Bina sos. En güvenli SOC

Met kısaltmaları: SiP ve SoC. Bu nedir?

SiP (System-in-Package) teknolojisi, en azından kablosuz çözümler için SoC'ye (System-on-Chip, "system-in-chip") alternatif olarak giderek daha popüler hale geliyor.

Bu iki yaklaşım arasındaki fark, ilk durumda, birkaç entegre devre kristalinin (çip) tek bir pakette birleştirilmesi ve ikinci durumda, gelecekteki hazır çözümün tüm düğümlerinin bir pakette yürütülmesi gerçeğinde yatmaktadır.

Aynı zamanda, SoC teknolojisini kullanırken, tasarımcıların bağlantıları geliştirmek, öğelerin düzenini optimize etmek vb. için daha fazla zaman harcaması gerekir.

SoC ve SiP arasındaki seçim her zaman çok zordur.
Bununla birlikte, birçok üretim ve tasarım sorunu çözülmüş veya çözülmeye yakın olduğundan, bitmiş bir ürün oluşturmak için çok az zaman olduğunda SiP daha çekici bir teknoloji haline geliyor.

Bu, özellikle sistemde farklı standartlar için düğümler olduğunda (örneğin, hücresel iletişim, Wi-Fi ve Bluetooth için temel mantık işlemcisi) olduğunda veya üretici, geçmemiş "silikonda uygulama" teknolojisini aradığında geçerlidir. standardizasyon süreci.

SiP'ler neredeyse doğrusal olarak büyürken, SoC'lerin maliyeti ve geliştirme süresi artan tasarım karmaşıklığıyla katlanarak artar.

Tasarımda analog bileşenler varsa, bunların optimum performansı genellikle hiçbir şekilde minimum değer olmayan üretim standartlarının kullanılmasını gerektirir.

Bu nedenle, mantık IC'lerinin üretimi şimdi 65 nm aşamasından geçiyorsa, daha düşük standartlara doğru ilerliyorsa, tasarımda yalnızca analog bileşenlerin bulunması, üreticinin SiP'yi seçmesine neden olabilir.

Ek olarak, bu teknoloji yeterli sayıda pasif öğeyi doğrudan kasanın içine yerleştirmenize olanak tanır.

Tamamen mantıklı tasarımlar için, son ürün üreticilerine büyük kolaylık sağlayan SoC'lerin uzun bir süre daha çekici olması muhtemeldir.

SiP'ler genellikle akıllı telefonlar ve giyilebilir cihazlar gibi küçük elektronik cihazlarda kullanılır.
SoC, geliştiricilerin, Bluetooth 5'i yeni ürünlere entegre etmeyi kolaylaştıran Bluetooth 5 SoC gibi yeni protokollerin benimsenmesini hızlandırmasına yardımcı olabilir.

AMD Radeon Yazılımı Adrenalin Sürümü Sürücüsü 19.9.2 İsteğe Bağlı

Yeni AMD Radeon Software Adrenalin Edition 19.9.2 İsteğe bağlı sürücü, Borderlands 3'teki performansı artırır ve Radeon Image Sharpening desteği ekler.

Windows 10 Toplu Güncelleme 1903 KB4515384 (eklendi)

10 Eylül 2019'da Microsoft, Windows 10 sürüm 1903 - KB4515384 için bir dizi güvenlik iyileştirmesi ve Windows Arama'yı bozan ve yüksek CPU kullanımına neden olan bir hatayı düzelten toplu güncelleştirmeyi yayımladı.

Sürücü Oyunu Hazır GeForce 436.30 WHQL

NVIDIA, şu oyunlarda optimizasyon için tasarlanmış Game Ready GeForce 436.30 WHQL sürücü paketini yayınladı: "Gears 5", "Borderlands 3" ve "Call of Duty: Modern Warfare", "FIFA 20", "The Surge 2" ve "Code Vein", önceki sürümlerde görülen bir dizi hatayı düzeltir ve G-Sync Uyumlu kategorisindeki ekranların listesini genişletir.

Kasım ortasında Moskova'da gerçekleşen SOC Forumu ile ilgili tartışmalar sosyal ağlarda ve bloglarda bitmiyor. Genel oturumun moderatörü Oleg Sedov, konuşmacılardan terimler ve tanımlar hakkında tartışmamalarını istedi ve konuyu daha fazla tartışmaya bıraktı. Terimlerden veya daha doğrusu SIEM'in SOC'suz ve SOC'nin SIEM'siz varlığından bahsederek ertelenen konuya dönmek istiyorum.

"O" ne anlama geliyor?

SOC Forum katılımcıları SOC nedir sorusuna çeşitli cevaplar verdiler. Bazı tanımlar, olayın aforizmaları koleksiyonuna sonsuza kadar girmiştir ve bahsetmeye değerdir: "SOC ve bilgi güvenliği hizmeti bir ve aynıdır", "SOC bir dürbündür", "Her şeyi bir SOC paketine sarabilirsiniz, hatta düzenleyicileri bir fiyonk ile üste bağlayın.” Özellikle "SOC'de" O "harfi gereksiz ve her şey açık" yanıtından memnun kaldım.

Ve Güvenlik Merkezi ile ilgili her şey gerçekten açıksa, kısaltmadaki geniş "O" harfi ne anlama geliyor? Geniş anlamda Operasyonlar, "aynı ürünün üretimi veya tekrar eden bir hizmetin sağlanması için eylemlerin sürekli olarak gerçekleştirilmesini amaçlayan bir işlev" olan operasyonel faaliyetler olarak anlaşılmaktadır. Bizim bağlamımızda Operasyonların, bilgi güvenliğini sağlama sürecinin sürekli bir uygulaması veya bilgi varlıklarının güvenlik durumunun sürekli olarak korunması olduğu ortaya çıktı. Ve buradaki anahtar kelime “sürekli”.

Bilgi güvenliği hizmeti, bir düzine bilgi güvenliği aracı sınıfı sunarak kendi SOC'sini oluşturdu mu? IS hizmeti, istek üzerine başvuruları değerlendiren ve erişim haklarını kabul eden / iptal eden, bir EDS yayınlayan, güvenlik duvarları için kurallar koyan SOC'nin işlevlerini yerine getiriyor mu? SOC'yi başka bir hasardan sonra deliklerin yama işlemi olarak adlandırmak doğru mu? Belli ki değil.

Bu arada, Batılı meslektaşları için terminolojiyle ilgili her şey net değil. “Burada SOC olarak belirtilen özel ekip, farklı kuruluşlarda farklı şekilde anılabilir: CSIRT (Computer Security Incident Response Team - bilgisayar güvenliği olay müdahale ekibi), CIRC (Computer Incident Response Center - bilgisayar olay müdahale merkezi), CERT (Bilgisayar) Acil Durum Müdahale Ekibi - bilgisayar acil durum müdahale ekibi) veya "ağ", "bilgisayar", "siber", "olay", "operasyonel", "koruma" veya "kurumsal" sözcüklerini kullanan diğer birçok varyasyon (C. Zimmerman. On Strateji Dünya Çapında bir Siber Güvenlik Operasyon Merkezi, 2014). Ancak - farkı hissedin: Rus profesyonel topluluğu SOC'nin ne olduğundan bahsederken, Batılı meslektaşlar tüm nesiller boyunca SOC'ler diyor.

Örneğin, Ernst & Young analistleri üç nesil saydılar. İlk SOC'ler, bilinen virüs ve izinsiz giriş imzaları için uyarılara dayanıyordu ve kuruluşların iyi bilinen saldırı profillerini belirlemesine olanak tanıyordu. İkinci nesil SOC'ler, bilinen bir saldırının tespiti ile bloke edilmesi arasındaki zaman aralığını azaltmak için 7x24 çalışma ve aktif bilgi koruma araçlarını uygulama ihtiyacını fark etti. Üçüncü nesil SOC, bilgi alışverişi süreçleri, saldırı eğilimlerinin analitiği ve kullanılan araçlarla desteklenir ve büyük hacimli verilerde anormallikleri bulma işlevleriyle donatılır - tüm bunlar proaktif izleme ve korumanın uygulanması için.

HP Security Intelligence and Operations Consulting'den (SIOC) danışmanlar tarafından beş nesile daha ayrıntılı bir bölünme gerçekleştirildi. 1975'ten 2014'e kadar SOC konusunun gelişimini, bilgi güvenliği olaylarının denetim günlüklerini düzenli olarak gözden geçirme görevinin izolasyonundan başlayarak ve henüz uygulanmamış saldırı vektörlerini bulmaya yönelik proaktif yaklaşımların üretilmesiyle sona ererek analiz ettiler. şirket.

SIEM var, ancak SOC hiç ortaya çıkmadı

Son zamanlarda, bloglardan birinde ilginç bir konu gündeme geldi: SIEM bir ürün mü yoksa bir süreç mi? Öncelikle Güvenlik Bilgileri ve Olay Yönetimi (SIEM), bilgi güvenliği olaylarının toplanması, toplanması ve filtrelenmesi, birleştirilmesi, saklanması ve aranması, ilişkilendirilmesi, bildirimi ve yanıtlanması, görselleştirilmesi, analizi/incelenmesi mantığına sahip bir üründür. Ancak ürünle birlikte, kullanıcı genellikle işlevlerin ve talimatların bir açıklamasını alır ve bunlar zaten süreçlerdir. Bazı bilgi güvenliği hizmetleri için böyle bir ürünün satın alınması SIEM süreçlerinin uygulanmasında başlangıç ​​noktası olurken, diğerleri ise tam tersine şirketin mevcut SIEM süreçlerine uyacak şekilde özelleştirilebilen esnek bir SIEM ürününe ihtiyaç duyacaktır. Evet, bazı SIEM süreçleri zaten mevcut, ancak henüz bir SIEM ürünü yok.

SIEM ürünü etrafında oluşturulan süreçlere daha yakından bakabilirsiniz. Bu konuda pek çok yabancı tavsiye var, örneğin süreçlerin üç gruba ayrılması öneriliyor (A. Chuvakin. SIEM analytics: Süreç, ürünlerden daha önemlidir).

1. Temel (destekleyici) süreçler aşağıdaki prosedürleri tanımlar:
   • bilgi güvenliği olaylarının kaynakları hakkında bir denetim toplamak ve ayarlamak;
   • SIEM çalışmasının kalitesini ve gelişimini değerlendirmek;
   • SIEM içerik ayarları (kurallar, raporlar, panolar vb.).
2. Uyum süreçleri aşağıdaki prosedürleri tanımlar:
   • bilgi güvenliği olay raporlarının düzenli olarak gözden geçirilmesi;
   • Düzenleyici gerekliliklerle belirlenen uyumsuzluğa yanıt
3. Sürekli gerçek zamanlı izleme ve incelemelerle ilişkili süreçler (bunlar pratik açıdan en büyük öneme sahiptir) aşağıdaki prosedürleri açıklar:
   • olay bildirimlerinin işlenme sırasının belirlenmesi;
   • yanlış uyarıları engellemek için kullanıcıların ve sistemlerin davranışlarının profilinin çıkarılması;
   • gelen IoC'lerin (uzlaşma göstergeleri) analizi ve bunların SIEM'deki altyapı ve olay kaynaklarıyla alakalarının değerlendirilmesi;
   • tanımlanmış bilgi güvenliği olaylarına müdahale;
   • İşlenmiş olayların yeniden ortaya çıkma olasılığını azaltmak.

Her prosedür bir dizi düzenleme ve talimat içerir. Bilgi güvenliği danışmanlarından oluşan bir ekip, örneğin NIST SP 800-92 "Bilgisayar Güvenliği Günlük Yönetimi Kılavuzu" ve SP 800-61 R2 "Bilgisayar Güvenliği Olay Yönetimi Kılavuzu" gibi bir dizi tavsiyeye dayalı olarak farklı düzeylerde birkaç düzine belge derleyebilir. ". Ancak, bu belgelerin genel yönü bence açık.

SOC nedir?

Son yıllarda SIEM entegratörleri ve üreticileri, SOC'nin "SIEM platformu + SIEM süreçleri + insanlar" olduğu fikrini kitlelere aktif olarak tanıtmaktadır. Bu formül ne kadar doğru, unutulan önemli bir şey mi var?

Yurt dışında elde edilen şey, fikirlerin genelleştirilmesi ve SOC kavramının çoğu uzmanın hemfikir olduğu fikir ve işlevlerle doldurulmasıdır. “SOC, olayları tespit etmek, kontrol altına almak, analiz etmek ve hasarı azaltmak için teknolojiler ve süreçler kullanarak bir kuruluşun risklerini azaltmak için oluşturulan merkezi bir kurumsal güvenlik izleme ekibidir” (Creating an SOC, SANS, 2015). İlk olarak, risklerin anlaşılmasını ve ikinci olarak, işin riskleri azaltma yönünde amaçlı olarak teşvik edilmesini gösteren “kurumun risklerini azaltmak için” kilit noktasına dikkat edin.

SOC'nin insan ve teknolojilerle değil, her şeyden önce şirketteki bu tür faaliyetlerin misyonunu ve üst düzey görevlerini anlamakla başladığı ortaya çıktı. Ardından, bir SOC oluşturmak, bunlara ulaşmak için temel başarı ölçütlerini ve KPI'ları tanımlamayı gerektirir. SIEM satın alırken bir iş hedefinin olmaması, tüm SIEM sürecini Solar Security istatistiklerine göre bir yıl içinde şirketlerin %80'i için ilgi çekici olmaktan çıkacak olan idealsiz bir izlemeye dönüştürecektir.

Bir SOC oluşturmak için aşağıdaki fikirler kullanılabilir:

• şirketten hızlı bir şekilde para çekmeyi amaçlayan siber suçların önlenmesi;
• birleşme ve devralma dönemlerinde şirketin bilgi varlıklarının güvenliğini sağlamak;
• müşteri hesaplarıyla dolandırıcılığın ve para hırsızlığının önlenmesi;
• işlenmek üzere alınan kritik müşteri bilgilerinin tehlikeye atılmasının önlenmesi;
• ticari sır rejimi ihlallerinin tespiti veya diğer gizli bilgi türlerinin işlenmesi.

Birinci Sınıf Bir Siber Güvenlik Operasyon Merkezinin On Stratejisine göre, bir şirkette bu tür faaliyetleri organize etmek için geliştirilmesi gereken belgelerin listesi, sonunda SOC'yi "hissetmenize" yardımcı olacaktır:

• kuruluş başkanı tarafından imzalanan SOC tüzüğü,
• SOC'nin misyonunu ve sorumluluğunu tanımlar;
• SOC yetkileri - SOC tüzüğünü SOC'nin yükümlülüklerinin bir açıklamasıyla tamamlar ve şirketin diğer departmanlarını SOC'nin amaç ve hedeflerine ulaşılmasına yardımcı olmaya mecbur eder;
• SOC geliştirme planı - SOC ekibi ve dış ortaklar tarafından anlaşılabilen bir dizi kısa vadeli ve uzun vadeli görev;
• SOC görevlerinin uygulanması için operasyonel, işlevsel ve sistem gereksinimleri;
• SOC bütçesi;
• izleme alt sisteminin mimarisinin açıklaması vb.

