АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОГО ЦЕНТРА БЕЗОПАСНОСТИ БАНКА

Сергей МаковецТехнический Директор ISSP

sergey.makovets@issp.ua

Ул. Николая Гринченка 4Тел. 044 390 03 01

Факс 044 390 03 02

• Компания Information Systems Security Partners – интегратор решений для безопасности информационных систем.

• Наше понимание системы информационной безопасности определяется как решение, которое обеспечивает стабильно высокий уровень безопасности, не ограничивая при этом возможностей, свободы и непрерывности бизнес-процессов.

Что такое операционный процесс безопасности (ОПБ) и его

проблематика

Информация

?

ЧТО НЕОБХОДИМО НАБЛЮДАТЬ ?

•Периметр

•Внутренняя сеть•Рабочие станции•Сервера

•Сотрудники•Приложения

•Партнеры•Клиенты•Моб. Сотрудники•Физ. безопасность

•Информация•Процессы•Политики

КАК УПРАВЛЯТЬ ПРОЦЕССОМ ИТ БЕЗОПАСНОСТИ ?

Аудит и Риски

Сетевой отделСопровождениеи поддержка

Безопасность

ИТ Операции

ИТ Управление

Управление развитием

Инфраструктура

?

? ????

?Проверкасоответствия

Управлениесетью

Управление пользователями

Внутренние и внешние угрозы

Мониторинг служб

Соблюдение стандартов

Управление конфигурацией

Доступность систем и сервисов

Неконтролируемая инфраструктура

Сложные и дорогие аудиты

Неэффективные ИТ операции

ВАША ИТ ИНФРАСТРУКТУРА УПРАВЛЯЕМАЯ ?!

НАРАЩИВАНИЕ СРЕДСТВ ИБ НЕ ВСЕГДА ВЕДЕТ К УМЕНЬШЕНИЮ РИСКОВ БЕЗОПАСНОСТИ.

НЕКОНТРОЛИРУЕМАЯ ИТ ИНФРАСТРУКТУРА ОПАСНА И НЕЭФФЕКТИВНА

ИНВЕСТИЦИИ В СИСТЕМЫ ИТ БЕЗОПАСНОСТИ НЕОПРАВДАНЫ БЕЗ АВТОМАТИЗАЦИИ ПРОЦЕССА УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ.

Система автоматизации операционного процесса безопасности

ПРИОРЕТИЗАЦИЯ

СБОР

АНАЛИЗ

АРХИВИРОВАНИЕ

ЗНАНИЯ

РЕА

ГИРО

ВА

НИ

Е

АРХИТЕКТУРА РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИБ

Регулятивные

Правила

Отчеты/Логика

Бизнес Другие

Механизмы реагирования

Коннекторы

Корреляция событий

Модули

Управление/Логика

Правила

Отчеты/Логика

Архивирование

Архитектура ArcSightдля автоматизации операционного процесса управления безопасностью.

ИНТЕГРАЦИЯ С ИТ ИНФРАСТРУКТУРОЙ

Регулятивные

Правила

Отчеты/Логика

Бизнес Другие

Механизмы реагирования

АрхивированиеКорреляция событий

Правила

Управление/Логика

Правила

Отчеты/Логика

Коннекторы ArcSight Компонент для интеграции с ИТ инфраструктурой

• Программный

• Аппаратный

• Резидентный

• Внешний

• ПрограммируемыйКоннекторы

КОННЕКТОРЫ ArcSight

СерверыМобильные системы

Рабочие станции

Приложения и службы

Базы данныхИсточники учетных записей

Электронная почта

Сетевые устройства

Устройства защиты

Физический доступ

•Базы Данных•Файлы и XML •Syslog•Журналы ОС•Директории•Приложения и устройства

•Фильтрация•Нормализация•Агрегация•Кэширование•Контроль загрузки канала•Шифрованная передача

WindowsFailed Login Event

OracleFailed Login Event

UNIXFailed Login Event

Badge Reader Entry Denied

OS/390Failed Login Event

НОРМАЛИЗАЦИЯ ОБЩИЙ ФОРМАТ

КОННЕКТОРЫ ArcSight

Стандартный формат события

Универсальный коннектор, который можно подключить к любому, даже «самописному ПО».

