С каждым годом растет спрос на решения для обеспечения информационной безопасности. Важно комплексно подходить к анализу и выявлению инцидентов. Зачастую в организациях значительную часть как финансовых ресурсов, так и человеческих, выделяют на построение активной системы защиты информации, которая редко учитывает налаженные в компании бизнес-процессы. Такая система становится помехой для комфортной и продуктивной работы сотрудников, и в основном обеспечивает защиту информации исключительно от внешних воздействий. Борьба с потенциальными внутренними нарушителями сводится к реализации ограничительных политик безопасности.
В данном обзоре рассмотрим российские программные продукты, разработанные компанией NGR Softlab. Они предназначены для комплексной защиты ИТ-инфраструктуры компании.
Alertix: SIEM для мониторинга инцидентов ИБ
Сегодня SIEM стал стандартным инструментом для выявления инцидентов ИБ в режиме реального времени. Для снижения рисков в современных условиях недостаточно использования классических СЗИ. Для выявления целенаправленных, отложенных атак, инсайдерской деятельности, нарушения политик информационной безопасности и требований регуляторов необходимо решение класса SIEM, дополненное инструментами, повышающими скорость и качество выявления, расследования и предотвращения инцидентов, а также штат аналитиков ИБ, специализирующихся на этих задачах.
Что такое Alertix?
Alertix – SIEM-система для поиска, сбора и обработки данных ИТ- и ИБ-инфраструктуры. Кроме того, решение может быть использовано как платформа с набором инструментов, достаточных для построения процессов SOC.
Для продукта регулярно выходят обновления, направленные, например, на усовершенствование ее основных функций, увеличение производительности и снижение нагрузки на клиентскую инфраструктуру. Исторически Alertix сформировался в ядре коммерческого поставщика услуг SOC, что гарантирует отличное соотношение эффективности и затрат на эксплуатацию.
Alertix может быть использован в целях управления журналами ИТ-систем (LM), ИТ- и ИБ-мониторинга (SOC, NOC), построения и контроля ресурсно-сервисных моделей, поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных. В дополнение к основному функциональному ядру Alertix предлагаются приложения, обеспечивающие снижение трудозатрат на рутинные операции, учет и контроль.
Основные сценарии применения Alertix:
- Мониторинг событий ИБ
Alertix позволяет без приобретения и внедрения дополнительных средств обеспечить базовый процесс выявления, расследования, учета инцидентов и уведомления регуляторов.
- Фильтрация потока событий
Платформа может использоваться в дополнение к внедренной SIEM, снижая его лицензируемые параметры, предварительно фильтруя и обрабатывая поток событий.
- Импортозамещение иностранного SIEM
Решение включено в реестр отечественного ПО и подходит под программу импортозамещения.
- Замена нерабочего SIEM
Позволяет заменить решения, для которых требуется дорогостоящая редкая компетенция.
Минимальные системные требования для сценария «все-в одном» сервере:
vCPU | 20 |
RAM | 40 Gb |
SYSTEM | 2×240 Gb в RAID1 |
HDD2 | DATA 1.92 Tb |
NET | 100 Mbps |
Продукт поставляется как программное обеспечение с перманентной или временной лицензией. При продлении лицензии клиент, по сути, платит за техподдержку, само решение функционирует без ограничений по срокам. Доступна отдельная схема лицензирования для MSS-провайдеров.
Ключевые преимущества Alertix:
- Встраивается в любую инфраструктуру: высокая гибкость и возможности интеграции.
- Непрерывно совершенствуется за счет использования MSS провайдером услуг SOC.
- Позволяет обеспечить все базовые процессы мониторинга ИБ одним решением.
- Не требует больших усилий и вложений в персонал для поддержания уровня доступности 99% и выше.
- Входит в реестр отечественного ПО.
- Бессрочная лицензия ─ продукт будет работать без продления поддержки, однако перестанет получать обновления ПО, баз правил выявления и коннекторов.
- Базовая лицензируемая метрика – «чистый» EPS. За счет длительного периода усреднения и учета событий уже после фильтрации значение лицензируемого параметра обычно ниже, чем у конкурирующих решений.
Аналитическая платформа Dataplan: качественное решение аналитических задач ИБ
Dataplan ─ аналитическая платформа для решения задач в ИБ. Продукт применяется как инструмент более точного определения состояния защищенности информации по данным не только средств защиты, но и прикладных систем. Платформа позволит определить характерные действия пользователей по доступу к информационным ресурсам и выявить отклонения в реализованных политиках. Это будет полезно, например, при оценке необходимости или перед внедрением DLP, DAM-систем, разработке схем резервирования или оценке эффективности сотрудников. Обзор Dataplan специально для портала Cyber Media подготовила компания NGR Softlab.
Основные функциональные возможности Dataplan:
- Сбор и обработка больших массивов данных из разных источников;
- Долговременное хранение данных;
- Расширенная поведенческая аналитика действий пользователей (UBA/UEBA) с применением ML (Machine Learning) и систем, с которыми они взаимодействуют (хосты, базы данных, таблицы, процессы, приложения и пр.);
- Анализ состояния службы каталогов и формирование рекомендаций по построению ролевой модели разграничения доступа (RBAC);
- Формирование индивидуальных запросов на обработку хранимых данных;
- Графическое отображение результатов анализа;
- Уведомление пользователей и ответственных лиц о результатах анализа.