Bu nedenle, SOC içindeki bir SIEM ürünü, günlüklerin işlenmesiyle ilgili rutin görevleri otomatikleştirmeye yönelik teknolojilerden biridir. Prensip olarak, SIEM'siz SOC, üst düzey hedeflere ulaşabilir - tek soru, kullanılan yöntemlerin etkinliği ve olgunluğudur. Ancak, 87 SOC'nin 110'dan fazla denetimini gerçekleştiren HP SIOC'ye göre, SIEM'siz tek bir SOC bile minimum olgunluk düzeyini karşılamadı.

SOC'nin nasıl organize edilmesi gerektiğine dair en eksiksiz anlayış, Ernst & Young'ın "Siber suçlara karşı SOC" raporundan gelmektedir. SOC'nin üst yönetim desteği, misyon tanımlama, yatırım ve strateji geliştirme ile başladığı, işe alım, metodoloji oluşturma, bilgi güvenliği risklerini en aza indirmek için gerekli teknolojileri ve ortamı kullanma, trendleri analiz etme ve periyodik raporlama ile devam ettiği ve sürekli raporlama ile sona erdiği söylenebilir. iyileştirme süreçleri.

SOC görevlerinin çoğu (öncelikle SIEM'de bilgi güvenliği olaylarının işlenmesi, saldırı eğilimi analitiği, tehdit bilgisi toplama, olay araştırması) bir MSSP sağlayıcısına yaptırılabilir. Ancak, bir şirkette bir SOC başlatma fikrini ve misyonunu, olayların ve kayıpların sorumluluğunu dışarıdan almak zordur. Ve MSSP sağlayıcısının sorumluluğu yakın gelecekte ayrıca tartışılmalıdır.

Operasyonel Bilgi Güvenliği Yönetimi Merkezi'nin oluşturulması için ön koşullar

Rus bilgi güvenliği uzmanlarına göre, şu anda Rus şirketlerinde bilgi güvenliği düzeyi Batılı şirketlere kıyasla çok yüksek değil, ancak gelişme hızı birçok kat daha yüksek. Bunun nedeni yalnızca 152-FZ, PCI DSS, STO BR gibi yeni düzenlemeler ve yasalar değil, aynı zamanda bilgi güvenliğinin ciddi bir şekilde ele alınması gerektiğinin fark edilmesi, sistematik olarak inşa süreçleri. Aksi takdirde, sadece altyapı unsurlarını kaybetme riski değil, aynı zamanda gerçek finansal kayıplara da maruz kalma riski vardır.

Sisifos emeği

Hızla gelişen altyapıda artık onlarca değil, yüzlerce hatta binlerce cihaz var. Bazı yönlendiriciler veya güvenlik duvarları birkaç düzine olabilir. Hepsi büyük miktarda bilgiden geçer, cihazlarda meydana gelen tüm olaylar dahili günlüklere kaydedilir. Ancak bu kadar çok olayı merkezi olarak izlemek, analiz yapmak ve bilgi güvenliği politikasını ihlal eden olayları tespit etmek imkansız olduğu için aslında işe yaramazlar.

Bu nedenle, örneğin, hemen hemen her kuruluşta, kullanıcıların finansal bilgilere ve veritabanlarındaki işlemlere erişiminin günlüğe kaydedilmediği bir durum görüyoruz. Yetkisiz erişim veya veritabanından bilgi sızması durumunda, tablolarda kimin değişiklik yaptığı, erişimin nereden yapıldığı ve kritik verileri kimin kopyaladığı takip edilemez.

Buna göre, çok sayıda antivirüs, ekran ve diğer aktif bilgi koruma araçlarına rağmen, altyapıda neler olup bittiğine dair tek bir resim yok. Tüm koruma öğeleri ayrı ayrı yapılandırılır ve çalışır, ancak aralarında bir dizi koruma aracının etkin kullanımına, olayları mümkün olan en kısa sürede belirlemeye ve proaktif davranmayı öğrenmeye izin verecek tek bir bağlantı yoktur.

Mevcut bilgi güvenliği araçları setinin, çeşitli ağ ekipmanlarının ve uygulamalarının verimliliğini nasıl artırabilirsiniz? Jet Bilişim uzmanları, bilgi güvenliğinin sağlanması ve kurumsal korumanın etkinliğinin artırılması gibi birçok güncel soruna çözüm olarak bilgi güvenliği kontrol merkezi kurmayı görmektedir. Bu kavram ile ne demek istediğimizi, hangi unsurların dahil edilebileceğini, bilgi güvenliği olaylarının tespit edilmesinde ve ortadan kaldırılmasında nasıl verimlilik sağlanacağını tanımlayalım.

Rusya'da SOC uygulaması

Bir uzman görüşü bildirmeden ve herhangi bir tavsiyede bulunmadan önce, Rusya'da Bilgi Güvenliği Kontrol Merkezlerini organize etmeye yönelik çeşitli yaklaşımları ele alacağız. Genel olarak konuşursak, SOC, risk yönetimi, bilgi sızıntısı kontrolü ve erişim kontrolü ile birlikte genel bilgi güvenliği yönetimi sürecinin bir parçasıdır. SOC inşa eden çoğu Rus şirketinde, tüm bu süreçler bir bilgi güvenliği stratejisinin geliştirilmesine paralel olarak ilerler.

Esas olan insandır

Spesifik, en çarpıcı örneklere bakalım. En büyük Bilgi Güvenliği Kontrol Merkezlerinden biri bir telekom operatörüne aittir. Şirket birkaç ülkeyi kapsıyor ve 40.000'den fazla kişiyi istihdam ediyor. Bu tür ölçekler, özellikle bilgi güvenliği ile ilgili olayların kaydedilmesi açısından, bilgiyle çalışmaya kendi özelliklerini empoze eder. Güvenlik Operasyon Merkezi süreçler, insanlar ve teknoloji olmak üzere üç temel alana dayanmaktadır. Her SOC üyesi, rollerini ve sorumluluklarını, yanıt verme kurallarını ve diğerleriyle etkileşim süreçlerini bilir.

Bu şirkette uygulanan, birkaç ana alanı kapsamaktadır. Birincisi, 2000'den fazla cihazdan günlükleri toplayan bir bilgi güvenliği olay toplama ve ilişkilendirme alt sistemidir. Veriler çeşitli kaynaklardan gelir - ağ cihazlarından, uygulamalardan, işletim sistemlerinden, veritabanlarından. Veritabanı işlem izleme alt sistemi, çeşitli üreticilerin ve sürümlerin tüm önemli DBMS'lerini kapsar. Veritabanı koruma alt sistemi, SOC'ye entegre edilmiştir ve ana izleme konsolunda analiz için kullanılabilen bilgi güvenliği olaylarının kaynaklarından biridir. Bilgi güvenliğinin durumunu izlemek ve güvenlik açıklarını kontrol etmek için alt sistem aktif olarak gelişmektedir ve bu aynı zamanda bir bilgi güvenliği teknolojileri kompleksinin bir unsurudur.

Bu şirketin SOC'sinin benzersizliği, bilgi güvenliğine yönelik entegre yaklaşımında yatmaktadır. Odak noktası teknoloji değil, süreçler ve insanlardır. Olaylara ve olaylara anında yanıt veren, güvenlik açıklarını ve potansiyel tehditleri mümkün olan en kısa sürede tespit eden ve ortadan kaldıran şirket çalışanlarıdır. Tek bir pano sayesinde, çeşitli alt sistemlerden gerçek zamanlı olarak merkezi olarak bilgi toplarlar.

işbölümü

Bilgi Güvenliği Operasyon Merkezi inşa etmeye yönelik bir başka ilginç örnek de petrol endüstrisindeki bir şirketten geliyor. Aslında, şirket yönetimi, kritik verilerin güvenliğine ilişkin SOC göstergeleri, olayları belirleme ve ortadan kaldırma hızı ve ayrıca bir dizi başka SLA göstergesi beklemektedir. Bu şirket, bilgi güvenliği seviyesinin kritik göstergelerini kendisi belirlemeye ve kendi Bilgi Güvenliği Kontrol Merkezini kurmaya değil, bu işlevleri bilgi güvenliği konusunda uzmanlaşmış bir yüklenici firmaya vermeye karar verdi. Bu durumda, herkes iyi olduğu şeyi yaptı. Petrol şirketi, işletmenin ihtiyaçlarına göre gereksinimler belirler ve uzman şirket, istenen sonuca götüren sorunları çözer.

Bunlar Rus şirketlerinde en çarpıcı iki örnek. Her ikisi de etkilidir ve iş sorunlarını eşit derecede iyi çözer. Şirketinizde bir bilgi güvenliği kontrol merkezi geliştirmeyi planlıyorsanız, öncelikle sektörün özelliklerine, üst yönetimin bilgi güvenliği gereksinimlerinin düzeyine ve bilgi güvenliği yönetimi fonksiyonlarını ayrı bir bölüme ayırma ihtiyacına dikkat etmelisiniz. işlevsel birim.

Daha fazlası daha iyi anlamına gelmez

Operasyonel Bilgi Güvenliği Yönetim Merkezi - bilgi güvenliği seviyesinde garantiler ve güven

Herhangi bir kuruluşun bilgi güvenliğini etkin bir şekilde yönetmek için en güçlü araçlardan biri, işletmenin gerektirdiği bilgi güvenliği düzeyini kontrol etmenize ve sürdürmenize olanak tanıyan Güvenlik Operasyonları Merkezi'dir (SOC).

Deneyimlerin gösterdiği gibi, bilgi güvenliği de dahil olmak üzere şirketin kritik iş süreçlerinin güvenliği, modern iş uygulamalarının gerekliliklerinden biridir. Bu bağlamda, şirketler bilgi güvenliğini sağlamak için bir dizi organizasyonel ve teknik önlem uygulamaktadır. Bununla birlikte, yalnızca koruma araçlarının tanıtılması, kural olarak, alınan bilgi güvenliği seviyesinin gerekli olana nasıl karşılık geldiğine dair bir anlayış vermez ve bu nedenle, tüm bilgi güvenliği sisteminin bir bütün olarak etkinliği konusunda sessiz kalır. . İç ve dış denetimler periyodik oldukları için bu sorunu çözmek için yeterli değildir.

Bilgi güvenliğinin gerçek zamanlı olarak sürekli izlenmesi olmadan, mevcut olaylar ve güvenlik açıkları, mevcut ayarlar ve koruma araçlarının doğru çalışması hakkında eksiksiz ve güvenilir bilgilere sahip olmak son derece zordur.

Şirketler, bilgi güvenliği yönetim sistemi (ISMS) süreçlerinin bir kısmını ISO 27001 standardına (IS olay yönetimi süreci, güvenlik açığı yönetimi, değişiklik yönetimi, yasal ve endüstri gerekliliklerine uygunluk kontrolü) uygun olarak eşzamanlı olarak uygular ve ayrıca PCI DSS standardının gereklilikleri (bölüm 1, 6, 10, 11, 12'nin gereklilikleri).

Gelişmiş bir BT altyapısına ve çok sayıda çeşitli koruma aracına sahip şirketlerde, özel teknik araçlar olmadan eksiksiz bir resim oluşturmak çok sorunludur.

Ek olarak, uygulanan güvenlik araçları yalnızca bilgi güvenliği olaylarının olasılığını azaltmayı amaçlamaktadır. Acil müdahale olmaksızın bir olay meydana gelirse, bundan kaynaklanan hasar çok ciddi olabilir. Bu nedenle, izleme sırasında tespit edilen olaylara zamanında müdahale etmek önemlidir.

Aynı zamanda, bilgi güvenliği alanındaki mevzuat ve düzenlemelerin artan gereksinimleri (FZ No. 152 "Kişisel Veriler Üzerine", PCI DSS, ISO/IEC 27001:2005, SOX, Basel II, STO BR IBBS-1.0- 2006, STR-K) bunlara uyulması gerektiğinden bahsetmekte ve bunların uygulanmasına ilişkin periyodik kontroller yapmaktadır.

Olaylara hızlı müdahale, güvenlik açığı yönetimi ve mevzuat, yönetmelikler ve iç kurumsal politikaların gerekliliklerine uygunluğun kontrolü, şirketlerin güvenlik seviyesinin gerekli olana uygunluk durumunu hızlı ve doğru bir şekilde kontrol etmesi oldukça zordur. güvenliği uygun seviyede tutun.

Uzmanlarımızın vardığı sonuçlara göre, bu sorunları çözmeden yalnızca koruma araçları oluşturmak, kural olarak, bir şirkette bilgi güvenliğini sağlamak için etkili bir strateji değildir.

Operasyonel bilgi güvenliği yönetiminin merkezileştirilmesi

Jet Infosystems'in Bilgi Güvenliği Merkezi, yukarıda tartışılan görevler için kapsamlı bir çözüm geliştirdi ve uyguluyor - Güvenlik Operasyonları Merkezi (SOC).

IS operasyonel yönetim merkezi, birbiriyle yakından bağlantılı ve tamamlayıcı ilgili teknik sistemlerin uygulanması yoluyla bir dizi ilgili ve çalışan IS yönetimi süreçleri (izleme, IS olay yönetimi, güvenlik açığı yönetimi, varlık envanteri, değişiklik yönetimi, güvenlik politikası kontrolü) ve bunların otomasyonudur:

• IS durumu izleme (IS olayı izleme, kullanıcı eylemleri denetimi, güvenlik açığı yönetimi/yapılandırma kontrolü);
• bilgi güvenliği olay yönetimi;
• mevzuat gerekliliklerine, uluslararası ve endüstri standartlarına, kurum içi politikalara uygunluğun kontrolü.

SOC, tespit edilen sapmaları hızlı bir şekilde ortadan kaldırmanıza ve belirtilen bilgi güvenliği seviyesini sağlamanıza olanak tanıyan şirketteki mevcut bilgi güvenliği durumunun eksiksiz bir resmini sağlar. Yardımı ile bilgi sisteminde meydana gelen bilgi güvenliği ile ilgili olayları takip edebilir, analiz edebilir ve diğer verilerle karşılaştırabilir, mevcut güvenlik açıklarını kontrol edebilir, yapılandırmaları kontrol edebilir, mevzuat, yönetmelik ve şirket politikalarının gerekliliklerine uyum derecesini takip edebilir ve tespit edilen olaylara hızla müdahale IB.

IS operasyonel yönetim merkezi, şirketin bilgi güvenliğini gerçek zamanlı olarak izlemenize ve yönetmenize, gerekli IS bakım seviyesine ulaşıldığından ve sürdürüldüğünden emin olmanıza, IS bakımının belirlenen hedef performans göstergelerinin (KPI) uygulanmasını izlemenize olanak tanır.

Bu tür merkezlerin etkinliğini sağlayan temel faktörler şunlardır: süreçlerin uygulanması
izleme, güvenlik açığı ve olay yönetimi; şirket içindeki çalışanlar arasında uygun sorumluluk dağılımı; bilgi güvenliği olaylarına yanıt vermek için düzenlemelerin geliştirilmesi ve uygulanması ve bunların müteakip analizi.

Pirinç. 1. Operasyonel bilgi güvenliği kontrol merkezi.

IS durumu izleme

IS durum izleme birkaç sistem içerir.