300+ продуктов Стандарт CEF (common event format)

ОПРЕДЕЛЕНИЕ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ

Регулятивные

Правила

Отчеты/Логика

Бизнес Другие

Механизмы реагирования

Правила

Управление/Логика

Правила

Отчеты/Логика

Коннекторы

Корреляция событий

Модуль ArcSight ESMКлючевой компонент системы

Собирает, хранит и анализирует информацию со всех устройств, систем и ПО в ИТ инфраструктуре.

Архивирование

КОРРЕЛЯЦИЯ

ArcSight ESM – интеллектуальный «мозговой центр» – сердце автоматизированного операционного центра безопасности.

Собирает события с любого ИТ оборудования, приложений и систем

Анализирует и коррелирует события, полученные с систем безопасности: DLP, IPS, URL-Filtering, Сканеры безопасности, SSO, AntiVirus, и т.д.

Анализирует информацию, полученную с систем физического доступа, корпоративных директорий, IdM, файловых серверов.

Обрабатывает информацию от бизнес приложений и платежных систем

Корреляция и анализ событий в реальном времени и по запросу в отношении пользователя/системы.

МЕХАНИЗЫМЫ КОРРЕЛЯЦИИ

Интеллектуальная корреляция для мониторинга в реальном времени и выявления аномалий

Приоритизация, основанная на модели рискаУменьшает ложные

срабатывания

Графический редактор правил

Не требуется программирование

Активные спискиАвтоматическая

эскалация событий об угрозах

Категоризация коннекторов

Корреляция архива

Корреляция прошедших событий, запланированная и корреляция по

запросу

Корреляция в памяти

Сотни правил корреляции «на лету»Мониторинг в реальном времени

Статистическая корреляция

Определение величин и отклонений от нормального

поведения

ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ АКТИВОВ

Правила

Отчеты/Логика

Механизмы реагирования

Правила

Управление/Логика

Архивирование

Уязвимость устройства

Уязвимо ли данное устройство к этому

типу атак?

История атакСобытия, связанные

с этой целью

Критичность Актива

Насколько важен данный актив для бизнеса?

Критичность устройства

Присвоение уровней критичности разным

типам устройств

Модель активов

Значимые активы

ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ ПОЛЬЗОВАТЕЛЕЙ

Роль Данное событие

сопоставимо с ролью пользователя,

который свершил его?

Профиль пользователяЭто нормальное

поведение?

ОпределениеКто скрывается за

данным IP адресом?

ПолитикаВлияние данного

проишествия на бизнес-риски

Модель пользователей

Значимые пользователи

ПРОФИЛИРОВАНИЕ АКТИВНОСТИ

Создание эталонных профилей нормальной и аномальной активности

АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ

Регистрация пропусков

Запросы к БД

Запись файлов на USB

VPN Логины

Просматриваемые файлы

Отправленные имейлы

Снимки экрана

Веб серфинг

Запущенныеприложения

Директории

Пользователи

Identity Management (IdM)

Роли

ArcSight IdentityView

ОПРЕДЕЛЕНИЕ МОШЕННИЧЕСТВА С АККАУНТАМИ

Удаленный сотрудник

ИНТЕРНЕТ

Локальный сотрудник

Firewall VPN

Файловые сервера Сервера БД

Системы физического доступа

Директория

Веб-ресурс

ХРАНЕНИЕ АРХИВА СОБЫТИЙ

Регулятивные

Правила

Отчеты/Логика

Бизнес Другие

Механизмы реагирования

Правила

Управление/Логика

Правила

Отчеты/Логика

Коннекторы

Корреляция событий

Модуль ArcSight LoggerКомпонент системы для долгосрочного хранения информации

• Собирает, хранит, и анализирует информацию о предприятии

• Нормализует информацию и предоставляет возможности гибкой выборки, отчетов и поиска

Архивирование

РАССЛЕДОВАНИЕЯ ИТ БЕЗОПАСНОСТИ

Нормализованные данные архива – идеальный инструмент для проведения расследований

“Насколько долго это у нас происходит?”“Кто еще в это вовлечен?”

