МОНИТОРИНГА
НепрерывныйУстановка нового оборудования, слияние инфраструктур, реструктуризация, модернизация систем не влияют на процесс мониторинга.ВсестороннийВстроенная поддержка более, чем 300 системам, интеграция с абсолютно любым ПО, формат CEF, возможность чтения событий из разных источников
ЦелостныйНаблюдение за пользователями и процессами. Интеграция с корпоративными директориями, IdM, DAM, DLP, SSO системами.
АВТОМАТИЗАЦИЯ ОПРЕДЕЛЕНИЯИНЦИДЕНТОВ
ПродуктивныйОбработка сотен тысяч событий в час, анализ и корреляция в реальном времени.КомплексныйСложные механизмы корреляции информации об состояниях устройств, процессов и действий пользователей.
Корреляция в реальном времени, статистическая и корреляция архива.Управляемый и самообучаемыйВозможность создания своих правил корреляции, механизмов анализа и моделей поведения.
Профилирование активности пользователей позволяет выявлять мошенничество и некорректные процессы в штатном рабочем регламенте сотрудника
АВТОМАТИЗАЦИЯ ПРИОРЕТИЗАЦИИ
Мульти-критериальныйКаждый пользователь или актив имеет несколько критериев релевантности: важность, критичноcть, уязвимость…
КомплексныйМодели активов и пользователей позволяют правилам корреляции учитывать критерий значимости.
ИнтеллектуальныйАвтоматическое изменение статусов подозрительности/приоритетности/безопасности к активам и пользователям в зависимости от их активности.
АВТОМАТИЗАЦИЯ РЕАГИРОВАНИЯ
НастраиваемыйРолевой доступ к консолям, настраиваемые панели , разнообразные степени детализации и разграничение доступа к деталям события
АвтоматическийМодуль автоматического реагирования может настроить IPS и файерволл, заблокировать учетную запись, отправить команду сетевому устройству или программе.
Уведомления и отчетностьБолее 300 вариантов готовых отчетов, настраиваемые уведомления. Шаблоны отчетов по стандартам безопасности.
АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Эффективность операций по обеспечению ИТ безопасности и поддержке продуктов банка.
Рациональное использование человеческих ресурсов
Рациональное использование систем и средств информационной безопасности
Обнаружение мошенничества и превентивная защита от внутренних и внешних рисков
Определение и исправление некорректно работающих бизнесс-процессов
ПОЗИЦИИ ArcSight НА РЫНКЕ
6 лет подряд – лидер Gartner MQ
ArcSight первая компания, которая набрала 4 балла в Forrester WAVE
ПОЗИЦИИ ArcSight НА РЫНКЕ
ArcSight владеет наибольшей долей рынка SIEM систем, 16% на 2007 год
Заработок за 4й квартал составил : $39.3M
Доход компании увеличился на 34% за год.
Спасибо за внимание!
Сергей МаковецТехнический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4Тел. 044 390 03 01
Факс 044 390 03 02
SAASCRM
Content management
Newsletters
Data Centers
Word processing
Blog
Website
VoIP
eCommerce
File share
Corporate portals
Webinars
Virtualization
MobilityWebOffice
Videocasting
Videocasting
Trojans
SQL Injections
HTML Injections
Buffer Overflows
Cross-siteScripting attacks
Worms
Viruses inattachments
Spyware inattachments
Botnets
Rootkits
Interactive surveys
ExploitsFishing
Viruses
Mobile codeDatebases
Information leaks
E-banking
DoS
НОВЫЕ ВОЗМОЖНОСТИ ИЛИ НОВЫЕ УГРОЗЫ ?
КАК ОПРЕДЕЛЯТЬ ИНЦИДЕНТЫ ?
Серверы
Приложения
БД
Данные
Пользователи
Доступ кAD
Управление доступом
Физическая
защита
ПК ипериферия
DMZ
Периметр
Сетевое оборудование / Безопасность
Внешняя среда
Порталы: B2B, BPO, Клиенты, Партнеры