IS olay yönetimi (izleme) sistemi (Güvenlik Bilgi Yönetim Sistemi, SIMS)çeşitli güvenlik araçlarından gelen bilgi güvenliği olaylarını toplama, analiz etme (ilişkilendirme) ve izleme sorunlarını çözmek için entegre bir yaklaşım uygular. Aşağıdaki görevleri çözmeye yardımcı olur:

• . büyük hacimli bilgi güvenliği olaylarının yönetimi;
• bilgi güvenliği açısından bilgi sisteminde olup bitenlerin tam bir resmini elde etmek;
• mevcut güvenlik seviyesinin izlenmesi (BS bakımının belirtilen performans göstergelerine (KPI) ulaşılmasının izlenmesi);
• bilgi güvenliği olaylarının zamanında tespiti;
• risk analizi ve değerlendirmesi için gerçek verilerin elde edilmesi;
• bilgi güvenliği yönetimi hakkında bilinçli kararlar vermek;
• bilgi güvenliği olaylarının izlenmesine yönelik mevzuat ve düzenlemelerin gerekliliklerine uygunluk (ISO/IEC 27001:2005, PCI DSS, STO BR IBBS, Federal Yasa No. 152-FZ)
  "Kişisel veriler hakkında" vb.).

Bilgi güvenliği olay yönetim sistemleri piyasada temsil edilmektedir. İşlevsellik, çözülecek görev yelpazesi, kapsam bakımından farklılık gösterirler. Jet Infosystems, Rusya Federasyonu ve BDT ülkelerinde yüksek kaliteli teknik desteğe sahip en esnek, güçlü ve sürekli gelişen ürünleri kullanır: , Symantec Güvenlik Bilgileri Yöneticisi (SSIM).

Kullanıcı eylemleri denetim sistemi kullanıcı eylemlerinin kaydını ve analizini (öncelikle veri tabanı düzeyinde), gerçek zamanlı bildirimler göndermeyi ve kimin hangi bilgilere eriştiğine ve bu eylemlerin harici düzenleyici kurumların veya dahili bilgi güvenliği kuralları şirketlerinin gerekliliklerini nasıl ihlal edebileceğine ilişkin raporlar hazırlamayı sağlar.

Kullanıcı eylemleri denetim sistemi, kötü niyetli kullanıcı eylemlerini kontrol eder, gizli bilgi sızıntılarına karşı koruma sağlar ve şu sorulara yanıt verir: “Kim? Ne yaptın? Ne zaman? Nerede? Nerede? Nerede? Neyle?", çeşitli seviyelerde (şirket başkanından bilgi güvenliği yöneticisine kadar) raporlar hazırlar.

Jet Infosystems'in Bilgi Güvenliği Merkezi, kanıtlanmış ürünlere dayalı olarak kullanıcı eylemlerini denetlemek için bir sistem uygular. IBM Infosfer Guardium ve Imperva ilki ArcSight ESM ürünleriyle kolayca entegre olan ve ikincisi piyasadaki en güçlü web uygulaması güvenlik duvarı işlevlerinden birine (Web Uygulaması Güvenlik Duvarı) sahiptir.

Güvenlik Açığı Yönetimi/Yapılandırma Kontrolü sistemi, mevcut güvenlik açıkları hakkında gerçek zamanlı veriler sağlar, bunların ortadan kaldırılma dinamiklerini takip eder, değişiklikleri izler ve kaynak envanteri ve yapılandırma kontrolü gibi görevleri otomatikleştirir. Kritik kaynakların güvenlik açıklarının aranması çeşitli şekillerde sürekli olarak gerçekleştirilir: ağ taraması, sızma testi, sistem kontrolleri, DBMS ve web uygulamalarının güvenlik analizi. Jet Infosystems bu sistemi ürün bazında uygular. MaxPatrol (Pozitif Teknolojiler).

Bilgi güvenliği olay yönetimi

Bilgi güvenliği olay yönetim sistemi bilgi güvenliği olaylarının kaydını, hızlı müdahalesini ve etkili çözümünü gerçekleştirir, bunlarla tam bir çalışma döngüsü uygular. Bunun neden olduğu hasarın boyutu, şirketin ortaya çıkan bilgi güvenliği olayına ne kadar hızlı ve yetkin bir şekilde yanıt verdiğine ve çözdüğüne bağlıdır. Bu nedenle, olay çözümü için hazırlanmak özel bir önem taşır.

Hazırlık aşaması, planlamayı, sorumluları belirlemeyi, sorumlulukları ayırmayı, olayları çözmek için planlar geliştirmeyi vb.

Pirinç. 2. Bilgi güvenliği olay yönetim sistemi.

Bilgi güvenliği olaylarını yönetme sürecinde, sadece bunları çözmek değil, aynı zamanda bu sürecin ne kadar etkin organize edildiğini analiz etmek de önemlidir. Geliştirilen planların güncel tutulması ve zamanında iyileştirilmesi için periyodik olarak test edilmesi gerekmektedir. Ayrıca, mevcut uygulamaları daha fazla ayarlamak ve proaktif koruma önlemleri almak için geçmiş olayları analiz etmek önemlidir.

Analiz küçük sapmaları ortaya çıkarırsa, düzeltici önlemler alınır. Ancak sistemsel hatalar tespit edilirse, uygulanan planların verimsizliği bulunur vb. - hazırlık aşamasının aktivasyonu.

Bina Bilgi güvenliği olay yönetim sistemleri bir bilgi güvenliği olay yönetimi sürecinin uygulanmasını ve (isteğe bağlı olarak) otomasyonunu içerir.

Uyumluluk kontrolü

Uyumluluk kontrol sistemi bilgi sistemlerinin şirket içi güvenlik politikaları, teknik standartlar, düzenleyici gereklilikler, uluslararası standartlar vb. ile uyumluluğunu düzenli olarak teknolojik olarak kontrol etmenizi sağlar.

Bu sistem, uluslararası standartlara (ISO 27001), üreticinin tavsiyelerine, "en iyi uygulama" NSA, NIST, CIS, dahili gereksinimlere dayalı bir dahili standart tanımlama fırsatı sunar. Ayrıca ağ ekipmanı, uygulama sistemleri (ERP, CRM), UNIX ve Windows işletim sistemleri, çeşitli DBMS standartlarına uyumu sürekli olarak izleyin.

Jet Infosystems, MaxPatrol (Positive Technologies) ürünlerine dayalı bir uyumluluk kontrol sistemi uygular.

Güvenlik Operasyon Merkezi nasıl kurulur?

Şirketin olgunluk derecesine ve mevcut görevlerine bağlı olarak bir SOC oluşturmak için çeşitli seçenekler vardır: bireysel sistemlerin uygulanmasından karmaşık çözümlere. Karmaşık büyük ölçekli projeleri birkaç durumda uygularken, her aşamada SOC'nin kapsamı hem bölgesel kapsam (örneğin, önce - merkez ofis, sonra - bölgeler) hem de işlevsel sistemler açısından arttığında, aşamalı uygulama en uygunudur. (IS olay yönetim sistemi, sonrası güvenlik açığı yönetim sistemi).

İş sorunlarını çözmek için SOC nasıl kullanılır?

Bize göre, teknik araçların uygulanmasının ve kullanılmasının etkinliği, şirketin SOC araçları kullanılarak çözülecek görevleri net bir şekilde anlaması durumunda maksimumdur. Aşağıda, Bilgi Güvenliği Operasyon Merkezi'nin çözülmesine yardımcı olduğu olası üst düzey görevleri içeren bir özet tablo bulunmaktadır.

Bir şirket yönetiminin, şirketin bilgi güvenliğini sağlayan bir departman için belirleyebileceği en tipik görevlerin yalnızca bir kısmını ele aldık. Ancak, listelenen sorunların Bilgi Güvenliği Operasyonel Kontrol Merkezi'nin konuşlandırılması için ön koşullar olduğunu belirtmekte fayda var.

Bir şirket SOC'yi uygularken ne gibi faydalar elde eder?

İlk olarak, SOC'nin yardımıyla, güvenliği sağlamak için koruyucu önlemlerin sürekli iyileştirilmesi sürecini organize etmek mümkün hale gelir. Güncel olayların ve bilgi güvenliği olaylarının sürekli analizi, çeşitli departmanların katılımıyla ortaya çıkma nedenlerinin bulunması, mevcut koruma önlemlerinin etkinliğini değerlendirmemize, eksikliklerini anlamamıza ve bunların değiştirilmesi veya ayarlanması için öneriler geliştirmemize olanak tanır.

İkincisi, SOC'nin getirilmesi doğrudan ve dolaylı maliyetleri azaltır. Küçük bir kadroyla, "yeterli el olmadığında" SOC, bilgi güvenliği olaylarının manuel olarak işlenmesi için gereken kaynakları azaltmanıza ve kontrollü koruma araçlarının sayısını artırmanıza olanak tanır. Aynı zamanda personel artışı gerektirmez, aksine verileri tek bir konsola getirerek ve devam eden bilgi güvenliği olaylarının analizini otomatikleştirerek çalışanların çalışmalarını optimize etmenizi sağlar.

Üçüncüsü, Bilgi Güvenliği Kontrol Merkezi aracılığıyla, BT sistemleri üzerindeki kontrol yetkilerinin ayrıştırılması mümkündür. Güvenlik araçları, bunların yönetimi ve çalıştırılması kural olarak BT departmanının yetki alanındayken, bilgi güvenliğine yalnızca kontrol işlevleri atanır. SOC, belki de bilgi güvenliği departmanlarının elindeki, insan faktörünün etkisini nesnel olarak azaltan ve şirketin bilgi güvenliği seviyesini artıran BT sistemlerindeki eylemleri izlemelerine olanak tanıyan tek kontrol aracıdır.

Dördüncüsü, Operasyonel Yönetim Merkezinin varlığı, birleşme veya devralma prosedürü sırasında basitçe gereklidir. Operasyonel yönetim merkezi, bağlı şirketi etkin bir şekilde ana kuruluşta benimsenen bilgi güvenliği standartlarına uygun hale getirmenize olanak tanır. SOC, birleşmeden sorumlu departmanlar için ilgili KPI'ları belirleme ve kontrol etme yeteneği ile hem uyumsuzlukları hızlı bir şekilde tespit etmeyi hem de bunların giderilmesini takip etmeyi mümkün kılar.

Ve son olarak, SOC tarafından sağlanan veriler, belirli koruma önlemlerinin seçimi için temel oluşturan risk değerlendirmesini önemli ölçüde geliştirir. Ek olarak, prosedürlerin resmileştirilmesi, şirketin dolaylı maliyetlerini azaltır, çünkü niteliksel bir gerekçe olmaksızın onay sorunları, çalışanların çalışma süresinin önemli bir kısmını alır.

Tüm bu amaç ve hedeflere hangi araçlarla ulaşılıyor? Bilgi Güvenliği Operasyon Merkezi teknolojisine hızlıca bir göz atalım.

Pirinç. 3. Bilgi Güvenliği Operasyon Merkezi'nin çözülmesine yardımcı olduğu olası üst düzey görevleri içeren bir tablo.

Operasyonel Bilgi Güvenliği Yönetim Merkezi Bileşenleri

Daha önce belirtildiği gibi, SOC bir dizi organizasyonel ve teknik önlemdir. SOC'yi uygulamaya karar veren bir şirket, her şeyden önce, Merkezi yöneten ayrı bir bölüm veya uzmanlar grubu oluşturmaya özen göstermelidir. Bunlar, merkezi izleme konsollarının analistleri, yöneticileri ve operatörleri olmalıdır. Bilgi güvenliği olaylarını belirleme ve çözme süreçlerini resmileştirmek de aynı derecede önemlidir. Ve organizasyonel kısım az ya da çok netse, o zaman teknolojileri seçerken çoğu müşteri yüz yüze
zorluklarla.

Pirinç. 4. Güvenlik açıklarının kritiklik türüne göre dağılımı.

MaxPatrol - IS durum izleme sistemi

IS durum izleme sistemi, kurumsal bir bilgi güvenliği sistemi oluşturmanın ilk aşamalarında uygulanması için temel ve önerilen sistemlerden biridir. Jet Infosystems, SOC oluşturmak için bir teknolojik platform olarak Positive Technologies tarafından üretilen MaxPatrol ürünlerini kullanır.

MaxPatrol, BT kaynaklarının korunmasındaki hataları tespit etmek için kullanılan uzman bir sistemdir. Sistemin uygulanması şunları sağlar:

• BT parkı hakkındaki bilgileri güncel tutun;
• yetkisiz değişiklikleri zamanında tespit edin;
• bilgisayar sistemlerini güvenli bir durumda tutmak için denetimleri otomatik olarak yürütür.

Yukarıdakilerin bir sonucu olarak, sistem güvenlik açıklarını tespit etmenize ve derhal ortadan kaldırmanıza olanak tanır. Sistemi kullanmanın ana hedefleri genellikle bilgi güvenliği süreçlerinin etkinliğini izlemek, değişiklikleri ve güvenlik politikalarını kontrol etmek, BT varlıklarını envanterlemek ve şirketin altyapısının güvenliğini değerlendirmektir.

MaxPatrol çözümü, uzman sınıfı bir sistemdir. En önemli bileşeni, mevcut IS tehditleri (virüsler, truva atları, uygulama yazılımı güvenlik açıkları, vb.) hakkında kapsamlı bilgiler içeren, günlük olarak güncellenen bir bilgi tabanıdır. Bilgi tabanı, önde gelen endüstri uzmanları tarafından korunur. Bilgiler, tespit edilen eksikliklerin giderilmesi için ayrıntılı tavsiyeler, bakım personelinin nitelikleri için gereksinimler içerir. Eşsiz buluşsal kontroller, yeni güvenlik açıklarını tespit etmenize ve standart dışı sistemleri ve kendi tasarımınız olan sistemleri kontrol etmenize olanak tanır.

MaxPatrol sistemi, BT ve BS hizmet yönetiminin etkinliğini değerlendirme, bilgi güvenliği durumunu izleme, standartlara uygunluk ve her ölçekteki bilgi sistemlerindeki güvenlik açıklarını arama süreçlerini otomatikleştirmenize ve merkezileştirmenize olanak tanır. Bu, hem tüm sistemin hem de tek tek düğümlerin güvenlik durumunun tam bir resmini zamanında almayı mümkün kılar.

Pirinç. 5. Şirketin altyapısının CIS gerekliliklerine uygunluk derecesi hakkında bilgi.

MaxPatrol sisteminin edinilmesi ve uygulanması için ön koşullar nelerdir?

Çoğu zaman, envanter prosedürleri, güvenlik değerlendirmeleri ve güvenlik politikalarının kontrolü düzensiz veya uzun aralıklarla gerçekleştirilir. Bu, bilginin alaka düzeyini kaybetmesine ve durumun kontrolden çıkmasına neden olur. MaxPatrol'de uygulanan entegre bir yaklaşım ve akıllı otomasyon araçları, sorunların zamanında tespit edilmesini sağlayan, bilgi sisteminin yönetilebilirliğini ve güvenliğini artıran BT ve bilgi güvenliği izleme görevlerini çözmek için gereken işçilik maliyetlerinin en aza indirilmesini sağlar.

Yöneticiler, MaxPatrol'ün kapsamlı ve sürekli güncellenen bilgi tabanını kullanarak, hızlı bir şekilde referans sistem yapılandırma şablonları oluşturabilir, uyumlu olmayan sistem güvenlik ilkelerini izleyebilir ve belirlenen boşlukları verimli bir şekilde çözebilir. Rapor oluşturma mekanizmaları, tek tek düğümlerin ve departmanların güvenliğindeki değişiklikleri izlemenize ve ayrıca standartlara uygunluk derecesi, tutarsızlıkları ortadan kaldırmanın etkinliği ve bilgi altyapısı üzerindeki kontrol düzeyi gibi iş ölçümlerini kontrol etmenize olanak tanır. Şekil 5, üst düzey bir PCI DSS Uyumluluk Raporu'dur (CIS Kıyaslamaları).