Хранение событий в аутентичном и нормализованном виде

Функции отчетности, поиска и выборки, 10х архивация

ХРАНЕНИЕ АРХИВА СОБЫТИЙ

Регулятивные

Правила

Отчеты/Логика

Бизнес Другие

Правила

Управление/Логика

Правила

Отчеты/Логика

Коннекторы

Корреляция событий

Консоли и модуль реагированияНастраиваемые консоли для различных функциональных и служебных ролей офицеров безопасности, администраторов и руководителей.

Модуль автоматического реагирования для взаимодействия с директорией, сетевыми устройствами и приложениями.

Архивирование

Механизмы реагирования

КОНСОЛИ ВИЗУАЛИЗАЦИИ СОБЫТИЙ

Активные каналы для интуитивного расследования Панели управления с возможностью углубляться в детали

Обозревательные панели125 Интерактивных, графических окон представления (real-time data monitors) 48 встроенных панелей управления, с вложенными просмотрами деталей

Интерактивное обнаружение: визуальное расследование

Интуитивное расследование и панели управления

ГИБКАЯ СИСТЕМА ОТЧЕТОВ РАЗНЫХ УРОВНЕЙ ДЕТАЛИЗАЦИИ

30

Отчеты соответствия нормам Долгосрочный анализ

– события, нарушения политик, риски или другие типы данных

Легкий и интуитивно-понятный инструмент создания отчетов

Построение настраиваемых графических отчетов

GUI-based – Не требует программирования

Форматы экспорта:– HTML, XLS, PDF

МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ

Устройство, которое взаимодействует с инфраструктурой, превентивно реагируя на возможные угрозы.

Андрей Андреев в Киеве логинится в систему

Директория

login

Через 10 минут Андрей АндреевЧерез Днепропетровский прокси-сервер запрашивает соединение с внешнимвеб-ресурсом

Virus.com

BLOCK

DROP

МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ

Сетевой порт ее розетки блокируется автоматически

Татьяна уходит из офиса

Андрей заходит в офис Татьяны и видит включенный компьютер.

Но он не может подключиться к сетевым приложениям !!!!

СООТВЕТСТВИЯЕ СТАНДАРТАМ БЕЗОПАСНОСТИ

Правила

Отчеты/Логика

Бизнес Другие

Механизмы реагирования

Коннекторы

Корреляция событий

Модули

Управление/Логика

Архивирование

Поддержка отраслевых стандартов безопасности

Модули для соответствия стандартам безопасности.

Регулятивные

Правила

Отчеты/Логика

ЭВОЛЮЦИЯ ТЕОРИИ СООТВЕТСТВИЯ СТАНДАРТАМ БЕЗОПАСНОСТИ

2. Мы защищены? (Предотвращения нарушений и инцидентов)

a) Инвентаризация активовb) Сегментация сетейc) Инструменты для мониторинга и определения

угроз

3. Как улучшить безопасность? a) Корреляция событийb) Уведомление об инцидентах

и их анализc) Автоматизация процесса

управления безопасностью

1 2 31. Мы прошли аудит? (Избежание

штрафов)

a) Покупка технологийb) Наем специалистов ИБc) Описание политик

Полноценное соответствие стандарту PCI• Правила, политики, уведомления и отчеты

Прямое соответствие 12 требованиям

Трех-фокусная направленность:• Эффективное управление требованиями PCI• Подготовка к аудиту• Направленность на требования аудита

Более 100 отчетов формируют эффективное представление информации

28 правил автоматически определяют нарушение требования PCI

Многослойная система панелей управления предоставит детализированный вид о статусе соответствия стандарту PCI

PAYMENT CARD INDUSTRY (PCI)

PaymentCard Industry

Пример консоли, PCI требование 7

36

Ограничить доступ к данным о держателях карт только служебной необходимостью

Основные характеристики ОПБ

Эффективность инвестиций в технологии автоматизации

АВТОМАТИЗАЦИЯ МОНИТОРИНГА

НепрерывныйУстановка нового оборудования, слияние инфраструктур, реструктуризация, модернизация систем не влияют на процесс мониторинга.ВсестороннийВстроенная поддержка более, чем 300 системам, интеграция с абсолютно любым ПО, формат CEF, возможность чтения событий из разных источников

ЦелостныйНаблюдение за пользователями и процессами. Интеграция с корпоративными директориями, IdM, DAM, DLP, SSO системами.

