Автор Евгений Афонин, архитектор решенй департамента информационной безопасности НРЕ в России
ИТ-инфраструктура современных предприятий усложняется день ото дня. Множество систем порождает огромный объем информации, который необходимо обрабатывать и анализировать, в том числе на предмет реальных и потенциальных угроз для безопасности. Можно нанять десяток-другой администраторов, однако гораздо дешевле и эффективнее установить SIEM-систему, способную собирать данные из многих источников, анализировать их и сообщать о возможных рисках и уязвимостях в корпоративной ИТ-инфраструктуре. Кроме того, она помогает предотвратить киберпреступления, связанные с мошенничеством, кражей информации и другими инцидентами.
По данным аналитического агентства Gartner, на протяжении нескольких лет одним из безусловных лидеров на мировом рынке SIEM-решений является ArcSight компании Hewlett Packard Enterprise. Этот продукт, изначально разработанный для нужд силовых ведомств США, несколько позже было разрешено использовать и коммерческим предприятиям. Компания ArcSight основана в 2000 году, а в 2010-м ее приобрела HP, которая и занимается развитием решения ArcSight, продвигая его на рынках США, Европы и других стран. В России оно появилось еще в 2007 году. С тех пор реализовано около 400 проектов по внедрению системы, для которой недавно ФСТЭК предоставил сертификат НДВ 4, гарантирующий отсутствие недекларированных возможностей. Это означает, что теперь ArcSight может использоваться в проектах по защите ПДн и защите АИС, не содержащих гостайну. Возможности HPE ArcSight в плане сбора, анализа и визуализации событий в области информационной безопасности хорошо известны российским организациям, кроме того, вокруг этого решения уже давно сформировалась широкая партнерская сеть системных интеграторов, с успехом реализующих проекты по внедрению ArcSight.
Компания Hewlett Packard Enterprise, правопреемница HP, продолжает развивать ArcSight, совершенствуя уже существующие компоненты и разрабатывая новые. Одна из новинок — ArcSight User Behavior Analytics — выявляет аномалии на основе анализа поведения пользователей и дополняет традиционную корреляцию, которая является базовой функцией ArcSight. Традиционный корреляционный механизм работает на основе правил, фиксирующих нештатные действия пользователей. При обнаружении инцидента он либо извещает администратора ИБ, либо автоматически выполняет заданную операцию: запускает скрипт, блокирует пользователя и т. д. В дополнение к этому поведенческий механизм User Behavior Analytics сообщает об инцидентах, схема и признаки которых еще не известны администраторам.
При разработке User Behavior Analytics был использован принцип самообучения на повседневных действиях пользователей. В дальнейшем активность, которая не укладывается в профиль нормального поведения, фиксируется как подозрительная в соответствии с рассчитанным уровнем риска. В качестве примера такого поведения можно привести изменение привычных действий пользователя, который, посылая в обычные дни не более десятка электронных писем, вдруг отправил 100 или 1000 сообщений. Для каждого пользователя в User Behavior Analytics автоматически формируется индивидуальный поведенческий профиль, и при выходе за его рамки система отправляет соответствующий сигнал. Такой подход упрощает работу администраторов ИБ, позволяя им реагировать только на важные инциденты и события.
Еще одно новое решение на платформе HPE ArcSight — DNS Malware Analytics. Оно анализирует DNS-трафик и обеспечивает полную видимость ИТ-инфраструктуры, что помогает выявить сетевые уязвимости еще до того, как ими воспользуются злоумышленники. Идея анализа DNS-трафика c целью обнаружения злонамеренной активности зародилась в исследовательском подразделении HP Labs четыре года назад, и вот уже полтора года созданное его специалистами решение тестируется в компании HP, осуществляя поиск зараженных машин, оказавшихся под управлением злоумышленников. Сложная гетерогенная сеть и огромное количество сотрудников — в таких непростых условиях проходили полевые испытания HPE ArcSight DNS Malware Analytics.