BT servislerinin, kaynaklarının ve sistemlerinin sürekliliğini etkileyen faktörlerden biri, konfigürasyon ayarlarının durumu, iş istasyonları ve sunucular üzerinde yetkisiz servis ve yazılımların bulunmaması, kurulu güncelleme ve yamaların varlığıdır. Uygulama sistemlerinde, ağ hizmetlerinde ve işletim sistemlerinde her gün yeni hatalar ve güvenlik açıkları keşfedilir.

BT departmanları, içinde olup bitenler açısından kontrol edilmesi ve izlenmesi gereken büyük miktarda heterojen yazılım ve donanımı (merkez ofislerin ve bölgesel ofislerin iş istasyonları, sunucular ve ağ ekipmanı) yönetir. Bu yapılmazsa, BT altyapısını yönetmek imkansız hale gelir.

Sonuç olarak:

Ağ ekipmanı ayarları, üreticinin geliştirilen özel politikalarına ve tavsiyelerine uymaz;
- sunucularda yetkisiz hizmetler çalışıyor, yetkisiz bağlantı noktaları açık;
iş istasyonlarına lisanssız veya izinsiz yazılım yüklendiğinde;
- iş istasyonlarının ayarları, üreticinin geliştirilmiş özel politikalarına ve tavsiyelerine uymuyor;
- iş istasyonlarında ve sunucularda virüsten koruma yazılımı güncellenmez;
- sistem yazılımı güncel değil ve en son güvenlik yamaları yüklü değil.

Bu, BT hizmetlerinin, kaynaklarının ve sistemlerinin işletilmesinde başarısızlık ve başarısızlık riskini artırır. BT hizmetlerinin çalışmalarındaki sık arızalar ve başarısızlıklar, iş süreçlerinin düzensizliğine ve çalışanların iş görevlerini yerine getirememeleri nedeniyle aksama sürelerine ve nihayetinde kaynakların bulunmamasından kaynaklanan ekonomik zararlara yol açar. Belirli teknik standartlar olmadan BT altyapısını kontrol etmek zordur. Bu nedenle, sistemler için spesifik teknik gereksinimlerin (standartların) tanımlanması ve uygun otomasyon araçları kullanılarak kontrol edilmesi gerekmektedir. Manuel olarak yapmak çok zaman alıcı ve verimsizdir.

Verimliliği artırmak için Jet Infosystems, bilgi sistemlerinin sürekli otomatik kontrolünü sağlayan dahili süreçlerin oluşturulmasını önerir. Kontroller, sürekli izleme uygulamalı ve ağ ekipmanı, sunucuların işletim sistemleri ve iş istasyonlarının ayarlarındaki değişiklikleri takip etmelidir.

Önemli adımlar:

• bilgi sistemlerinin dahili kurumsal gerekliliklere ve üreticilerin gerekliliklerine uygunluğunun kontrolünü organize etmek;
• IP'deki sapmaları zamanında tespit etmek ve ortadan kaldırmak;
• BT departmanlarının ve BT altyapısı kontrol süreçlerinin etkinliğini değerlendirmek.

Böylece, MaxPatrol'ün kullanımı, BT altyapısını yönetme ve kontrol etme süreçlerini otomatikleştirecek ve merkezileştirecek ve çeşitli olay türlerini önleyecektir. Örneğin, harici ve dahili izinsiz giriş yapanların saldırıları, lisanssız yazılım kullanımı, teknik standartların gerekliliklerine ve dahili politikalara aykırılık. Aynı zamanda, kaynakların bulunmamasından ve gizli bilgilerin kaybından kaynaklanan ekonomik zarar azaltılacak ve uluslararası ödeme sistemlerinin dayattığı bir takım bilgi güvenliği gereksinimleri karşılanacaktır.

MaxPatrol tabanlı bir çözüm nelerden oluşur?

MaxPatrol sistemi, yüksek ölçeklenebilirlik sağlayan ve sistemin büyük kurumsal ağlarda uygulanmasına izin veren üç katmanlı bir mimariye dayanmaktadır. Ürünün ana bileşeni, bir ürün yönetim modülü olan MP Server'dır. Bu, dağıtılmış bir güvenlik tarayıcısının tüm ana işlevlerini yerine getiren bir sunucu bileşenidir: tarama, veri toplama, işleme ve bir veritabanında kaydetme ve raporlar oluşturma. Her MP Sunucusu, tarama yapan bir MP Tarayıcı modülü içerir. Gerekirse, MP Sunucusuna performansı artırmanıza ve tarama sırasında ağ topolojisini (örneğin, güvenlik duvarlarının ve güvenlik araçlarının varlığı) dikkate almanıza olanak tanıyan ek tarayıcılar eklenebilir. Ek olarak, incelenen ağ segmentinin dışına ek bir tarayıcı taşınabilir ve aynı anda hem ağın içini hem de dışını tarayabilir.

Konsolidasyon Sunucusu (MP Konsolidasyon Sunucusu)çeşitli MP Sunucularından bilgi toplar ve büyük bir dağıtılmış bilgi sisteminin güvenliğinin eksiksiz bir resmini oluşturmanıza olanak tanır. Bilgi deposu olarak dahili bir veritabanı veya harici bir kurumsal DBMS kullanılabilir. Harici bir DBMS olarak Microsoft SQL Server 2000/2005 kullanılmaktadır.

Yerel güncelleme sunucusu (MP Yerel Güncelleme Sunucusu) güncel bileşenlerin bilgi tabanı ve yürütülebilir modülleri için tek bir destek noktası olarak kullanılır.

Mobil Sunucu (MP Mobil Sunucu) bilgi güvenliği alanında denetçiler için uygun bir çalışma aracı olarak kullanılmaktadır. Bu çözüm, sızma testleri ve iç denetçiler tarafından yapılan denetimler için idealdir. Yerleşik bir birleştirme modülünün varlığı, coğrafi olarak uzak ağları ve bölümleri (veya fiziksel olarak izole edilmiş bölümleri) kontrol ettikten sonra, sonuçların MP Konsolidasyon Sunucusuna dayalı olarak ürün tarafından hazırlanan genel raporlamada kullanılmasına izin verir.

Açıkçası, MaxPatrol ürünü, bilgi güvenliğinin durumunu izlemek için kurumsal bir çözümdür ve herhangi bir ölçekte herhangi bir karmaşıklıktaki sorunları çözebilir. Çözüm kolayca ölçeklenebilir, tüm bileşenleri merkezileştirilmiştir.

Pirinç. 6. Coğrafi olarak dağıtılmış bir şirket için MaxPatrol mimarisi örneği.

Bilgi güvenliği olay yönetimi

Bilgi Güvenliği İzleme ve Yönetim Merkezi bünyesindeki bilgi güvenliği olay yönetimi, bir dizi organizasyonel süreç ve prosedürle uygulanmaktadır. Olaylarla tam bir çalışma döngüsünün yanı sıra, bilgi güvenliği olaylarının kaydını, hızlı yanıtını ve etkin çözümünü sağlarlar. Bunun neden olduğu hasarın boyutu, şirketin ortaya çıkan bilgi güvenliği olayına ne kadar hızlı ve yetkin bir şekilde tepki verip çözdüğüne bağlıdır. Bu bağlamda, olayların çözümüne yönelik hazırlık özel bir önem taşımaktadır.

Süreçlerin uygulanmasına yönelik hazırlık aşaması, planlama, kimin sorumlu olduğunu belirleme, sorumlulukları ayırma, olayları çözmek için planlar geliştirme vb. içerir. Ayrıca, IS olayları doğrudan kaydedilir, yanıtlanır ve çözülür.

Bilgi güvenliği olaylarını yönetme sürecinde, sadece bunları çözmek değil, alınan önlemlerin etkinliğini analiz etmek de önemlidir. Geliştirilen planların güncel tutulması ve zamanında ayarlanması için periyodik olarak test edilmesi gerekmektedir. Ayrıca proaktif koruma önlemlerinin alınabilmesi için meydana gelen olayların analiz edilmesi gerekmektedir.

Analiz küçük sapmaları ortaya çıkarırsa, düzeltici önlemler alınır. Sistem hataları tespit edilirse, uygulanan planların verimsizliği vb. tespit edilirse hazırlık aşaması devreye girer.

Pirinç. 7. Güvenlik hizmetinin etkinliğinin artırılması.

IS olay yönetimi (izleme) sistemi

Merkezin bir parçası olan IS olay yönetimi sistemi, çeşitli koruma araçlarından IS olaylarını toplama, analiz etme (ilişkilendirme) ve kontrol etme sorunlarını çözmek için entegre bir yaklaşım uygular. Bu, IS olaylarının olay yönetim sistemine daha fazla aktarılmasıyla gerçek zamanlı olarak etkili bir şekilde tanımlanmasını, risk analizi ve değerlendirmesi için gerçek verilerin elde edilmesini, IS'yi sağlamak için makul ve yeterli kararlar alınmasını mümkün kılar.

Bilgi güvenliği olay toplama ve ilişkilendirme sistemi, bilgi güvenliği olaylarını tanımlamak ve araştırmak için temel bir araç olan türünün bir "lastik"idir. Çoğu durumda olay izleme sistemlerini uygulamanın amacı, bilgi güvenliği olaylarını derhal tespit edip bunlara yanıt vererek hasarları azaltmaktır. Olay yönetimi sürecini resmileştirerek ve otomatikleştirerek, maliyetleri düşürmenin yanı sıra Rus ve uluslararası standartların gerekliliklerine uygunluk derecesini artırmak mümkündür.

Bu sınıftaki sistemlerin tanıtılması, bilgi güvenliği hizmetinin verimliliğini önemli ölçüde artırmaya yardımcı olur ve şirketin tüm teknolojik bölümlerine otomatik olay işleme için bir araç sağlar.

Bilgi güvenliğinin etkinliğinden bahsetmişken, verimliliğin güvenlik hizmetinde çalışan kişilerin eylemleriyle sağlandığını unutmamalıyız. Aşağıda, tipik bir bilgi güvenliği birimi için rollerin, gereksinimlerin ve gerekli SOC araçlarının yazışmalarının bir özet tablosunu sunuyoruz.

Bize göre şu anda en popüler ve teknik olarak eksiksiz ürünler ArcSight Enterprise Security Manager, RSA enVision, Symantec Security Information Manager'dır.
Bu ürünler, olayların toplanması, bilgi güvenliğine yönelik tehditlerin analizi ve tanımlanması ile ilgili hemen hemen her görevi uygulamanıza olanak tanır. Aşağıda her birini ayrı ayrı ele alacağız ve avantajları ve farklılıkları üzerinde duracağız.

İncelemeye SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümlerinde dünya ve Rusya pazar lideri olan HP'nin ArcSight ürünü ile başlayalım.

ArcSight ESM'si

Şirket ürünü ArcSight, yakın zamanda HP tarafından satın alındı, hem Rusya'da hem de yurtdışındaki uygulama sayısı ve işlevsellik açısından şu anda endüstri lideridir. Uygulama mimarisinin seçilmesinde ve çözümün ölçeklenebilirliğinin planlanmasında benzersiz bir esneklik sağlayan, hem yazılım biçiminde hem de yazılım ve donanım sistemleri biçiminde kurulur. Bu, bir bütün olarak sistemin maliyetinin ayrıntılı kontrolünü ve öngörülebilirliğini elde etmeyi mümkün kılar.

Arcsight çözümleri, bilgi güvenliği olaylarını toplamak, işlemek, ilişkilendirmek ve bunlara yanıt vermek için tasarlanmıştır, ölçeklenebilirlik, güvenilirlik, genişletilebilirlik ve hata toleransı özelliklerine sahiptir. Ürün bazında çözümler üretilir ArcSight Kurumsal Güvenlik Çözümü, özü ürün olan ArcSight ESM (Kurumsal Güvenlik Yöneticisi). Bu ürün, çeşitli kaynaklardan gelebilecek güvenlik olaylarının toplanmasını, işlenmesini ve saklanmasını sağlar. ArcSight ESM'siçok sayıda uygulama sistemi ve cihazıyla (toplamda yaklaşık üç yüz) entegrasyonu destekler ve birkaç bin önceden yüklenmiş korelasyon kuralıyla birlikte gelir.

Sistem, her türlü uygulama ve cihazla entegrasyona izin veren Flex Connector aracısını içerir.

Denetim günlüklerinin saklanması ve analizi çözüm kullanılarak gerçekleştirilir ArcSight Logger- kuruluşun denetim günlüklerindeki tüm verileri yakalayıp analiz edebilen, günlükleri depolamak için sıkıştırılmış ve ekonomik bir depo sağlayan bir yazılım ve donanım kompleksi.

Güvenlik olayları hakkında daha basit ve daha verimli bilgi toplamak için yazılım ve donanım sistemleri ArcSight tabanlı bir çözümün parçası olarak kullanılabilir. ArcSight Konnektörleri. Bu cihazlar, olayları toplamanın ve işlemenin, günlükleri formata getirmenin ilk kademesidir. ArcSight. Ardından, Bağlayıcı Cihazlardan işlenen olaylar ya ESM veri tabanına ya da Kaydedicilere gönderilir.

Klasik ürün tabanlı çözüm mimarisi ArcSight Bu mimariyle, normalleştirilmiş olaylar ESM veritabanında saklanır ve orijinal olay günlükleri, günlüklerin değişmeden kalması gereksinimleri olan denetçilere depolama ve raporlama için Logger cihazlarına gönderilebilir.

Pirinç. 8. ArcSight ürünlerine dayalı olarak bilgi güvenliği olaylarını toplamak ve analiz etmek için sistem mimarisi.

ArcSight ürünleri hakkında daha fazla bilgi için üreticinin www.arcsight.com adresindeki web sitesini ziyaret edin.

ArcSight ESM izinsiz giriş tespit sistemlerinden, güvenlik duvarlarından, işletim sistemlerinden, uygulamalardan, antivirüs sistemlerinden ve diğer olay kaynaklarından güvenlik ihlali raporlarını toplamanıza ve analiz etmenize olanak tanır. Bu bilgiler tek bir merkezde toplanmakta, güvenlikle ilgili olayların işlenmesi için belirlenen kurallara göre işlenmekte ve analiz edilmektedir.

ArcSight ESM teknolojisi, güvenlik olaylarının dört aşamada işlenmesini sağlar: normalleştirme, toplama, korelasyon ve görselleştirme. Normalleştirme ve toplama aşamasında, güvenlik olayları tüm saldırı tespit sistemlerinden (güvenlik duvarları, işletim sistemleri, uygulamalar ve antivirüs sistemleri) toplanır ve tek bir Ortak Olay Formatı (CEF) mesaj formatına indirgenir. Oluşturulan mesajlar birbiriyle ilişkilidir. Korelasyon mekanizmaları hem istatistiksel yöntemlere hem de ek olarak oluşturulan kurallara dayanmaktadır. ArcSight ESM, sonuçları gerçek zamanlı olarak çalışan merkezi bir konsolda (Java teknolojisinde geliştirilmiş) görüntüler.

