Аналитические решения IBM для информационной безопасности
Корпорация IBM представила новые функциональные и интеграционные возможности, которые были запланированы для ее платформы анализа угроз ИТ-безопасности. Комплексное решение IBM объединяет в себе средства углубленного анализа и информационные каналы с данными, поступающими в реальном времени из сотен разных источников; с ее помощью организации смогут в упреждающем режиме защищать себя от все более изощренных угроз и атак.
При создании системы ИТ-защиты многие компании пытаются совместить технологии, которые не интегрируются в автоматическом и саморегулируемом режиме. Такой «лоскутный» подход создает опасные лазейки, которыми могут воспользоваться злоумышленники. Платформа QRadar Security Intelligence Platform, разработанная компанией Q1 Labs и приобретенная IBM осенью прошлого года, решает эту проблему, выступая в роли центра управления, который собирает и обобщает оперативные данные о событиях и угрозах безопасности, охватывая свыше 400 различных источников.
Для реализации в платформе ИТ-безопасности были запланированы следующие основные возможности:
- доступ к обобщенной информации об угрозах — планировалось обеспечить доступ к информации одного из крупнейших в мире хранилищ данных о выявленных ИТ-угрозах и уязвимостях. Эта информация базируется на поступающих по каналу IBM X-Force Threat Intelligence Feed результатах мониторинга, в рамках которого ежедневно отслеживается в среднем 13 млрд событий безопасности для почти 4000 клиентов более чем в 130 странах. Доступ к обобщенной информации о существующих угрозах и уязвимостях позволяет идентифицировать поведение, которое можно связать с «постоянными угрозами повышенной сложности» (Advanced Persistent Threats, APT).
- контроль активности в масштабе предприятия — платформа будет аккумулировать информацию о событиях безопасности, связанных с продуктами IBM и третьих фирм, которая охватывает четыре области организационного риска: инфраструктуру, людей, приложения и данные.
- детальный анализ «больших данных» — аналитическая платформа может оперировать на уровне базовых элементов данных, что позволяет анализировать широкий спектр событий, от информации о доступе к корпоративной сети на периферии организационной структуры до показателей активности запросов к базе данных в рамках основной деятельности предприятия.
Аналитическая платформа, к функциональности которой будут добавляться новые интеграционные возможности, способна быстро определять аномальную активность путем комбинирования контекстной осведомленности о новых угрозах безопасности и методах, используемых киберпреступниками, с оперативным (в реальном времени) анализом трафика в корпоративной ИТ-инфраструктуре. В частности, будущие интеграционные интерфейсы позволят платформе выявлять ситуации, когда, например, сразу после нескольких неудачных попыток входа на сервер базы данных следует успешная авторизация и вход в систему, после чего запрос и доступ к таблице базы данных с номерами кредитных карт и затем – отправка этих конфиденциальных данных на неизвестный удаленный Web-сайт.
Одна из наиболее важных интеграционных инициатив для платформы QRadar – информационный канал IBM X-Force Intelligence Threat Feed. Платформа QRadar будет обладать полной информационной картиной о новейших тенденциях безопасности и будет отображать текущие информационные ленты IBM X-Force с описанием ИТ-угроз и уязвимостей в инструментальных панелях (dashboard) для пользователей и сопоставлять события безопасности и сетевой активности в масштабе организации с этими угрозами и уязвимостями в режиме реального времени на основе автоматизированных политик.
Запланированы также и другие интеграционные возможности, которые позволят платформе QRadar Security Intelligence Platform более оперативно выявлять и идентифицировать ИТ-угрозы путем контекстуального связывания событий из четырех категорий.
Люди: несанкционированный доступ сотрудников к критически важным базам данных и информации о клиентах делает компанию уязвимой к взлому систем, краже данных и другим угрозам безопасности. С помощью специальных аналитических инструментов специалисты по ИТ-безопасности могут быстро определить, соответствует ли ролевая модель доступа, продемонстрированная конкретным пользователем, его должности, полномочиям и привилегиям в организации. Платформа QRadar будет интегрирована с программным обеспечением IBM Security Identity Manager и IBM Security Access Manager, что дополнит существующую поддержку QRadar служб корпоративных каталогов, таких как Microsoft Active Directory.
Данные: это главная цель для киберпреступников, поэтому на их защиту направлены все меры и средства безопасности. Используя ПО IBM Guardium Database Security, интегрированное с аналитической платформой безопасности, организации смогут лучше определять и сопоставлять несанкционированную или подозрительную активность на уровне базы данных –например, доступ администратора баз данных к таблицам с номерами кредитных карт в нерабочее время – с аномальной активностью, обнаруженной на сетевом уровне – например, когда записи по кредитным картам отсылаются на неизвестные серверы в Интернете.
Приложения: они могут привносить новые серьезные уязвимости в корпоративные сети. Приложения, в силу своей чувствительности к внешним воздействиям, должны регулярно обновляться. Аналитическая платформа может автоматически предупреждать персонал службы ИТ-безопасности о Web-приложениях, на которых не установлены свежие обновления. Такие приложения находятся под постоянным риском атак с применением известных эксплойтов, предварительно опознанных приложением IBM Security AppScan. Эта интеграция дополняет поддержку платформой QRadar средств мониторинга приложений корпоративного класса, таких как IBM WebSphere и SAP ERP.
Инфраструктура: компании должны принять дополнительные меры предосторожности, особенно учитывая популярность подхода Bring Your Own Device, чтобы помочь сотрудникам строго соблюдать правила информационной безопасности при использовании мобильных устройств. Благодаря интеграции с IBM Endpoint Manager аналитическая платформа безопасности может обеспечить усиленную защиту физических и виртуальных конечных вычислительных устройств – серверов, настольных компьютеров, ноутбуков, смартфонов и планшетов, а также специализированного оборудования – расчетно-кассовых терминалов, банкоматов, интерактивных киосков.
Интеграционные модули платформы QRadar запланированы также для Symantec DLP, Websense Triton, Stonesoft Stonegate и других продуктов третьих фирм. Такая стратегия интеграции расширяет экосистему QRadar и поддерживает традиционный подход Q1 Labs к «мультивендорным» гетерогенным средам.
Кроме того, платформа QRadar расширена возможностями работы с «большими данными», в частности, функциями хранения и поддержки запросов к большим объемам информации, связанной с безопасностью. Кроме того, добавлены функции обеспечения безопасности виртуализованных инфраструктур, расширен и улучшен визуальный контроль.
Среди новых возможностей – функция «мгновенного поиска» (Instant Search) для поддержки быстрых запросов свободной формы как для журналов регистрации событий, так и для потоков данных; устройства серий XX24, предназначенные для увеличения производительности и масштабируемости; система интеллектуального управления политиками хранения данных; виртуальные устройства, которые позволяют использовать преимущества менее дорогих и полнофункциональных аналитических решений для обеспечения безопасности.
Запланированные интеграционные модули (модули сопряжения или модули поддержки устройств) будут поставляться совместно с QRadar Security Information Event Management (SIEM) и QRadar Log Manager без дополнительной оплаты и через автоматические обновления. Расширения для виртуальной инфраструктуры и работы с Большими данными уже доступны; выпуск интеграционных модулей платформы QRadar для IBM Guardium Database Security запланирован на I квартал 2012 г. Интеграционные модули для IBM X-Force Threat Intelligence, Security Identity Manager, Security Access Manager, Security AppScan и Endpoint Manager будут доступны, как ожидается, во II квартале.