В ряду современных ИБ-угроз наиболее серьезную опасность для тех компаний, которые сумели решить основные задачи обеспечения корпоративной ИБ и благодаря этому способны противостоять массированным кибератакам, представляют собой целевые долговременные атаки (APT).
В APT-атаках применяются самые передовые, изощренные, узконаправленные методы взлома: вредоносные программы с легитимной цифровой подписью, шифрование кодов заражения, стандартные порты и протоколы для проникновения, уязвимости нулевого дня, ботнеты для распределенных нападений, социальные сети для управления атаками, персонализированная социальная инженерия и т. д. Для противодействия APT требуются проактивные средства защиты в комплексе со средствами автоматизации анализа ИБ-событий.
RSA, являющаяся подразделением информационной безопасности корпорации EMC, объявила о выпуске программного продукта Security Analytics, который, согласно заявлению представителей компании, поможет корпоративным ИБ-службам противостоять современным вызовам ИБ, в том числе и нацеленным на их компании APT-атакам. По оценкам RSA, новинка способна помочь сократить время реагирования на APT-угрозу с месяцев и недель до часов.
Как сообщил руководитель по работе с партнерами в России и СНГ RSA EMC Александр Чигвинцев, Security Analytics является результатом интеграции функционала, присущего системам управления событиями и информацией о безопасности корпоративных ИТ- инфраструктур (SIEM) и системам управления и мониторинга сетевой безопасностью (Network Security Monitoring), и удовлетворяет новым требованиям, которые RSA предъявляет к системам управления корпоративной ИБ, а именно: поддерживает сбор и обработку больших массивов данных (больших данных); повышает скорость анализа и расследования потенциальных угроз до режима близкого к реальному времени; обеспечивает масштабируемость управления ИБ независимо от размеров и сложности контролируемой ИТ-инфраструктуры; непрерывное пополнение базы знаний системы данными, получаемыми экспертами RSA. В RSA считают, что сочетание таких свойств позволило реализовать в Security Analytics качественно новую систему обеспечения корпоративной информационной безопасности.
Инфраструктура сбора информации Security Analytics базируется на технологии NetWitness NexGen, обеспечивающей масштабируемость продукта в соответствии с обслуживаемой ИТ-инфраструктурой.
Модуль Data Warehouse использует технологию Hadoop для работы с большими данными и позволяет разделять их на оперативные и те, которые потребуются для ретроспективных расследований инцидентов, и хранить те и другие необходимое время. Масштабируемость Data Warehouse устраняет зависимость времени аналитической обработки данных от объема хранимой информации.
Модуль аналитики позволяет выявлять аномалии и корреляции между ними, визуализировать данные и строить отчеты. Обеспечивая подключение решения к серверам поддержки компании RSA, механизм Life позволяет в онлайновом режиме обновлять аналитические приложения и модернизировать механизмы выявления корреляций ИБ-событий. Для этих обновлений используется также экспертиза, накапливаемая в центрах безопасности корпорации EMC (Critical Incident Response Center), расположенных в США и Индии.
Входящие в NetWitness Next Jem сборщики данных при развертывании продукта расставляются там, где накапливается информация о работе ИТ-инфраструктуры, в том числе и в удаленных филиалах. Собранную информацию в формате метаданных, облегчающем поиск и аналитическую обработку, они передают серверам-концентраторам, оптимизирующим поиск данных.
Security Analytics позволяет хранить как обработанные данные (индексированные метаданные), так и “сырые” данные из журналов ИБ- и ИТ-устройств, что помогает выявлять атаки в наиболее сложных случаях, а также фиксировать данные должным образом для их использования в криминалистической экспертизе как доказательной базы при расследовании инцидентов.
Управление решением, построенном на Security Analytics, осуществляется через веб-интерфейс, что позволяет ИБ-службе подключаться к системе по Интернету. По словам г-на Чигвинцева, набор метаданных, необходимых для выявления аномалий, для аналитиков несложно настраивать и вручную. Security Analytics тесно интегрирован с другими продуктами их компании, в том числе с популярным продуктом Archer Risk Management. Для интеграции с разработками других вендоров предусмотрены API-интерфейсы.
Как утверждают специалисты RSA, модульность и масштабируемость Security Analytics делает его доступным по ценовому критерию не только для крупных компаний. Главным критерием выбора нового продукта является готовность ИБ-службы компании эффективно использовать его возможности.
По словам директора по продажам в Россия и СНГ RSA EMC Александра Вологдина, Security Analytics соответствует не только потребностям внутрикорпоративного использования, но и пригоден для применения сервис-провайдерами ИБ-услуг. Для этого в нем реализована поддержка виртуализированных ИТ-ресурсов и облачной архитектуры ИТ, в том числе и публичной.
К настоящему времени, сообщил г-н Чигвинцев, RSA имеет опыт успешной полугодовой эксплуатации Security Analytics в тестовом режиме примерно в десяти зарубежных компаниях. В России открыто несколько тестовых проектов, в которых Security Analytics используется в облачной архитектуре в варианте предоставления ИБ-сервисов.