Olay toplama, gelen veri miktarını azaltmak ve sonraki işleme ve analiz için zamandan tasarruf etmek amacıyla yinelenen olayları kaldırma işlemidir. Bu, örneğin bağlantı noktaları taranırken, aynı olaylar güvenlik duvarları tarafından art arda oluşturulduğunda özellikle önemlidir. Olay toplama, birden fazla IDS sisteminden tekrarları kaldırmak için de kullanılır.

Olaylarla çalışırken korelasyon mekanizmaları daha az ilginç ve önemli değildir. ArcSight ESM, iki korelasyon teknolojisini benzersiz bir şekilde birleştirir, örn. tek bir olaydan tanımlanamayan saldırıların tanımlanması. İlki, korelasyon kurallarına dayanır ve yanlış güvenlik ihlali raporlarını önemli olaylardan ayırır. Güvenlik politikası kurallarını etkinleştirir. Şüpheli faaliyet senaryoları, yazılım geliştiriciler, danışmanlık firmaları ve kullanıcıların kendileri tarafından oluşturulabilir. İkinci teknoloji - istatistiksel korelasyon - tehditlerin sınıflandırılmasına ve değerlendirilmesine dayanır ve potansiyel güvenlik ihlallerini ve anormallikleri belirlemek için kullanılır. Her iki teknoloji de çalışma biçimleri bakımından farklıdır ve birbirini tamamlar.

Olayları yalnızca işletim sistemi günlüklerinden veya ağ cihazı günlüklerinden değil, aynı zamanda farklı SOC bileşenlerinden daha karmaşık olaylardan da ilişkilendirebilirsiniz. Bu yüzden,
Son zamanlarda, MaxPatrol, Imperva, IBM Guardium gibi çeşitli SOC ürünlerinden ve hatta Cisco MARS veya enVision gibi diğer SIM sistemlerinden alınan olayların analizini merkezileştirmeye yönelik bir şema popüler hale geldi ve etkinliğini kanıtladı. . Bu uygulama, olay işleme hızını azaltır ve tehditleri algılama şansını artırır.
Operatörler, analistler ve yöneticiler, ArcSight ESM'nin görselleştirme yeteneklerini kullanarak, ağın güvenlik durumu hakkındaki tüm bilgileri hızlı bir şekilde elde edebilir ve gerekirse, güvenlik ihlallerini kritik bilgi kaynaklarını etkilemeye başlamadan önce araştırabilir ve bunlara müdahale edebilir. ArcSight çözümleri, görselleştirme konsolu aracılığıyla üst düzey göstergeleri izleyerek hem güvenlik uzmanları, analistler veya denetçiler hem de bilgi güvenliği departmanlarının başkanları tarafından kullanılabilmesi açısından benzersizdir.

Pirinç. 9. ArcSight kullanarak çeşitli SOC bileşenlerini birleştirmek.

ArcSight ürünlerine dayalı bir izleme sisteminin uygulanması, güvenlik ihlali olaylarına yanıt vermek için karar verme sürecini otomatikleştirmeyi mümkün kılar. Aynı zamanda, izleme sistemlerinin kullanılması, kuruluşta hâlihazırda kurulu olan koruma araçlarının etkinliğini önemli ölçüde artırmayı da mümkün kılar.

Soru doğal olarak ortaya çıkıyor, hangi olaylar izlenebilir ve izlenmelidir? Hangi raporlar yapılandırılmalı, çevrimiçi izleme konsolunda hangi parametreler görüntülenmelidir?

Deneyimlerimize göre, raporların genel görevleri ve odak noktalarından bahsedersek, kural olarak, güvenlik duvarı kurallarını tetikleme ve ağ ekipmanı ayarlarını değiştirme sıklığı hakkında raporlar oluşturmaktan bahsediyoruz. Bu, kuralların tetiklenme sırasını ve ayarların esnek denetimini düzenleyerek güvenlik duvarının çalışmasını optimize etmenize olanak tanır. İzlenen sistemlerde virüsten koruma araçlarının varlığı ve güncellemeleri hakkında raporlama, kritik sistemlerdeki yapılandırma değişikliklerinin bildirimi, denetim dosyalarına erişimin günlüğe kaydedilmesi, dosya verilerinin bütünlüğünün izlenmesi ve dahili sistem kaynaklarının denetlenmesi de önemlidir.

Pirinç. 10. Bir analist için operasyonel olay yönetimi konsolu örneği.

Kullanıcı hesaplarının yönetimi ile ilgili görevlerin yerine getirilmesi genellikle parola politikası değişikliklerinin (etki alanındaki kullanıcı hesabı ayrıcalıklarındaki değişikliklerin izlenmesi, yeni kullanıcıların değiştirilmesi ve eklenmesi, yerel yönetici haklarına sahip hesapların oluşturulması ve kısa bir süre içinde bir hesabın oluşturulması ve silinmesi) kontrol edilerek gerçekleştirilir. zaman).

Genellikle, SIEM sınıfı sistemler, tüm kullanıcıların eylemlerini izlemek için sistemler olarak konumlandırılır. Bu oldukça belirsiz bir kavramdır. Peki ArcSight ile neler yapılabilir? Uzmanlarımız, X dakika içinde etki alanına kaydolmak için art arda birkaç başarısız girişimin (N sayısı sistemde ayarlanmıştır) en ilginç ve etkili takibinin, iş gezisinde olan bir kullanıcının bilgi sisteminde kaydın tespit edilmesinin en ilginç ve etkili olduğuna dikkat çekiyor. veya tatilde. Ek olarak, güvenli olmayan protokoller kullanan bilgi sistemlerine (kaynaklara) yönetici erişiminin kullanımını ve bu erişime izin verilmeyen kullanıcılar tarafından yönetici ayrıcalıklarının kullanımını kontrol etmek yararlıdır. Kullanıcı hesabı sistemi, herhangi bir altyapıdaki güvenlik açıklarından biridir. ArcSight çözümlerini kullanarak, ekipman üreticisi tarafından belirlenen hesapların kullanımını kontrol edebileceğiniz gibi, sistemde halihazırda etkin olan kullanıcı hesaplarının yeniden kullanımını da takip edebilirsiniz. Sistem bunları ve uygulanan diğer görevleri görsel olarak görselleştirir ve ekranda görüntüler ki bu çok uygundur.

Pirinç. 11. ArcSight arayüzündeki liderler tarafından çok sevilen "büyük kırmızı düğme" örneği.

Hemen hemen her kuruluşun filosunda Cisco ekipmanı bulunur, büyük şirketlerde sayısı birkaç yüz birime ulaşabilir. Bu, cihazlar tarafından üretilen çok sayıda olayın işlenmesinde sorunlara yol açar. Bazı şirketler, günlüklerin tutulmasını birkaç saatle sınırlayarak, aylarca hatta haftalarca süren olayların araştırılmasını imkansız hale getirir. ArcSight gibi sistemler, yalnızca Cisco cihazlarından gelen tüm olayların uzun süre saklanmasına izin vermekle kalmaz, aynı zamanda bir şirket ağına yetkisiz erişimi veya bir ağa ve bireysel hizmetlere yönelik ağ saldırılarını tespit etmek ve önlemek gibi bir dizi uygulamalı görevi çözmeye de olanak tanır. Sistem, ağ ekipmanı yöneticilerinin eylemlerini denetleyebilir. İlginç olaylar arasında, genellikle, yasaklanmış ağ segmentlerinden yerleşik hesaplar için Cisco ACO'daki yetkilendirme olaylarının bildirimi ile cihazlara giriş / çıkış izlemeyi veya Cisco ekipman yapılandırmalarındaki değişikliklerle ilgili olayları izlemeyi seçerler. Ayrıca, ağı taramaya yönelik etkinliği veya şirketin dahili ağında kötü amaçlı yazılımların varlığını izlemek mümkündür. Çözülmesi gereken görev yelpazesi son derece geniştir ve yalnızca ArcSight yöneticisinin veya bilgi güvenliği uzmanının hayal gücü ile sınırlıdır.

RSA EnVision

Bize göre bilgi güvenliği olay toplama ve analiz pazarındaki bir diğer güçlü oyuncu, EMC tarafından üretilen RSA enVision çözümüdür. RSA enVision platformu, bir kuruluşun endüstri uyumluluğunu basitleştiren, güvenliği iyileştiren ve riski azaltan ve BT altyapısını ve bakımını optimize eden tek, entegre, üçü bir arada günlük yönetimi çözümü oluşturmasını sağlar. Tüm bu avantajlar, tüm günlüklerin otomatik olarak toplanması, analizi, olay bildirimi, olay günlüklerinin denetlenmesi, raporlanması ve güvenli bir şekilde saklanması yoluyla elde edilir.

Pirinç. 12. Kullanıcı eylemlerinin görselleştirilmesi ve ihlal edenlerin tespiti.

RSA enVision sistemi çok çeşitli sorunları çözer. Bu, cihazlardan olayların toplanması ve yöneticilerin / IS kullanıcılarının eylemlerinin denetlenmesidir. Sistem ayrıca olay korelasyonu, bilgi güvenliği olaylarının müteakip analiz ve en az üç yıllık bir süre boyunca işlenme olasılığı ile depolanması, teknolojik ağlar dahil tüm ekipmanlardan veri alımının kontrolü ve arıza durumunda bildirim sağlar.

Aynı zamanda, alınan her IS olayı için RSA enVision aşağıdaki bilgileri içerir:

• düğümün IP adresi (ID, ana bilgisayar adı);
• Komutların yürütüldüğü terminalin IP adresi (ID, ana bilgisayar adı);
• Kullanıcı kimliği;
• mesaj tipi;
• mesajın saati ve tarihi;
• iletinin orijinal gövdesi, alanlara ayrılmış olarak.

RSA enVision platformu, Windows sunucuları, Checkpoint güvenlik duvarları ve Cisco yönlendiricileri dahil olmak üzere on binlerce cihazdan aynı anda günlük dosyalarını çıkarmanıza olanak tanır.
üzerlerine veri toplamanın sürekliliğini ve eksiksizliğini garanti eden aracılar yüklemek.

Joachim Kuehne, Kıdemli Bölge Satış Direktörü, HP:

“Bir kuruluşta bilgilerin emniyetini ve güvenliğini sağlamak önemsiz bir görev değildir. Geçmişte, kuruluş dışından virüsler, botlar, solucanlar ve saldırılara odaklanıldı. Şimdi ve yakın gelecekte şirketler, bilgi sızıntılarına, finansal dolandırıcılığa ve kuruluşun kendi çalışanlarından kaynaklanan çeşitli dolandırıcılık eylemlerine giderek daha fazla dikkat etmek zorunda. Bilgi güvenliği ile ilgili tüm yeni düzenleyici gereklilikler ve yasal düzenlemeler, tam olarak bu iç tehditleri tanımlamayı ve önlemeyi amaçlamaktadır.

İş güvenliğini sağlamak hiç bu kadar zor olmamıştı. Sonuç olarak, düzenleyici gerekliliklere uyumu sağlamak için otomatikleştirilmiş bilgi güvenliği olay izleme sistemlerinin değeri her zamankinden daha fazladır. Bilgi güvenliği olaylarını toplamak ve analiz etmek için modern bir sistem (SIEM, Güvenlik Bilgileri ve Olay Yönetim sistemi), bilgi güvenliği olaylarını toplayabilmeli, analiz edebilmeli ve bilgi güvenliğiyle ilişkili riskleri tanımlayabilmelidir; bilgi sızıntıları, bilgisayar korsanı saldırıları ve dahili tehditler.

ArcSight ürünlerine ve çözümlerine dayalı Kurumsal Tehdit ve Risk Yönetimi (ETRM) platformu, bilgi güvenliğini ihlal edenleri belirlemek, ne, ne zaman ve nerede olduğunu anlamak için çeşitli bilgi sistemlerindeki olayları kullanıcı rolleri ve ağ trafiği hakkındaki bilgilerle ilişkilendirmenize olanak tanır. ArcSight ürünleri, bugün ve gelecek için çözümlerdir. Bugün ihtiyacınız olan izleme sistemini sağlıyoruz, ancak sanallaştırma, bulut bilgi işlem ve modern karmaşık iş uygulamaları gibi teknolojiler, herhangi bir kuruluşun altyapısında giderek daha önemli hale geliyor. ArcSight çözümleri, bu modern hizmet ve teknolojilerin bilgi güvenliğini sağlama sorunlarını artık ETRM platformunu kullanarak çözmemize olanak sağlıyor.”

Platformun yetenekleri hakkında daha fazla ayrıntı, üreticinin www.rsa.com adresindeki web sitesinde bulunabilir.

RSA enVision, dünya çapında yüzlerce kuruluşta halihazırda konuşlandırılmış olan kendi üstün tasarımı olan IPDB mimarisini kullanarak, ağ cihazlarından uygulamalara kadar tüm bilgi altyapısı düzeylerindeki tüm verileri toplayabilir. LogSmart IPDB analiz alt sistemi, hem gelen gerçek zamanlı hem de önceden depolanmış verileri analiz eder. Alt sistem, BT departmanından güvenlik departmanına, politika uyumu ve risk analizinden şirket yönetimine kadar kuruluşun paydaşlarının geniş bir yelpazedeki ihtiyaçlarını karşılayabilecek veri dilimleri ve raporlar şeklinde bilgi sağlar. LogSmart IPDB alt sisteminin özelliği, benzeri görülmemiş performansını belirleyen üçüncü taraf uygulamaları kullanmamasıdır. Bu gösterge, karmaşık ve dallanmış mimariye sahip ağlarda son derece önemlidir.

RSA enVision platformu, büyük bir kurumsal ağın gereksinimlerini karşılamak için bağımsız bir tak ve çalıştır çözümü olarak veya ölçeklenebilir, hataya dayanıklı, dağıtılmış bir mimarinin parçası olarak dağıtılabilir. Hangi çözümü seçerseniz seçin, gerekli tüm yazılımları hiçbir ek ücret ödemeden içerecektir. Web tabanlı yönetim ve son derece gelişmiş analitik aracımız Event Explorer'ın kullanılabilirliği, sezgisel kontrol ve gelişmiş, son derece ayrıntılı olay incelemesi için işlevsellik sağlar.

Bağımsız bir çözüm (ES serisi) olarak dağıtıldığında, işlevsel olarak eksiksiz ve güvenli bir donanım ve yazılım kompleksi (HSC), verilerin toplanmasını, işlenmesini, analiz edilmesini ve depolanmasını gerçekleştirir.

Dağıtılmış bir mimari (LS serisi) seçilmesi durumunda, gerekli yerlere her biri temel görevini yerine getiren özel HSC'ler kurulur: yerel ve uzak toplayıcılar verileri toplar, veri sunucuları toplanan verileri yönetir ve uygulama sunucuları veri analizini gerçekleştirir. ve rapor oluşturma. Verilerin kendisi, RSA ve EMC'den çok çeşitli depolama çözümleri kullanılarak depolanabilir.

Bu ürünün ayırt edici özelliklerine dikkat edelim. Her şeyden önce, üreticinin güvenlik konusundaki kapsamlı yaklaşımını belirtmekte fayda var. RSA'nın SecurID ürünlerini, RSA'nın ana şirketi EMC'nin depolama sistemlerini ve yakın zamanda satın alınan BT güvenlik teknolojisindeki en son gelişme ve en yeni Netwitness'ı herkes bilir. Bu, izleme sisteminin çeşitli bileşenlerinin kolay entegrasyonunu sağlar ve bilgi güvenliğine yaklaşımın ciddiyetini gösterir.
RSA enVision, onu popüler yapan ve ArcSight ürünleriyle aynı düzeyde kullanılan bir dizi özelliğe sahiptir. Rusya'da birkaç şirket, enVision ürününü ArcSight ile birlikte kullanarak endüstriyel ağlarda bilgi güvenliği olaylarının izlenmesine ilişkin karmaşık sorunları çözüyor. Teknolojik ekipman, Ericsson, Siemens, Nokia, Cisco VPN, Citrix terminal sunucuları ve benzerleri gibi üreticilerin cihazlarını içerir.

