Документ посвящен автоматизации операционного центра безопасности банка, описывающей структуру системы безопасности и ее компоненты, включая модули сбора, обработки и реагирования на инциденты. Обсуждаются проблемы управления процессами информационной безопасности и значимость автоматизации для снижения рисков. Указаны преимущества решения на базе Arcsight как эффективного инструмента анализа и корреляции событий безопасности.

1. АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОГО
ЦЕНТРА БЕЗОПАСНОСТИ БАНКА
Сергей Маковец
Технический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4
Тел. 044 390 03 01
Факс 044 390 03 02

2. • Компания Information Systems Security Partners –
интегратор решений для безопасности
информационных систем.
• Наше понимание системы информационной
безопасности определяется как решение, которое
обеспечивает стабильно высокий уровень
безопасности, не ограничивая при этом
возможностей, свободы и непрерывности бизнес-
процессов.

3. СОДЕРЖАНИЕ ПРЕЗЕНТАЦИИ
Ввод
• Что такое операционный процесс безопасности (ОПБ) и его
проблематика
Решение
• Система автоматизации ОПБ и ее структура
– Модули сбора информации
– Модули обработки информации и определения инцидентов
– Модули архивирования и хранения информации
– Модули реагирования
• Соответствие стандартам безопасности
Выводы
• Основные характеристики автоматизированного
операционного процесса безопасности
• Эффективность инвестиций в технологии автоматизации ОЦБ
• Позиции вендора на рынке

4. Что такое операционный процесс
безопасности (ОПБ) и его
проблематика

5. Информация

6. ?

7. ЧТО НЕОБХОДИМО НАБЛЮДАТЬ ?
•Периметр
•Внутренняя сеть
•Рабочие станции
•Сервера
•Сотрудники
•Приложения
•Партнеры
•Клиенты
•Моб. Сотрудники
•Физ. безопасность
•Информация
•Процессы
•Политики

8. КАК УПРАВЛЯТЬ ПРОЦЕССОМ ИТ БЕЗОПАСНОСТИ ?
Управление Управление
Доступность
систем и сетью пользователями Управление
сервисов конфигурацией
Внутренние и
Соблюдение
стандартов ? внешние
? ? ?
угрозы
Сопровождение
Проверка ? Сетевой отдел и поддержка
Инфраструктура
Управление
развитием
Безопасность
Мониторинг
?
соответствия служб
ИТ Управление Неконтролируемая инфраструктура ?
Аудит и Риски
Сложные и дорогие аудиты ИТ Операции
Неэффективные ИТ операции

9. ВАША ИТ ИНФРАСТРУКТУРА УПРАВЛЯЕМАЯ ?!
НАРАЩИВАНИЕ СРЕДСТВ ИБ
НЕ ВСЕГДА ВЕДЕТ К
УМЕНЬШЕНИЮ РИСКОВ
БЕЗОПАСНОСТИ.
НЕКОНТРОЛИРУЕМАЯ ИТ
ИНФРАСТРУКТУРА ОПАСНА И
НЕЭФФЕКТИВНА
ИНВЕСТИЦИИ В СИСТЕМЫ ИТ
БЕЗОПАСНОСТИ
НЕОПРАВДАНЫ БЕЗ
АВТОМАТИЗАЦИИ ПРОЦЕССА
УПРАВЛЕНИЯ
БЕЗОПАСНОСТЬЮ.

10. Система автоматизации
операционного процесса безопасности

11. ЗНАНИЯ
ПРИОРЕТИЗАЦИЯ
РЕАГИРОВАНИЕ
АРХИВИРОВАНИЕ
АНАЛИЗ
СБОР

12. АРХИТЕКТУРА РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИБ
Правила Модули Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Архитектура ArcSight
для автоматизации Корреляция
событий
Архивирование
операционного процесса
управления безопасностью. Коннекторы

13. ИНТЕГРАЦИЯ С ИТ ИНФРАСТРУКТУРОЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Коннекторы ArcSight
Компонент для интеграции с ИТ инфраструктурой Механизмы реагирования
• Программный
Корреляция Архивирование
• Аппаратный событий
• Резидентный
• Внешний
Коннекторы
• Программируемый

14. КОННЕКТОРЫ ArcSight
•Базы Данных •Фильтрация
•Файлы и XML •Нормализация
•Syslog •Агрегация
•Журналы ОС •Кэширование
•Директории •Контроль загрузки канала
•Приложения и устройства •Шифрованная передача
Сетевые Устройства Физический Рабочие Источники Электрон Приложения и
Мобильные Серверы учетных Базы данных
устройства защиты доступ системы станции ная почта службы
записей

15. НОРМАЛИЗАЦИЯ ОБЩИЙ ФОРМАТ
OS/390
Failed Login Event
UNIX
Failed Login Event
Oracle
Failed Login Event
Windows
Failed Login Event
Badge Reader
Entry Denied

16. КОННЕКТОРЫ ArcSight
Стандартный
формат события
300+ продуктов Стандарт CEF (common
event format)
Универсальный коннектор, который можно подключить к любому, даже
«самописному ПО».