АВТОМАТИЗАЦИЯ ОПРЕДЕЛЕНИЯИНЦИДЕНТОВ

ПродуктивныйОбработка сотен тысяч событий в час, анализ и корреляция в реальном времени.КомплексныйСложные механизмы корреляции информации об состояниях устройств, процессов и действий пользователей.

Корреляция в реальном времени, статистическая и корреляция архива.Управляемый и самообучаемыйВозможность создания своих правил корреляции, механизмов анализа и моделей поведения.

Профилирование активности пользователей позволяет выявлять мошенничество и некорректные процессы в штатном рабочем регламенте сотрудника

АВТОМАТИЗАЦИЯ ПРИОРЕТИЗАЦИИ

Мульти-критериальныйКаждый пользователь или актив имеет несколько критериев релевантности: важность, критичноcть, уязвимость…

КомплексныйМодели активов и пользователей позволяют правилам корреляции учитывать критерий значимости.

ИнтеллектуальныйАвтоматическое изменение статусов подозрительности/приоритетности/безопасности к активам и пользователям в зависимости от их активности.

АВТОМАТИЗАЦИЯ РЕАГИРОВАНИЯ

НастраиваемыйРолевой доступ к консолям, настраиваемые панели , разнообразные степени детализации и разграничение доступа к деталям события

АвтоматическийМодуль автоматического реагирования может настроить IPS и файерволл, заблокировать учетную запись, отправить команду сетевому устройству или программе.

Уведомления и отчетностьБолее 300 вариантов готовых отчетов, настраиваемые уведомления. Шаблоны отчетов по стандартам безопасности.

АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОЙ ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Эффективность операций по обеспечению ИТ безопасности и поддержке продуктов банка.

Рациональное использование человеческих ресурсов

Рациональное использование систем и средств информационной безопасности

Обнаружение мошенничества и превентивная защита от внутренних и внешних рисков

Определение и исправление некорректно работающих бизнесс-процессов

ПОЗИЦИИ ArcSight НА РЫНКЕ

6 лет подряд – лидер Gartner MQ

ArcSight первая компания, которая набрала 4 балла в Forrester WAVE

ПОЗИЦИИ ArcSight НА РЫНКЕ

ArcSight владеет наибольшей долей рынка SIEM систем, 16% на 2007 год

Заработок за 4й квартал составил : $39.3M

Доход компании увеличился на 34% за год.

Спасибо за внимание!

Сергей МаковецТехнический Директор ISSP

sergey.makovets@issp.ua

Ул. Николая Гринченка 4Тел. 044 390 03 01

Факс 044 390 03 02

SAASCRM

Content management

Newsletters

Data Centers

Word processing

Blog

Website

VoIP

eCommerce

File share

Corporate portals

Webinars

Virtualization

MobilityWebOffice

Videocasting

Videocasting

Trojans

SQL Injections

HTML Injections

Buffer Overflows

Cross-siteScripting attacks

Worms

Viruses inattachments

Spyware inattachments

Botnets

Rootkits

Interactive surveys

ExploitsFishing

Viruses

Mobile codeDatebases

Information leaks

Email

E-banking

DoS

НОВЫЕ ВОЗМОЖНОСТИ ИЛИ НОВЫЕ УГРОЗЫ ?

КАК ОПРЕДЕЛЯТЬ ИНЦИДЕНТЫ ?

Серверы

Приложения

БД

Данные

Пользователи

Доступ кAD

Управление доступом

Физическая

защита

ПК ипериферия

DMZ

Периметр

Сетевое оборудование / Безопасность

Внешняя среда

Порталы: B2B, BPO, Клиенты, Партнеры