Bu görevler, teknolojik ekipmanı yönetmek için idari işlevlerin şirket çalışanları tarafından değil, üçüncü taraf bir kuruluş tarafından yerine getirilmesi nedeniyle ortaya çıktı, yani. yönetim dış kaynaklıdır. Bu bağlamda, bu tür sistemler üzerindeki tüm işlemlerin tam kontrolüne ihtiyaç duyulmuştur. Burada, enVision ürününün ArcSight'tan daha uygun olduğu ortaya çıktı, çünkü ilki zaten yerleşik bir IPDB depolama sistemine sahip ve toplanan veriler değişmeden, değişikliklerden korunan bir biçimde saklanıyor. Bu veriler, olay incelemeleri için bir kanıt tabanı görevi görebilir ve çeşitli sıkıştırma mekanizmaları nedeniyle uzun süre saklanabilir. IPDB teknolojileri ile RSA enVision cihazları, SAN'ların, Oracle kümelerinin ve benzerlerinin ağır topları olmadan mütevazı donanım gereksinimleriyle yüksek veri toplama performansı sağlayabilir.

Giriş verilerini işlemenin yüksek hızı, sistemin kurulum sürecini basitleştirir - uygulamanın ilk aşamasında, hangi olayların kaydedileceğini, hangilerinin filtreleneceğini ve hangilerinin gerçek zamanlı olarak işleneceğini bulmaya gerek yoktur.

Pirinç. 13. RSA'dan Web arabirimi Olay Gezgini.

Pratikte, standart olmayan bir cihazı kötü yapılandırılmış bir olay günlüğüne bağlamanın, özel konektörlerin karmaşık gelişimini, özel bir geliştirme ortamında günlük biçimlerinin uzun süre ayrıştırılmasını gerektiren ArcSight'tan daha kolay olduğu ortaya çıktı.

Ek olarak, yeni günlükleri kademeli olarak bağlamanıza, yani yeni mesajları adım adım ayrıştırmanıza ve işlendikçe ayrıştırıcıya eklemenize izin veren özel bir teknik vardır. Aynı zamanda, önceden toplanan veriler için yeni ayrıştırıcılar kullanılabilir.

Yukarıda açıklanan özellikler, yalnızca endüstriyel ağdaki belirli cihazlardan olayları toplamayı değil, aynı zamanda bunları ilişkilendirmenin yanı sıra olayları tanımlamayı da mümkün kılar. Ek olarak, bu durumda, güvenlik cihazlarından, iş istasyonlarından ve diğer klasik bilgi güvenliği olaylarından toplanan olaylarla da korelasyon gerçekleştirilebilir.

Pirinç. 14. SSIM ile olay yönetimi kolaylığı.

Symantec Güvenlik Bilgileri Yöneticisi

Uzun bir süre Rusya'da bilgi güvenliği olaylarını izlemek ve yönetmek için en popüler ürünlerden biri Symantec tarafından üretilen Security Information Manager ürünüydü. Rekabetçi çözümler gibi, SSIM de çeşitli cihaz ve uygulamalardan bilgi güvenliği olaylarını toplama, analitik ve bilgi güvenliği olaylarını belirleme işlevlerini yerine getirir. Toplanan verilere dayalı olarak Symantec SIM, en kritik iş uygulamalarınızı hedefleyen güvenlik tehditlerini belirlemenize, önceliklendirmenize, analiz etmenize ve azaltmanıza yardımcı olur.

Hizmeti kullanarak ağ ve ana bilgisayar güvenlik zayıflıklarının gerçek zamanlı haritalanması Symantec Global İstihbarat Ağı- Bu ürünün en önemli avantajlarından biri, iş için en önemli olan bilgi kaynaklarının güvenliğini sağlamaya vurgu yaparak olaylara hızlı yanıt verme sistemidir.

Symantec Küresel İstihbarat Ağı, dünya genelindeki kötü amaçlı etkinlikleri tespit etmek için tuzaklar kullanan küresel bir ağdır. Tüm bu bilgiler kurallar halinde işlenir ve olayları analiz ederken ve ilişkilendirirken Symantec SIM'de kullanılır.

Gerçek zamanlı güvenlik analizi, güvenlik tehditlerini belirlemek için harici bir standart kullanılarak gerçekleştirilir - açık standartlarda açıklanan bir süreç Dağıtılmış Yönetim Görev Gücü (DMTF). Bu yöntem, olayın çevre üzerindeki etki derecesi, saldırı yöntemi ve hedef kaynaklar dikkate alınarak tehditlerin ve güvenlik sorunlarının sınıflandırılmasını sağlar.

Pirinç. 15. Yönetim konsolu, yalnızca teknik bilgileri izlemenize değil, aynı zamanda üst düzey olay haritaları oluşturmanıza da olanak tanır.

Etkiler, Mekanizmalar ve Kaynaklar (EMR) olarak adlandırılan bu sınıflandırma, Symantec SIM'in veri analiz modülünün merkezinde yer alır. Şablon tabanlı akıllı kuralların esnekliği nedeniyle, standart yaklaşımlarda kullanılan birkaç daha spesifik kuralın yerini tek bir kural alabilir. Sonuç olarak, birçok koşulu kapsayabilen kuralları sürdürmek ve oluşturmak çok daha kolaydır.

Bir hatırlatma olarak, veri toplamaya ek olarak kuruluşlar, veri depolama ve alma araçlarının düzgün çalışmasını sağlayarak arşivlerin saklanmasına yönelik resmi gerekliliklere uymalıdır. Symantec SIM ürünü, ek başlangıç ​​maliyetleri olan ve uzun veritabanı yönetimi gerektiren standart ilişkisel veritabanı tabanlı güvenlik bilgisi kontrol ürünlerinden daha iyi performans gösterir. Symantec SIM ile veritabanı yönetimi gerekmez. Ayrıca olayları arşiv dosyalarında belirtilen konuma kaydeder. Arşiv, tek tek arşiv dosyalarının disk kullanımını ve depolama sürelerini izleyen bağımsız bir modül olarak uygulanır. Belirli bir disk alanı sınırına veya dosya son kullanma tarihine ulaşıldığında, Symantec SIM yenilerine yer açmak için eski arşiv dosyalarını siler. Dosya depolama için cihaz, doğrudan bağlı sürücü (DAS), ağa bağlı depolama (NAS) veya depolama alanı ağı (SAN) arasında seçim yapabilirsiniz. Symantec SIM Arşivlerinin önemli bir avantajı, normal veritabanlarından daha hızlı olmalarıdır çünkü birkaç yüz veritabanı işlevinin aksine, tek bir görev için optimize edilmişlerdir - büyük hacimli olayları depolamak. Symantec SIM'deki sıkıştırma oranı 30:1'e ulaşır. Normalleştirilmiş veriler, orijinal olay bilgileriyle birlikte olay analizi için yakalanır ve saklanır. Son olarak, gizliliği ve bütünlüğü sağlamak için arşivler dijital olarak imzalanır.

Ürünün gücü aynı zamanda üreticinin karmaşık çözümlere yaklaşımıdır. Herkes SEP uç nokta korumasına, Symantec DLP'ye ve Symantec'in diğer bilgi güvenliği çözümlerine aşinadır.

Bilgi güvenliği olaylarının izlenmesi ve yönetilmesi alanındaki ana çözümlerin incelemesini bitirirken, aşağıdakileri not etmek isterim. Ele alınan tüm ürünler kendi nişlerinde liderdir ve onların yardımıyla bilgi güvenliği olaylarının toplanması ve analizi ile ilgili hemen hemen her görevi çözebilirsiniz.

Ardından, Rusya için oldukça yeni bir yönden bahsedelim - veritabanlarında ve iş uygulamalarında kullanıcı eylemlerini izlemek için çözümler. Kurumsal veritabanlarında işlem kontrolü, bize göre kapsamlı bir bilgi güvenliği sistemindeki kilit noktalardan biri olmasına rağmen, bu bilgi güvenliği alanı yalnızca popülerlik kazanıyor.

Veritabanı ve uygulama kullanıcılarının eylemlerinin izlenmesi

Elektronik belge yönetim sistemleri, kişisel veri depoları, müşteri ödeme kartı verileri her geçen gün artan bir ticari değere sahip olup saldırganların ana hedefi haline gelmiştir. Web uygulamalarının yaygınlaşması, yeni servislerin ortaya çıkması, kuruluşların BT altyapısının çığ gibi büyümesi, veritabanlarındaki bilgi akışlarının, kullanıcı eylemlerinin iş uygulama verileriyle geleneksel yollarla kontrol edilememesine yol açmıştır.

Bu eğilimlere yanıt olarak, bu tür karmaşık, çok katmanlı, coğrafi olarak dağıtılmış sistemlerin güvenliğini sağlamak için özel sistemler ortaya çıkmıştır.

Veritabanlarındaki izleme etkinliğinin işlevselliği, tüm büyük DBMS ve iş uygulamaları üreticileri tarafından uygulanmaya çalışılmıştır, ancak yerleşik kontrollerin avantajları, dezavantajlarına yol açmaktadır. DBMS araçları, bir kullanıcı ile bir saldırgan arasında ayrım yapacak kadar esnek değildir. Yerel günlük tutma araçlarının kullanılması, sunucular üzerindeki yükün kat kat artmasına, uygulama performansının ve sağlanan hizmetlerin kalitesinin düşmesine neden olur.

Üçüncü taraf veri tabanı sorgulama trafik kontrol araçları, iç pazarda nispeten yakın zamanda ortaya çıkmıştır. Bu araçlara olan ilgi, artan dahili saldırgan sorunu, artan veri hırsızlığı vakası ve ayrıca gizli verilere erişim kontrolü gerektiren çeşitli düzenleyici belgelerin varlığından kaynaklanmaktadır.

Pirinç. 16. Uygulama kullanıcılarının veritabanına erişimi düzenlerken "bağlantı havuzu oluşturma" yönteminin uygulanması.

Veritabanı kullanıcılarının eylemlerini denetleme ve kontrol etme sistemleri, kullanıcı etkinliklerini veritabanı düzeyinde kaydetmenize ve toplanan bilgileri analiz etmenize olanak tanır. Bu, gerçek zamanlı bildirimlere ve kimin hangi bilgilere eriştiğine ve bu faaliyetlerin harici düzenleyici gereklilikleri veya dahili güvenlik düzenlemelerini nasıl ihlal edebileceğine ilişkin raporlara izin verir.

Artık hemen hemen her kuruluş web uygulamalarını (örneğin, İnternet bankacılığı), SAP, OEBS, Siebel gibi iş uygulamalarını ve özel geliştirme kullanıyor. Bu uygulamaların çoğu üç katmanlı bir mimari üzerinde çalışır. Bu mimari, uygulama performansını optimize etmek için seçildi ve veritabanına erişmek için tek bir hesap kullanan "bağlantı havuzu oluşturma" yöntemi kullanılarak uygulandı. Bu yöntem veri tabanına erişen uygulamaların son kullanıcılarının isimlerini gizler, yani bilgiyi talep eden uygulamanın son kullanıcısını tespit etmek imkansız hale gelir. Bağlantı havuzu için yalnızca bir DBMS kullanıcısı olacak - AppUser.

İş uygulaması kullanıcılarının kurumsal veritabanlarında depolanan bilgilere erişimini düzenlemeye yönelik bu yöntem, uygulama performansını artırma, DBMS üzerindeki yükü azaltma vb. gibi bir dizi avantaj sağlar, ancak aynı zamanda bilgi güvenliği düzeyini de azaltır. uygulama, çünkü son kullanıcıların eylemlerini kontrol etmek imkansız hale geliyor.

Bu nedenle, dengeyi bilgi güvenliği seviyesini artırma yönünde değiştirmek, hizmet kalitesinden ödün vermek zorunda kalır ve bunun tersi de geçerlidir.

En uygun çözüm, bilgi akışlarını kontrol etme işlevselliğini üstlenecek ve aynı zamanda bilgi sistemlerinin performansını etkilemeyecek özel çözümlerin kullanılmasıdır.

Kurumsal uygulamaların katmanlı mimarisi sürekli değişiyor, uygulama kullanıcılarını mevcut rollerine göre kontrol etmek ve ayrıcalıklı kullanıcıların kontrolüne özel önem vermek gerekiyor. Uygulama kullanıcılarına ek olarak, veritabanı kullanıcılarının hem uygulama düzeyinde erişim hem de doğrudan DBMS düzeyinde erişim izlenerek izlenmesi gerekir. Tüm faaliyetlerin şeffaflığının sağlanması, hileli faaliyetlerin önlenmesinde kilit noktadır. DAM sınıfı çözümler, tüm DBMS oturumlarını (oturum açmalar, SQL kodu, çıkışlar vb.), tüm DBMS istisnalarını (hatalar, başarısız yetkilendirme girişimleri) kontrol etmeye, istenmeyen oturumları engellemeye ve çeşitli bilgi güvenliği olayları hakkında bildirimler oluşturmaya yardımcı olur. DAM sınıfı çözümler, veritabanlarındaki etkinliği izlemeye ek olarak, DBMS nesneleri ve ortamdaki değişiklikleri yönetmenize ve DBMS güvenlik açıklarını yönetmenize olanak tanır. Veritabanından veri sızıntısının önlenmesi, çıkarılan bilgilerin kontrol edilmesi, operasyondaki anormalliklerin tespit edilmesi, kritik verilerin otomatik olarak algılanması ve sınıflandırılması ile gerçekleştirilir.

IBM Guardium, Imperva, Oracle DBF ve diğerleri, yalnızca DBMS denetim seçenekleriyle yapılandırılan bireysel SQL sorgularını değil, yerel sorgular da dahil olmak üzere istemciden sunucuya giden tüm SQL trafiğini izler. Böylece veri tabanı ile ilgili herhangi bir olayı kaçırma riski en aza indirilir. Veritabanına herhangi bir erişim kaydedilir, ardından sistemde tanıtılan kurallara göre analiz edilir ve tetiklenirlerse bir IS olayı oluşturulur.

Kurallar, yalnızca veritabanına girme / çıkma, verilere erişme, veritabanının yapısını değiştirme vb. Gibi standart olayların izlenmesine izin vermekle kalmaz, aynı zamanda indirilen veri miktarını, erişmek için kullanılan uygulamayı kontrol etmenizi de sağlar. veri tabanı. Böylece bilgilerin izinsiz kopyalanması veya silinmesi, veritabanlarının çalınması takip edilebilir. Tüm kurallar, GUI kullanılarak kolayca ayarlanır ve derin SQL/PL-SQL bilgisi gerekmez. Belirli kelimelerin varlığı, SQL sorgularındaki koşullar için filtreler ayarlamak, güvenilir kullanıcılar listesi ve sorgu kaynakları tanımlamak da mümkündür. Standart DBMS araçlarıyla bu tür bir filtreleme ya imkansızdır ya da örneğin Oracle Fine-Grained Auditing kullanırken olduğu gibi karmaşık SQL betiklerinin yazılmasını gerektirir.