17. ОПРЕДЕЛЕНИЕ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Модуль ArcSight ESM
Ключевой компонент системы
Корреляция Архивирование
Собирает, хранит и анализирует информацию со событий
всех устройств, систем и ПО в ИТ инфраструктуре.
Коннекторы

18. КОРРЕЛЯЦИЯ
ArcSight ESM – интеллектуальный
«мозговой центр» – сердце
автоматизированного
операционного центра
безопасности.
 Собирает события с любого ИТ оборудования,
приложений и систем
 Анализирует и коррелирует события,
полученные с систем безопасности: DLP, IPS,
URL-Filtering, Сканеры безопасности, SSO,
AntiVirus, и т.д.
 Анализирует информацию, полученную с систем
физического доступа, корпоративных
директорий, IdM, файловых серверов.
 Обрабатывает информацию от бизнес
приложений и платежных систем
 Корреляция и анализ событий в реальном
времени и по запросу в отношении
пользователя/системы.

19. МЕХАНИЗЫМЫ КОРРЕЛЯЦИИ
Интеллектуальная корреляция для мониторинга в реальном
времени и выявления аномалий
Статистическая
Корреляция в памяти Корреляция архива
корреляция
Корреляция прошедших событий,
Сотни правил корреляции «на лету» Определение величин и запланированная и корреляция по
Мониторинг в реальном времени отклонений от нормального запросу
поведения
Приоритизация,
Активные списки Графический
Категоризация основанная на
Автоматическая редактор правил
коннекторов эскалация событий модели риска Не требуется
об угрозах Уменьшает ложные программирование
срабатывания

20. ПРОСТОЙ ПРИМЕР КОРРЕЛЯЦИИ СОБЫТИЙ
Например, Банк, с ГО в Киеве и Одесским
отделением.
КАК В ЭТОМ ПРОСТОМ ПРИМЕРЕ ОБОЙТИСЬ БЕЗ МЕХАНИЗМА
КОРРЕЛЯЦИИ, ЧТОБЫ ОПРЕДЕЛИТЬ ЗАРАЖЕННЫЙ КОМПЬЮТЕР?
Киев Одесса Одесса Киев
В Киевском офисе IPS На файерволе
система 12.13.14.15 установлено Компьютер Соединение было
зарегистрировала атаку с SMTP соединение от 192.168.0.35 сброшено системой
адреса 12.13.14.15 на адреса 192.168.0.35 с установил SMTP IPS.
адрес почтового почтовым сервером. соединение с
сервера, порт 25 почтовым сервером

21. ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ АКТИВОВ
Модель активов
Критичность Уязвимость
устройства устройства
Присвоение уровней
Правила ли данное
Уязвимо
Правила
критичности разным устройство к этому
типам устройств Управление/ атак? Отчеты/
типу
Логика Логика
Критичность
История атак Актива
События, связанные Насколько важен
с этой целью данный актив
для бизнеса?
Механизмы реагирования
Архивирование
Значимые активы

22. ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ:
МОДЕЛЬ ПОЛЬЗОВАТЕЛЕЙ
Модель пользователей
Политика
Определение
Влияние данного
Кто скрывается за
проишествия
данным IP адресом?
на бизнес-риски
Роль
Профиль
Данное событие пользователя
сопоставимо с ролью
пользователя, Это нормальное
который свершил поведение?
его?
Значимые пользователи

23. ПРОФИЛИРОВАНИЕ АКТИВНОСТИ
Создание эталонных профилей
нормальной и аномальной активности

24. АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ
Регистрация
ArcSight IdentityView пропусков
Запросы к БД
Пользователи Запись файлов
на USB
VPN Логины
Директории
Просматриваемые
файлы
Отправленные
Роли имейлы
Снимки экрана
Identity Management (IdM)
Веб серфинг
Запущенные
приложения

25. ОПРЕДЕЛЕНИЕ МОШЕННИЧЕСТВА С АККАУНТАМИ
ИНТЕРНЕТ
Веб-ресурс
Удаленный
сотрудник
Firewall VPN
Файловые сервера
Сервера БД
Локальный
сотрудник
Системы Директория
физического доступа

26. ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Модуль ArcSight Logger
Компонент системы для долгосрочного хранения
информации Корреляция Архивирование
событий
• Собирает, хранит, и анализирует
информацию о предприятии
Коннекторы
• Нормализует информацию и предоставляет
возможности гибкой выборки, отчетов и поиска

27. РАССЛЕДОВАНИЕЯ ИТ БЕЗОПАСНОСТИ
 Нормализованные данные архива –
идеальный инструмент для проведения
расследований
“Насколько долго это у нас происходит?”
“Кто еще в это вовлечен?”
 Хранение событий в аутентичном и
нормализованном виде
 Функции отчетности, поиска и выборки, 10х
архивация

28. ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Консоли и модуль реагирования Механизмы реагирования
Настраиваемые консоли для различных
функциональных и служебных ролей офицеров Корреляция Архивирование
безопасности, администраторов и руководителей. событий
Модуль автоматического реагирования для
взаимодействия с директорией, сетевыми Коннекторы
устройствами и приложениями.

29. КОНСОЛИ ВИЗУАЛИЗАЦИИ СОБЫТИЙ
Интуитивное расследование и панели управления
Активные каналы для интуитивного расследования
Панели управления с возможностью углубляться в детали
Обозревательные панели
125 Интерактивных, графических окон представления (real-time data
monitors)
48 встроенных панелей управления, с вложенными просмотрами деталей
Интерактивное обнаружение: визуальное расследование

30. ГИБКАЯ СИСТЕМА ОТЧЕТОВ
РАЗНЫХ УРОВНЕЙ ДЕТАЛИЗАЦИИ
 Отчеты соответствия нормам
 Долгосрочный анализ
– события, нарушения политик,
риски или другие типы данных
 Легкий и интуитивно-понятный
инструмент создания отчетов
 Построение настраиваемых
графических отчетов
 GUI-based – Не требует
программирования
 Форматы экспорта:
– HTML, XLS, PDF
30

31. МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Устройство, которое взаимодействует с
инфраструктурой, превентивно реагируя на
возможные угрозы.
DROP
Virus.com
login
Андрей Андреев
в Киеве Через 10 минут
логинится в Андрей Андреев
систему Через Днепропетровский
прокси-сервер запрашивает
соединение с внешним
BLOCK веб-ресурсом
Директория

32. МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Татьяна
уходит из
офиса
Сетевой порт ее
розетки блокируется
автоматически
Андрей заходит в офис
Татьяны и видит
включенный компьютер.
Но он не может
подключиться к сетевым
приложениям !!!!

33. СООТВЕТСТВИЯЕ СТАНДАРТАМ БЕЗОПАСНОСТИ
Правила Модули Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Поддержка отраслевых
стандартов безопасности
Корреляция Архивирование
Модули для соответствия стандартам событий
безопасности.
Коннекторы

34. ЭВОЛЮЦИЯ ТЕОРИИ
СООТВЕТСТВИЯ СТАНДАРТАМ БЕЗОПАСНОСТИ
1 2 3
1. Мы прошли аудит? (Избежание
штрафов)
a) Покупка технологий 1. Как улучшить безопасность?
b) Наем специалистов ИБ a) Корреляция событий
c) Описание политик
3. Мы защищены? (Предотвращения b) Уведомление об инцидентах
нарушений и инцидентов) и их анализ
c) Автоматизация процесса
a) Инвентаризация активов управления безопасностью
b) Сегментация сетей
c) Инструменты для мониторинга и
определения угроз

35. PAYMENT CARD INDUSTRY (PCI)
 Полноценное соответствие стандарту PCI
• Правила, политики, уведомления и отчеты
 Прямое соответствие 12 требованиям
 Трех-фокусная направленность: Payment
Card Industry
• Эффективное управление требованиями PCI
• Подготовка к аудиту
• Направленность на требования аудита
 Более 100 отчетов формируют эффективное представление информации
 28 правил автоматически определяют нарушение требования PCI
 Многослойная система панелей управления предоставит детализированный
вид о статусе соответствия стандарту PCI

36. Пример консоли, PCI требование 7
Ограничить доступ к данным о держателях карт только служебной необходимостью

37. Основные характеристики ОПБ
Эффективность инвестиций в
технологии автоматизации

38. АВТОМАТИЗАЦИЯ МОНИТОРИНГА
Непрерывный
Установка нового оборудования, слияние
инфраструктур, реструктуризация,
модернизация систем не влияют на процесс
мониторинга.
Всесторонний
Встроенная поддержка более, чем 300
системам, интеграция с абсолютно любым ПО,
формат CEF, возможность чтения событий из
разных источников
Целостный
Наблюдение за пользователями и процессами.
Интеграция с корпоративными директориями,
IdM, DAM, DLP, SSO системами.