Такие функции позволяют использовать Dataplan в системах организаций с разными числом сотрудников, масштабами инфраструктуры и составом средств защиты информации.
Платформа используется:
- в Федеральных органах исполнительной власти (ФОИВ), финансовых организациях, лизинговых и страховых компаниях для анализа доступа пользователей к критически важным базам данных для выявления инсайдерской деятельности. При этом ряд баз данных функционирует под управлением СУБД заказных разработок, некоторые из которых не имеют собственной системы логирования или используют закрытый протокол обмена данными;
- для анализа журналов событий почтовой службы и выявления случаев компрометации учетных записей сотрудников, находящихся в командировках. Для решения этой задачи используют открытые базы GeoIP;
- в банках и других коммерческих организациях продукт используют для анализа отклонений в типовых действиях пользователей при доступе к сетевым информационным ресурсам, выявления нетиповой сетевой активности в инфраструктуре и пр., а также для обогащения данными при расследовании инцидентов информационной безопасности с использованием SIEM.
Платформу могут использовать специалисты с различной квалификацией – как офицеры информационной безопасности, не обладающие знаниями Data Science, так и аналитики, создающие уникальные SQL-запросы и витрины данных.
Так, например, встроенные алгоритмы машинного обучения позволяют строить поведенческие профили пользователей за несколько кликов и получать сводную статистику по обнаруженным аномалиям за неделю.
Построенные профили покажут усредненные значения, определяющие поведение пользователей или другой исследуемой сущности за заданный временной интервал, отобразят уровни индивидуального и группового рисков. Таким образом можно выявить отклонения в действиях пользователя по отношению к самому себе или ко всей группе.
При необходимости можно проанализировать данные, на базе которых было выявлено то или иное отклонение и выгрузить их для более детального анализа.
Для упрощения анализа профили могут быть объединены в метапрофили, которые представляют сводную статистику по всем пользователям (или другим сущностям). Такие сведения позволят оценить суммарные уровни риска, состояние системы защиты информации или бизнес-процессов, снизить количество ложных срабатываний по отдельным профилям.
Dataplan выполнит анализ и оценит службу каталогов по параметрам, влияющим на состояние защищенности информации, выявит пользователей и группы безопасности с аномальными признаками, сформирует предложения по построению ролевой модели разграничения доступа.
Обзор решения Infrascope: контроль привилегированного доступа
Привилегированные учетные записи – главный приоритет при мониторинге и контроле доступа на предприятии. Поэтому решения класса PAM (Privileged Access Management) ─ универсальный инструмент для их защиты. Он помогает снизить риски при использовании сервисных и неперсонифицированных учетных записей конечных устройств (маршрутизаторов и др). PAM-решения фокусируются на контроле и защите внутренней ИТ-среды организации, в том числе при использовании аутсорсинговых услуг и удаленного доступа.
Infrascope ─ комплексный программный продукт для управления привилегированным доступом класса РАМ. Он помогает предприятиям создать гибкую, централизованную, многоуровневую архитектуру защиты от инсайдерских угроз и компрометации учетных записей. Обзор Infrascope специально для портала Cyber Media подготовила компания NGR Softlab.
Функциональные возможности
Infrascope предоставляет набор функциональных модулей, расширяющих возможности классического PAM:
- Динамический диспетчер паролей ─ централизованное безопасное хранилище паролей, позволяющее предотвратить кражу или несанкционированный обмен. Пользователи используют учетные записи Infrascope, а система самостоятельно обновляет пароли от учетных записей в целевых системах. Технология позволяет дополнительно управлять учетными записями приложений (AAPM), обеспечивая их выдачу через API и производить автоматическую ротацию паролей для общих и сервисных учетных записей без необходимости их перенастройки (SAPM).
- Менеджер сессий контролирует и проверяет зашифрованные сеансы пользователя. Менеджер сессий работает как шлюз между пользователями и целевыми конечными точками. Все сессии логируются в т.ч. с записью видео. На сессии может быть применена политика, ограничивающая действия плоть до запрета ввода конкретных команд, выполнения действий, запуска приложений и пр.
- Двухфакторная аутентификация позволяет использовать одноразовые пароли, отправляемые по электронной почте, а также с использованием сторонних мобильных приложений: Я.ключ, google authenticator . Двухфакторная аутентификация гарантирует, что учетная запись действительно принадлежит лицу, осуществляющему подключение, позволяет быстро восстановить доступ в случае утери пароля.
- TACACS+ менеджер ─ модуль поддержки и управления аутентификацией для администрирования сетевых устройств по протоколам TACACS+ и RADIUS. Поддерживает SSO – сквозной вход без необходимости многократного ввода одних и тех же учетных данных.
- Менеджер доступа к данным позволяет отслеживать и проверять зашифрованные сеансы администратора базы данных. Модуль обеспечивает функции разграничения доступа на уровне БД и поддерживает маскирование чувствительных данных. Доступно простое управление сеансами к SQL-like и нереляционным СУБД наиболее популярных производителей.
Система предоставляет возможности контроля за действиями поставщиков услуг, администраторами ИТ-инфраструктуры и обеспечивает выполнение требований стандартов ИБ (ГОСТ 57580 ─ Безопасность финансовых (банковских) операций, GDPR, PCI DSS, ISO 27002 и др.)