Yetkisiz veya şüpheli kullanıcı etkinliğini önlemek için güvenlik politikaları kullanılır. Güvenlik ilkeleri, veritabanlarına veya belirli tablolara erişimi çeşitli parametrelere göre kısıtlamanıza olanak tanır:

• Kullanıcı hesapları;
• IP adresleri;
• MAC adresleri;
• ağ protokolleri;
• SQL komut türleri;
• Uygulama Adı;. günün saati vb.

DAM sınıfı çözümler, veritabanlarındaki tüm etkinliği kontrol ederek, bilgi güvenliği olaylarının daha fazla araştırılması için ayrıntılı raporlama sağlar, düzenleyici gerekliliklere uyum için denetim sürecini otomatikleştirir ve bilgi sızıntılarını önler. Bu tür raporlar, SQL hataları veya başarısız kimlik doğrulama girişimleri gibi çeşitli bilgiler içerebilir; yönetimsel komutlar, örneğin veritabanı yapılarının değiştirilmesi - DDL (oluştur, bırak, değiştir); veri seçim talepleri (seçin); hesapları, rollerini ve erişim haklarını yöneten komutlar, örneğin, DML (ver, iptal et) ve VTYS'nin özellikleriyle ilgili diğer komutlar.

IBM Guardium

IBM Guardium ürünü, veritabanlarında eksiksiz bir bilgi güvenliği döngüsü uygulamanıza olanak tanır. Yeni oluşturulan veritabanlarını veya test kurulumlarını kaçırmamanız için mevcut veritabanları ve bunlarda depolanan veri türleri hakkında bilgileri otomatik olarak toplayabilir ve sınıflandırabilir. Ürün, DBMS sunucularındaki güvenlik açıklarını belirlemenizi ve kontrol etmenizi sağlayan yerleşik bir güvenlik açığı tarayıcısına sahiptir. Bu işlevsellik, bir dereceye kadar MaxPatrol'ün işlevselliğini yineler, ancak son derece uzmanlaşmıştır ve DBMS ile çalışmak için optimize edilmiştir. Guardium'da uygulanan çok çeşitli işlevlere rağmen, bunlardan ikisi en popüler olmaya devam ediyor. Bu, veritabanındaki tüm sorguların sürekli olarak denetlenmesi ve günlüğe kaydedilmesi ve yetkisiz veri erişimini engelleme yeteneğidir. Ayrıca, veritabanı kullanıcı oturumlarının engellenmesi, aracı düzeyinde uygulanarak, bir ağ kesintisinde Guardium cihazlarının yüklenmesini önlemeyi mümkün kılar.

Aracılar, erişim özneleri tarafından gerçekleştirilen tüm DBMS istekleri ve bunlar tarafından döndürülen veriler hakkında bilgi toplar ve bunlar daha sonra erişimi uyarma veya engelleme kararının verildiği toplama ve korelasyon sunucularına gönderilir.

Pirinç. 17. Guardium'da kurallarla çalışma kolaylığı.

Çözüm, erişimin gerçekleştirildiği bilgisayarın MAC adresi veya IP adresi, işletim sistemindeki kullanıcı adı, uygulamadaki kullanıcı adı, VTYS.

Her cihaz için, üç tür kuraldan oluşan evrensel bir güvenlik politikası oluşturulur. Birinci sınıfın kuralları - Erişim kuralları - bunlar, toplanan bilgilere göre veritabanı nesnelerine erişimi kısıtlamanıza izin veren, ortama erişimi kontrol etmeye yönelik kurallardır. İkinci sınıfın kuralları - İstisna kuralları - var olmayan bir nesneye erişirken oluşan hatalar, başarısız bir kimlik doğrulama girişimi gibi istisnaları işlemeye yönelik kurallar. Ve son kural türü - Ekstrüzyon kuralları - Kullanıcı tarafından veritabanına yapılan bir istek sonucunda alınan verileri analiz eden ve sonraki işlemlere karar veren, kullanıcıya iade edilen değerleri işlemek için kurallar.

Bu yaklaşımın rahatlığı, kuralların bir güvenlik politikası oluşturmak, öncelikler atamak veya kural işlemenin sonuçlarına dayalı olarak olayları belirlemek için koşulları ayarlamak üzere birleştirilebilmesidir.

Her DBMS sunucusuna kurulan aracılar, yedek toplayıcının beklenen tepe yükünü hesaba katarak, aracı için yedek toplayıcının adresini tanımlayan ortak bir yapılandırma dosyasına sahiptir. Böylece tüm etmenler merkezi olarak yönetilmekte ve cihazlardan birinin arızalanması durumunda yük diğer cihazlara aktarılarak izleme sürekliliği sağlanmaktadır.

Cihaza giren bilgiler, orijinal formattan bağımsız olarak tipik bir forma indirgenir (normalize edilir) ve filtrelenir. Bunu veya bu bilgiyi saklama ihtiyacını belirleme mekanizması, cihaz güvenlik politikasını oluşturan dahili kurallar kullanılarak belirlenir.

Pirinç. 18. Guardium veritabanında saklanan normalleştirilmiş bilgilere bir örnek.

Aynı zamanda, her istek analiz edilir ve ayrı alanlara ayrıştırılır; bunların kombinasyonu, çeşitli sürümlerde keyfi bir rapor şeklinde bilgi alınmasına izin verir.

Aynı zamanda Guardium, yalnızca kullanıcının sisteme (sistemden) oturum açma (oturum açma) tarihini ve saatini, oturum açma girişiminin sonucunu (başarılı veya başarısız) değil, aynı zamanda diğer parametreleri de kaydetme olanağı sağlar. bir eylemin gerçekleştirildiği zaman, başlangıç ​​zamanı ve oturumun sonlandırılması, DBMS erişim protokolleri, istemci ve sunucu ağ parametreleri, veritabanındaki ve işletim sistemindeki kullanıcı adı ve diğerleri.

Güvenlik politikası kurallarının tetiklenmesiyle ilişkili ortaya çıkan olaylar, olay korelasyonunun sonuçları ve diğer sonuçlar toplayıcı cihaza yüklenir. Bu, kullanıcı etkinliğinin merkezi olarak izlenmesini uygulamanıza, korunan tüm veritabanları için ortaya çıkan olaylar hakkında tam bilgiye sahip olmanıza, yetkili çalışanları otomatik ve merkezi olarak bilgilendirmenize ve yerleşik olay yönetim sistemini kullanarak olay müdahale sürecini yönetmenize olanak tanır.

Guardium, ortamdaki doğru durumlar için uyarılar oluşturmak üzere ilke ihlali olaylarını ilişkilendirmek için yerleşik bir mekanizma sağlar - örneğin, aynı istemciden birden çok DBMS sunucusunda erişim engellenmesi gibi birden çok olay meydana geldiğinde bir şüpheli etkinlik uyarısı oluşturabilirsiniz. IP. adresleri. İlkelerdeki kuralları birleştirerek, VTYS ortamına erişimi denetlemek ve izlemek için esnek bir sistem oluşturabilirsiniz.

Pirinç. 19. Dağıtık şirketler için IBM Guardium mimarisi. Hem SPAN portu üzerinden pasif izleme yardımıyla hem de aracılar yardımıyla veri toplamak mümkündür.

IBM Guardium ürününün ana avantajı, ev içi olanlar da dahil olmak üzere hemen hemen her uygulamayla entegre olmanıza izin vermesidir. Uygulamalarla Guardium entegrasyonu, uygulama kullanıcılarından veritabanlarına kesinlikle şeffaf istekler yapmanıza olanak tanır ve toplayıcı düzeyinde olayların korelasyonu, veritabanlarının ve iş uygulamalarının altyapısında neler olup bittiğinin tam bir resmini elde etmenize olanak tanır.

Rusya pazarındaki ikinci güçlü oyuncu, Imperva ve SecureSphere ürün grubudur. Imperva'nın yaklaşımı, IBM'inkinden biraz farklıdır. Imperva SecureSphere serisinin ürünleri, Web uygulamalarının kapsamlı bir şekilde korunmasının yanı sıra Web uygulamaları yoluyla aktarılan ve veritabanlarında depolanan verilerin yeterince güvenilir bir şekilde korunmasına olanak tanır. Ve son olarak şirket, SecureSphere Dosya Güvenliği serisinde, ayrıcalıklı kullanıcılar ve uygulamalar dahil olmak üzere dosyalara erişimi izlemenize, güvenlik politikası ihlallerini tespit edip bildirmenize ve gerekirse engellemenize olanak tanıyan yeni bir ürünü piyasaya sürdü.

SecureSphere File Security, SecureSphere Data Security Suite'in bir parçasıdır ve genel veritabanınız ve uygulama güvenliğinizle bütünleşir.

Pirinç. 20. Imperva'nın veritabanlarını ve uygulamaları korumaya yönelik kapsamlı yaklaşımı.

Imperva

Klasik çevre ve ana bilgisayar koruması araçlarının (ME, IDS / IPS, veri kanallarının şifrelenmesi, virüsten koruma yazılımı vb.) yanı sıra ek koruma önlemleri de kullanılır. Bu, sanal bir klavye, oturum anahtarlı kartlar, resimde gösterilen kodun girilmesi, giriş verilerinin kontrol edilmesi vb. olabilir. Ancak bu tür önlemlerin şu veya bu nedenle uygulanması her zaman mümkün değildir. Web uygulamaları geliştiren çalışanların artık şirket için çalışmaması ve ayrıca kodu değiştirmek veya değiştirmek çok zahmetli olduğunda alışılmadık bir durum değildir.

Temel koruma araçlarının dezavantajı, genellikle Web uygulamalarına yönelik saldırılarla mücadelede yeterince etkili olmamalarıdır. Bu nedenle, onları korumak için özel araçlar kullanmak gerekir. Uygulamaların güvenliğini sağlamak için web uygulama güvenlik duvarları (WAF, Web Uygulama Güvenlik Duvarı) kullanılmaktadır. Çoğu zaman, bu sınıftaki çözümler, uygulamalardan veritabanına ve tersi yönde giden gözlenen HTTP trafiğine kurallar ve güvenlik ilkeleri uygulayan yazılım ve donanım sistemleridir. Bu çözümler, Siteler Arası Komut Dosyası Çalıştırma (XSS) veya SQL enjeksiyonu gibi iyi bilinen saldırı türlerini kontrol etmenize olanak tanır. İş uygulamaları için kuralları özelleştirerek birçok saldırıyı tespit edebilir ve engelleyebilirsiniz. Ancak, bu özelleştirmeyi gerçekleştirmek için gereken iş miktarı önemli olabilir ve uygulamada değişiklik yapıldığında bu işin yapılması gerekir.

Bu sınıftaki çözümlerin ortaya çıkışı, halka açık web uygulamalarında kredi kartı bilgilerinin şu iki yöntemden en az biriyle korunmasını gerektiren PCI DSS standardından etkilenmiştir: web uygulama kodunu analiz ederek: manuel olarak, kaynak kodlarını veya güvenlik açığını tarayarak değerlendirme veya bir nokta güvenlik politikası uygulaması ve merkezi otomatikleştirilmiş yöntem belirleyerek.

WAF sınıfı çözümler genellikle "Derin Paket İnceleme Güvenlik Duvarları" (derin paket incelemeli ITU) olarak adlandırılır çünkü. her isteği ve yanıtı HTTP/HTTPS/SOAP/XML-RPC/Web hizmetleri katmanlarında ayrıştırırlar. Aynı zamanda, veritabanındaki veriler korumasız kalır, kullanımları izlenmez (aslında, uygulama sunucusundan veritabanına gelen ağ isteklerinin yalnızca bir kısmı denetlenir). Geleneksel çevre güvenlik güvenlik duvarları gibi, WAF'ler de gereklidir ancak her zaman yeterli değildir.

SecureSphere WAF araçları, Web uygulamalarını çok çeşitli tehditlerden korumak için tasarlanmıştır. Geleneksel IPS sistemlerinden farklı olarak, SecureSphere cihazları Web oturumlarını izleyebilir, Web uygulama yapısı öğelerini (çerezler, seçenekler, form alanları vb.) profillerinde depolanan beklenen öğelerle ve profil HTTP, HTTPS ve XML trafiğini karşılaştırabilir. Web uygulamalarını hedef alan en yaygın saldırılar arasında iş mantığına yönelik saldırılar (parametre kurcalama), oturum ele geçirme, oturum yeniden oynatma, veri parçası değiştirme (çerez enjeksiyonu, çerez zehirlenmesi), parola tahmin etme, HTTP paketlerinin yasa dışı değiştirilmesi (çift kodlama, kötü niyetli kodlama) saldırıları yer alır. ) ve XML ve SOAP'a yönelik saldırılar.

Ne daha iyi?

Imperva ürünlerini IBM Guardium ile karşılaştırmaya gelince, birkaç önemli fark vardır. İlk olarak, Guardium, izleme ve denetleme verilerini depolamak için dahili bir veritabanı kullanırken, Imperva toplanan verileri dosyalarda saklar. Her iki yaklaşımın da hem avantajları hem de dezavantajları vardır. İzleme verilerinin veritabanında saklanması, sorgu işleme ve depolama yazma hızını önemli ölçüde azaltır. Ancak bu tür verilerle çalışma hızını artırır. Yapılandırılmış bir veri tabanından rapor indirmek, dosya deposundan indirmekten daha kolaydır. İkincisi, IBM çözümünün uygulanması çok daha zordur, oysa Imperva ürünleri öğrenme moduna geçirilebilir ve birkaç hafta içinde bir temel oluşturabilir, buna dayanarak hızlı bir şekilde bir güvenlik politikası oluşturabilirsiniz. Ancak Guardium ürünlerini uygulamadaki zorluk, çok sayıda ayar, parametre ve işlevden kaynaklanmaktadır ve bu da deneyimli bir uygulayıcıya herhangi bir görevi gerçekleştirme yeteneği şeklinde bir avantaj sağlar. Diğer bir önemli fark, satıcının boyutudur. Yazılım devi IBM, kullanıcılara mükemmel düzeyde teknik destek sağlar, ancak üründeki tüm değişiklikler, tüm büyük şirketlerin doğasında var olan ölçülü ve yavaş tempo ile yapılır. Aynı zamanda, Imperva oldukça küçüktür, Rusya'da resmi bir temsilciliği ve Rusça konuşan kullanıcılar için teknik desteği yoktur, ancak üründe olabildiğince hızlı ve doğru bir şekilde değişiklik yapma, karmaşık kullanıcı isteklerini karşılama yeteneğine sahiptir. .

Imperva cihazları, yapılarını modellemek için Web uygulamalarını otomatik olarak profillendirir. Belirli bir süre boyunca Web trafiğini analiz ederek, standart uygulama davranışının bir profilini oluştururlar (Web uygulamasının ve kullanıcı etkinliğinin otomatik beyaz listeye alınması). Daha sonra cihazlar, saldırı imzalarıyla profilden sapmaların korelasyon analizini gerçekleştirir ve gerekirse tehdidi engeller.