Сегодня это решение доступно и российским заказчикам. Принцип его работы следующий: зараженная машина пытается что-то загрузить или передать за пределы корпоративной сети; эти действия вызывают срабатывание профилей негативного поведения, и администраторы информационной безопасности оповещаются о происходящем, в том числе о типе зловредной троянской программы, которой заражен конкретный компьютер. Поскольку система анализирует исключительно DNS-трафик, она легко интегрируется с любыми сетями, и приобретать дорогостоящее сетевое оборудование не требуется. Как правило, традиционные средства защиты охраняют периметр сети (DMZ), но не весь зараженный трафик выходит за ее пределы, ведь сотрудник, работающий на своем ноутбуке, может находиться в любом месте (дома, в аэропорту, в кафе и т.д.). Анализ DNS-трафика позволяет выявить и обезопасить корпоративную сеть от подобного рода зараженных устройств. Наконец, DNS-трафик проще агрегировать: достаточно сконфигурировать инфраструктуру таким образом, чтобы копия трафика концентрировалась в определенном месте. Компания HPE обеспечивает корректную работу и актуализацию сигнатур, обозначающих заражение DNS-трафика.
Разработчики HPE ArcSight отслеживают новейшие тенденции рынка и изменения в предпочтениях заказчиков. Ежегодно в США проводятся всемирные конференции пользователей ArcSight, где обсуждаются пожелания по реализации новых возможностей, а также анонсируются новые модули и функции. С той же регулярностью такие пользовательские конференции проводятся и в Москве. Особый интерес при отборе докладов вызывают проекты, при реализации которых с помощью ArcSight удалось решить сложные или нетривиальные задачи в области информационной безопасности.
Помимо рассказа о новых компонентах HPE ArcSight, хотелось бы напомнить и о ключевых «столпах» решения. Прежде всего, это Security Data Platform — набор функций, отвечающих за сбор и классификацию событий, а также за их хранение и архивирование. В состав продукта наряду с коннекторами, выполняющими удаленный сбор событий, входят логгер, обеспечивающий их хранение, регулярный поиск и анализ, а также бесплатный Management Center, осуществляющий обновление коннекторов, резервное копирование всей инфраструктуры по сбору событий и мониторинг. Подобные возможности подходят для тех заказчиков, которым нужно получать информацию об инцидентах ИБ не в реальном времени, а в виде отчетов за неделю, месяц и т. д. Лицензируется Security Data Platform по объему обработанных данных, то есть полученных коннекторами с устройств заказчика. Сегодня коннекторы, входящие в состав Security Data Platform, поддерживают в качестве источников событий свыше 350 различных информационных систем от разных производителей, однако с помощью бесплатного SDK заказчики или партнеры могут самостоятельно написать такой коннектор для любой системы. Модуль SDP является полноценным продуктом, поэтому предприятия, не нуждающиеся в дополнительных возможностях, приобретают только его.
Другой базовый компонент ArcSight — Enterprise Security Manager — следит за событиями ИБ в реальном времени. Этот компонент необходим тем, кому требуется моментальная реакция на инциденты. Лицензируется Enterprise Security Manager исходя из количества событий, обработанных за секунду времени. Минимальный порог лицензии — 250 событий в секунду. Для сравнения достаточно отметить, что в компании Hewlett Packard Enterprise обрабатывается 40?50 тысяч событий в секунду. Внутри ESM находится модуль Threat Detector, который обнаруживает угрозы не по заранее запрограммированным сигнатурам, а на основе анализа необычного поведения и повторяющейся активности пользователей или приложений. Для представителей среднего или малого бизнеса предлагается специальная редакция ArcSight ESM Express? тоже полностью самостоятельный продукт. От «большого» ESM он отличается, пожалуй, лишь отсутствием нескольких функций, таких, например, как поддержка отказоустойчивого кластера.
Наконец, ArcSight Threat Central, интерактивная база знаний об угрозах, позволяет обмениваться сведениями о способах их обнаружения и ликвидации, а на портале MarketPlace содержатся правила и признаки выявленных угроз (пакеты безопасности) и дополнительные приложения. Разработчики из HPE надеются, что к формированию таких пакетов безопасности и созданию дополнительных приложений подключатся и партнеры компании.
Конечно, все проблемы в области информационной безопасности, как внешние, так и внутренние, вызваны прежде всего человеческим фактором. Причем это может быть не какое-то злонамеренное действие, а простая невнимательность и пренебрежение правилами и регламентами. Зачастую сотрудники ИБ-отделов не обращают особого внимания на небольшие инциденты, пока не случится ЧП. В то же время SIEM-решения, такие как HPE ArcSight, с одной стороны, помогают держать ситуацию под контролем, а с другой — своевременно оповещают о потенциальных проблемах, которые, если не обратить на них внимания, могут привести к катастрофическим последствиям.