39. АВТОМАТИЗАЦИЯ ОПРЕДЕЛЕНИЯИНЦИДЕНТОВ
Продуктивный
Обработка сотен тысяч событий в час, анализ и
корреляция в реальном времени.
Комплексный
Сложные механизмы корреляции информации
об состояниях устройств, процессов и действий
пользователей.
Корреляция в реальном времени,
статистическая и корреляция архива.
Управляемый и самообучаемый
Возможность создания своих правил
корреляции, механизмов анализа и моделей
поведения.
Профилирование активности пользователей
позволяет выявлять мошенничество и
некорректные процессы в штатном рабочем
регламенте сотрудника

40. АВТОМАТИЗАЦИЯ ПРИОРЕТИЗАЦИИ
Мульти-критериальный
Каждый пользователь или актив имеет
несколько критериев релевантности: важность,
критичноcть, уязвимость…
Комплексный
Модели активов и пользователей позволяют
правилам корреляции учитывать критерий
значимости.
Интеллектуальный
Автоматическое изменение статусов
подозрительности/приоритетности/безопасности к
активам и пользователям в зависимости от их
активности.

41. АВТОМАТИЗАЦИЯ РЕАГИРОВАНИЯ
Настраиваемый
Ролевой доступ к консолям, настраиваемые
панели , разнообразные степени детализации и
разграничение доступа к деталям события
Автоматический
Модуль автоматического реагирования может
настроить IPS и файерволл, заблокировать
учетную запись, отправить команду сетевому
устройству или программе.
Уведомления и отчетность
Более 300 вариантов готовых отчетов, настраиваемые
уведомления. Шаблоны отчетов по стандартам
безопасности.

42. АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОЙ ДЕЯТЕЛЬНОСТИ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ
Эффективность операций по обеспечению
ИТ безопасности и поддержке продуктов
банка.
Рациональное использование
человеческих ресурсов
Рациональное использование систем и
средств информационной безопасности
Обнаружение мошенничества и
превентивная защита от внутренних и
внешних рисков
Определение и исправление некорректно
работающих бизнесс-процессов

43. ПОЗИЦИИ ArcSight НА РЫНКЕ
6 лет подряд – лидер Gartner MQ
ArcSight первая компания, которая набрала
4 балла в Forrester WAVE

44. ПОЗИЦИИ ArcSight НА РЫНКЕ
ArcSight владеет наибольшей долей рынка
SIEM систем, 16% на 2007 год
Заработок за 4й квартал
составил : $39.3M
Доход компании увеличился на
34% за год.

45. Спасибо за внимание!
Сергей Маковец
Технический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4
Тел. 044 390 03 01
Факс 044 390 03 02

46. КАТЕГИРИЗАЦИЯ ПОЛЕЙ В СОБЫТИИ
 Модель описания событий по всем типам устройств
 Понимание уровней важности событий от типов устройств
 Возможность языкового описания и независимого анализа устройств
 Категоризация устройств и инвентаризация оборудования
Без категоризации Категоризация

47. НАБЛЮДЕНИЕ ЗА ПОЛЬЗОВАТЕЛЯМИ
За последние 3 года $10 Миллиардов
компании потратили на установку
корпоративных директорий и решений
для управления ролями IdM…
Но компании до сих пор не могут
ответить на вопросы безопасности,
например:
“Кто-нибудь использует чужие
аккаунты для доступа в систему?”
“Что на прошлой неделе делал наш
администратор БД?”
“Получают ли доступ к нашей
системам уволенные сотрудники?”

48. НОВЫЕ ВОЗМОЖНОСТИ ИЛИ НОВЫЕ УГРОЗЫ ?
Word processing Fishing
Exploits
Trojans
Datebases
Mobile code Website CRM
DoS
Corporate portals Buffer Overflows Virtualization
SAAS
Rootkits Viruses in
Videocasting attachments
E-banking File share
VoIP Interactive surveys
Viruses Webinars Worms
HTML Injections
Content Botnets
Information leaks Data Centers
management eCommerce SQL Injections
Email Cross-site
Newsletters
Scripting attacks WebOffice
Blog Mobility Spyware in
attachments Videocasting

49. КАК ОПРЕДЕЛЯТЬ ИНЦИДЕНТЫ ?
Внешняя среда Пользователи
Периметр
Приложения
Управление
Данные
доступом
БД
ПК и
DMZ периферия
Серверы
Доступ к
AD
Порталы: B2B,
BPO, Клиенты,
Партнеры Сетевое оборудование / Физическая
защита
Безопасность