Profillerin kullanımı, anormal kullanıcı davranışını, sistem mantığındaki hataları tespit etmek, tipik rolleri belirlemek ve rol vermenin doğruluğunu belirlemek için güçlü bir araçtır. Benzer bir yaklaşım, Imperva'nın veri tabanı koruma ürünleri için de geçerlidir. Kontrollü bir DBMS ortamının temel durumunu belirlemek için, Imperva platformu önce bir süre öğrenme modunda çalışarak ortamdaki tüm trafiği analiz eder. Öğrenme süreci sırasında platform, SQL trafik yüklemesine ilişkin istatistikleri toplar ve analiz eder. Eğitimden sonra politikalar, hem ortamın normal işleyişi hem de anormal davranışlar (bilinmeyen IP adreslerinden kritik verilere erişim, sistem tablolarına erişim veya diğer makinelere üretim sistemleri). Şüpheli etkinliğin ortamın normal işleyişinin temel "dökümüne" girmemesi veya eğitimden sonra platform tarafından önerilen politikaları dikkatli bir şekilde analiz etmesi, düzenlemesi ve kabul etmesi için Imperva platformunun eğitim süresi boyunca maksimum güvenliğin sağlanması gerekir. .

Pirinç. 21. Denetim verisi analizi için uygun etkileşimli arayüz.

SOC'nin Uygulamalı Yönleri

Bilgi Güvenliği Operasyon Merkezi kurmaya karar veren her şirket, öncelikle SOC'den bilgi güvenliği alanında uygulanan belirli sorunları çözme ve bilgi güvenliğinin uygun düzeyde sağlanmasında etkinlik artışı beklemektedir. Bunlar hem bilgi koruma ve operasyonel yönetim için özel görevler hem de bilgi güvenliği alanındaki herhangi bir gereksinimi yerine getirme olabilir. Daha sonra, Rus gerçekliğinde SOC uygulamasının ana uygulamalı yönlerini ele alacağız.
Her şeyden önce, kişisel verilerin ve ödeme plastik kart sahiplerine ilişkin verilerin korunmasıdır.

SOC ve kişisel verilerin korunması

Çağımızda kişisel verilerin güvenliğini sağlama ihtiyacı nesnel bir gerçekliktir. Bir kişi hakkında bilgi çok değerlidir. Üstelik bir dolandırıcının elinde, görevden alınan bir çalışanın elinde bir suç silahına - bir intikam aracına, içeriden birinin elinde - bir rakibe satılan bir ürüne dönüşüyor. Bu nedenle kişisel veriler bugün en ciddi korumaya ihtiyaç duyuyor!

Bugün, bir kişi hakkında bilgi işlemeden bir kuruluşun faaliyetini hayal etmek pek mümkün değil. Her durumda kuruluş, çalışanlar, müşteriler, ortaklar ve tedarikçiler hakkındaki verileri saklar ve işler. Kişisel verilerin sızması, kaybolması veya izinsiz değiştirilmesi onarılamaz zararlara ve bazen de şirket faaliyetlerinin tamamen durmasına neden olabilir.
Bir kişi hakkındaki bilgilerin önemini ve değerini anlayan ve vatandaşlarının haklarına uyulmasına özen gösteren devlet, kuruluşların kişisel verilerin güvenilir şekilde korunmasını sağlamasını ister. 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Yasası N 152-FZ "Kişisel Veriler Üzerine", bireylere (kişisel veri konularına) ait bilgilerin işlenmesi ve korunmasına ilişkin ilişkileri düzenler.

Kişisel veriler, "belirli bir gerçek kişiye ait herhangi bir bilgi veya böyle bir kişiyi benzersiz bir şekilde tanımlayabilen veriler" anlamına gelir. Bu, PD konusuna ait bir soyadı, ad, soyadı, yıl, ay, doğum tarihi ve yeri, adres, aile, sosyal, mülkiyet durumu, eğitim, meslek, gelir ve diğer bilgiler olabilir.

PD operatörü, "kişisel verilerin işlenmesini organize eden veya yürüten ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet organı, belediye organı, tüzel kişilik veya bireydir", yani istisnasız , kendi insan kaynakları departmanlarına sahip tüm kuruluşlar, müşteriler, ortaklar, yükleniciler vb. hakkındaki verileri depolar ve işler.

Rus mevzuatı, 152 Sayılı “Kişisel Veriler Hakkında” Federal Kanununun gerekliliklerinin ihlali durumunda medeni, cezai, idari, disiplin ve diğer sorumluluklar sağlar.
PD koruma sistemi, kuruluşun genel güvenlik sisteminin ayrılmaz bir parçasıdır (kuruluşun mevcut bilgi güvenliği geliştirmeleri kullanılır, gerekirse performans düşüşü olmadan entegre edilen ve altyapıyı karmaşıklaştırmayan yeni sistem bileşenleri oluşturulur).

PD koruma sistemi, gerçek güvenliği artırır ve ticari sırların korunması için iş gereksinimlerinin karşılanmasına katkıda bulunur.

Kişisel veri koruma sisteminin uygulanmasının bir parçası olarak SOC oluştururken, şirketimizin uzmanları bilgi koruma alanında önde gelen üreticilerin modern teknolojilerini kullanır. Bunlar arasında özellikle Güvenlik Bilgi Yönetimi sınıfı (ArcSight, Symantec, RSA envision), Veritabanı Etkinlik İzleme (IBM Guardium, Imperva), Kimlik Yönetimi ve Bilgi Hakkı Yönetimi (Oracle), Veri Kaybını Önleme ("Jet Bilgi Sistemleri") çözümleri yer alır. , Symantec, RSA), Yapılandırma ve Güvenlik Açığı Yönetimi (Pozitif Teknolojiler).

ArcSight, Symantec SIM ve RSA enVision gibi Güvenlik Bilgi Yönetimi sınıfındaki ürünler, madde 2.4 gereği kişisel veri koruma sisteminin merkezi yönetimini sağlamak için kullanılmaktadır. II.bölüm Bilgileri yetkisiz erişimden koruma yöntemleri ve araçları 5 Şubat 2010 tarihli ve 58 sayılı Rusya FSTEC Emri Bu sistemler, çeşitli güvenlik araçlarından bilgi güvenliği olaylarını toplar, analiz eder (ilişkilendirir) ve kontrol eder; risk analizi ve değerlendirmesi için gerçek verileri almak, bilgi güvenliğini sağlamak ve kişisel verileri korumak konusunda bilinçli kararlar almak için bilgi güvenliği olay yönetim sistemine daha fazla aktarılmasıyla gerçek zamanlı olaylar.
IBM Guardium, Imperva ve Oracle gibi veritabanı koruma çözümleri, kayıt ve muhasebe işlevlerini uygulamanıza olanak tanır (bölüm II'nin 2.3 paragrafına uygun olarak. Rusya FSTEC Emri'nin yetkisiz erişimine karşı bilgileri korumaya yönelik yöntemler ve yöntemler Hayır .58 5 Şubat 2010), tüm kullanıcıların kişisel verileri içeren veritabanlarına, DBMS sunucularının performansını düşürmeden ve bilgi sistemlerinin altyapısını önemli ölçüde etkilemeden talep eder. Bu seviyedeki ürünlere özellikle coğrafi olarak dağılmış büyük kuruluşlarda ihtiyaç duyulur. Bu nedenle, IBM Guardium çözümleri, ayrıcalıklı olanlar da dahil olmak üzere tüm kullanıcılar için herhangi bir üreticinin veritabanlarına tek bir erişim denetimi noktası görevi görür.

Kısım II, madde 2.2 uyarınca bir güvenlik analizi sağlama gerekliliği. Bilgileri yetkisiz erişimden koruma yöntemleri ve araçları 5 Şubat 2010 tarihli ve 58 sayılı Rusya FSTEC Emri, Positive Technologies'in MaxPatrol ürününü kullanan Jet Infosystems uzmanları tarafından uygulanmaktadır. Bu sistem, IP kaynaklarının düzenli bir envanterini yapmanıza, bir davetsiz misafir tarafından sisteme saldırmak için kullanılabilecek kişisel veri bilgi sistemlerinin yazılım yapılandırmasındaki hatalarla ilişkili güvenlik açıklarını belirlemenize, ağ ekipmanı ayarlarındaki değişiklikleri, sunucuların işletim sistemlerindeki değişiklikleri izlemenize olanak tanır. ve iş istasyonları.

SOC ve PCI DSS

Altyapıyı PCI DSS gereksinimleriyle uyumlu hale getirmeye yönelik herhangi bir projenin parçası olarak, birkaç temel iş görevi tanımlanabilir. İlk olarak, denetim sürecini mümkün olduğunca basitleştirmek ve ikinci olarak, dış denetçilerden tasarruf etmek ve ayrıca denetçilerin kritik bilgilere erişimini sınırlamak gerekir. Ve elbette, gerekli raporlara her zaman hızlı bir şekilde erişebilmeniz için denetim verilerini uzun süre saklayın.

Uzmanlarımız, tüm PCI DSS gereksinimlerini karşılamanın ve müşterinin dahili sorunlarını çözmenin en basit ve verimli şekilde Güvenlik Operasyonları Merkezi araçları kullanılarak yapıldığını söylüyor.

DBMS ile ilgili PCI DSS standardının gereklilikleri, yerine getirilmesi için gerekli olan ve altyapıyı standarda uygun hale getirme projelerinin bir parçası olarak uzmanlarımız tarafından uygulanan bir dizi gerekliliği içerir. Ödeme kartlarını işlemek için herhangi bir sistem, içeriklerini sağlamayan nesnelerde ödeme kartlarıyla ilgili verilerin görünümünü kontrol edebilmelidir. PCI DSS standardının 6.1 gereksinimi uyarınca, kurulu güvenlik güncellemeleri ve sanal güncellemeler gerçekleştirme becerisi izlenmelidir. Gereksinim 6.2, keşfedilen güvenlik açıklarının daha etkili bir şekilde ortadan kaldırılması için sıralama ihtiyacını belirtir. PCI DSS gereksinimi 8.5.8 ile uyumluluk, grup, paylaşılan veya yerleşik hesapların kullanımını algılayabilmelidir. DBMS ile ilgili PCI DSS standardının Gereksinimleri 10.2.1, ödeme kartı verilerine herhangi bir erişimi kaydetme ihtiyacından bahseder. Ödeme kartlarına ilişkin veriler veritabanlarında saklandığından, 10.2.2 numaralı gereksinimde belirtildiği gibi, tüm kullanıcıların ve özellikle ayrıcalıklı kullanıcıların veritabanlarına erişiminin kontrol edilmesi gerekmektedir. Yalnızca verilere erişimi değil, aynı zamanda yönetici ayrıcalıkları kullanılarak gerçekleştirilen tüm eylemleri de kontrol etmek gerekir. Ayrıca, yalnızca ödeme kartı verilerine erişimin izlenmesi değil, aynı zamanda 10.2.3 gerekliliği uyarınca tüm olay günlüklerine erişimin günlüğe kaydedildiğinden emin olunması da gereklidir. DBMS ile ilgili PCI DSS standardının Gereksinim 10.2.4, başarısız mantıksal erişim girişimlerini günlüğe kaydedebilmenin gerekli olduğunu ve 10.2.5, tanımlama ve kimlik doğrulama mekanizmalarının kullanımının günlüğe kaydedilmesi gerektiğini söylüyor. Ayrıca, DBMS sunucusunda sistem nesnelerinin oluşturulmasını ve silinmesini günlüğe kaydetmek ve günlüklerin değişikliklerden korunmasını sağlamak gerekir. Gereksinim 11.3, DBMS yapılandırmasında ve ortamında güvenlik açıklarını ve hataları aramayı zorunlu kılar.

Ödeme kartı verilerine erişimi olan kullanıcıların hareketlerini kontrol etmeye yönelik tüm bu ve diğer bazı gereksinimler, yalnızca SOC çözümleri kullanılarak başarılı bir şekilde uygulanabilir. Açıkçası, otomatik olmayan bir yöntemle tüm olayları kaydetmek, günlükleri kontrol etmek, güvenlik açıklarını kontrol etmek ve sızıntılara karşı korumak imkansızdır.

SOC ve dahili görevler

Bir dizi düzenleyicinin gerekliliklerini karşılamanın yanı sıra, SOC'ler müşterilerin ticari sorunlarını çözmek için tasarlanmıştır. Bu görevler arasında dolandırıcılıkla mücadele ve tek tip düzenlemelerin geliştirilmesi, bilgi güvenliği standartları ve bunların uygulanması üzerinde kontrol ile BT ve bilgi güvenliği departmanları arasındaki etkileşimin organizasyonu yer alır.

Bazen değişiklikleri kontrol etmek veya faturaları silmek, belirli raporları yüklemek, belirli çalışanların sigorta poliçelerine erişmek veya ağ ekipmanlarındaki belirli ayarların bilgi güvenliği gereksinimlerine uygunluğunu izlemek gibi çok net ama dar bir görevle karşı karşıya kalırız.

SOC'nin yardımıyla çözülen görev yelpazesi alışılmadık derecede geniştir. Ağ ekipmanı, iş istasyonları, veritabanları veya telekom operatörlerinin baz istasyonları gibi teknolojik ekipman olsun, bilgilerin toplanmasını, işlenmesini ve müdahale önlemlerinin geliştirilmesini gerektiren hemen hemen her işlevi uygulayabilirsiniz.

Nihayet

Rusya'da Operasyonel Bilgi Güvenliği Yönetim Merkezleri henüz çok yaygın olmasa da, bu tür merkezlerin oluşturulmasında zaten benzersiz bir deneyim ve tüm kuruluşlar için örnek olarak kullanılabilecek örnekler var. Şu anda ArcSight ESM, Symantec SIM ve RSA enVision ürünlerini temel alan yaklaşık 50 izleme ve bilgi güvenliği olay yönetimi sistemi uygulaması bulunmaktadır. Rusya'da bu alandaki liderliği, 30'dan fazla uygulamaya sahip olan ArcSight güvenle elinde tutuyor. MaxPatrol kurulumlarının sayısı da 50 civarında dalgalanıyor, ancak MaxPatrol'ün piyasada birkaç yıl önce ortaya çıkan nispeten yeni bir ürün olduğu ve uzmanların tahminlerine göre 2011'in sonunda bu sayı dikkate alınmalıdır. MaxPatrol tabanlı zafiyet yönetim sistemleri yüze ulaşabilir. Dayatılan araçlarla veri tabanı koruması alanında, Guardium, Imeprva, Embarcodero ve Netforensics Dataone ürünlerinin uygulama sayısı şimdiden elliyi aştı ve geleneksel olarak bilgi güvenliğine önem verdikleri için yalnızca telekomünikasyon şirketleri ve büyük bankalar değil, aynı zamanda şirketler de sanayi sektöründen bu tür ürünlere ilgi gösteriliyor. , küçük hizmet sağlayıcılar ve hatta devlete ait şirketler, ürünler FSTEC tarafından onaylandığından, devlet kuruluşlarında gizli bilgileri koruma yeteneği kazanıyor.

Artan sayıda şirketin yalnızca farklı korumalar uygulamakla kalmayıp aynı zamanda tam teşekküllü SOC'lerden tam olarak yararlanmaya başlaması cesaret vericidir. En iyi bilinen bilgi güvenliği operasyonel yönetim merkezlerinden biri, bilgileri ağda bulunabilen Beeline, MTS, TNK-BP ve diğer bazı büyük kuruluşlardaki SOC'yi seçebilir.

Şirketinizde bir Bilgi Güvenliği Operasyon Merkezi kurmanın tüm güzelliklerini ve faydalarını düşünmenizin zamanı gelmedi mi?