IBM совершенствует аналитические решения для информационной безопасности, помогая организациям в борьбе с растущими угрозами

05.03.2012 |

Александр Абрамов.

Помогая клиентам лучше прогнозировать, выявлять и предотвращать ИТ-угрозы в масштабе предприятия, IBM применяет аналитику информационной безопасности и интеллектуальные инструменты анализа угроз, опираясь на данные более 400 источников, включая информационный канал X-Force Threat Feed

Корпорация IBM представила новые функциональные и интеграционные возможности, которые были запланированы для ее платформы анализа угроз ИТ-безопасности. Выбрав это комплексное решение IBM, которое объединяет средства углубленного анализа и информационные каналы с данными, поступающими в реальном времени из сотен разных источников, организации впервые смогут в упреждающем режиме защищать себя от всё более изощренных угроз и атак, используя для этой цели единую платформу.

Сегодня организации прилагают огромные усилия, чтобы защитить себя от стремительных и массированных атак, от постоянно эволюционирующих угроз повреждения, уничтожения, кражи и несанкционированного использования критически важных данных, таких как информация о персонале и клиентах, номера кредитных карт и корпоративная интеллектуальная собственность. До настоящего времени многие компании не могли создать у себя эффективную систему ИТ-защиты, поскольку они пытались совместить технологии, которые не интегрируются в автоматическом и саморегулируемом режиме. Такой «лоскутный» подход, основанный на применении разрозненных и функционально несовместимых компонентов, создает опасные лазейки, которыми могут воспользоваться злоумышленники.

Платформа QRadar Security Intelligence Platform, разработанная компанией Q1 Labs и приобретенная IBM осенью прошлого года, полностью решает эту проблему, выступая в роли центра управления, который собирает и обобщает оперативные данные о событиях и угрозах безопасности, охватывая свыше 400 различных источников.

Основные революционные возможности, которые были запланированы для реализации в платформе ИТ-безопасности:

    Доступ к обобщенной информации об угрозах — Было запланировано обеспечить доступ к информации одного из крупнейших в мире хранилищ данных о выявленных ИТ-угрозах и уязвимостях. Эта информация базируется на поступающих по каналу IBM X-Force Threat Intelligence Feed результатах мониторинга, в рамках которого ежедневно отслеживается, в среднем, 13 млрд. событий безопасности. Доступ к обобщенной информации о существующих угрозах и уязвимостях позволяет идентифицировать поведение (или некую активность, состояние), которое можно связать с т.н. «постоянными угрозами повышенной сложности» (Advanced Persistent Threats, APT). Эти особо изощренные угрозы могут исходить от хорошо скоординированных и целенаправленно действующих групп атакующих, которые используют маскирующие методы для несанкционированного доступа к сетям.
    Контроль активности в масштабе предприятия — Платформа будет аккумулировать информацию о событиях безопасности, связанных с продуктами IBM и третьих фирм, которая охватывает четыре области организационного риска: инфраструктуру, людей, приложения и данные.
    Детальный анализ в эру Больших данных — Аналитическая платформа может оперировать на уровне базовых элементов данных, что позволяет анализировать широкий спектр событий, от информации о доступе к корпоративной сети на периферии организационной структуры до показателей активности запросов к базе данных в рамках основной деятельности предприятия.

«Попытки обеспечить безопасность на основе «лоскутного» подхода просто не работают, — подчеркнул Брендан Ханниган (Brendan Hannigan), генеральный менеджер подразделения IBM Security Systems. — Опираясь на передовую аналитику и знание новейших уязвимостей, и помогая интегрировать ключевые элементы безопасности, IBM намерена обеспечивать упреждающий прогностический контроль на основе обобщенной информации об ИТ-угрозах и надежную защиту с более широким охватом организационных структур предприятия».

Аналитическая платформа, к функциональности которой будут добавляться новые интеграционные возможности, способна быстро определять аномальную активность путем комбинирования контекстной осведомленности о новых угрозах безопасности и методах, используемых киберпреступниками, с оперативным (в реальном времени) анализом трафика в корпоративной ИТ-инфраструктуре. В частности, будущие интеграционные интерфейсы позволят платформе выявлять ситуации, когда, например, сразу после нескольких неудачных попыток входа на сервер базы данных следует успешная авторизация и вход в систему, после чего – запрос и доступ к таблице базы данных с номерами кредитных карт, и, затем – отправка этих конфиденциальных данных на неизвестный удаленный Web-сайт.

«Мы выбрали платформу QRadar, чтобы сформировать и реализовать наше видение оптимизированного высокоинтеллектуального решения для централизованного управления мониторингом событий безопасности в масштабе всей нашей организации, — сообщил Кен Мэйджор (Ken Major), директор финансовой компании AmeriCU Credit Union по информационной безопасности. — Этот выбор позволил нам достичь наших целей, применяя в нашей работе лучшие отраслевые методики и соблюдая нормы информационной безопасности».

Доступ к обобщенной информации об угрозах

Одной из наиболее важных интеграционных инициатив для платформы QRadar является информационный канал IBM X-Force Intelligence Threat Feed, который построен на базе глобальной системы оперативного мониторинга, ежедневно фиксирующей, в среднем, 13 млрд. событий безопасности для почти 4000 клиентов более чем в 130 странах. Платформа QRadar будет обладать полной информационной картиной о новейших мировых тенденциях безопасности, что поможет защитить предприятия от новых возникающих рисков. QRadar будет отображать текущие информационные ленты IBM X-Force с описанием ИТ-угроз и уязвимостей в инструментальных панелях (dashboard) для пользователей и сопоставлять события безопасности и сетевой активности в масштабе организации с этими угрозами и уязвимостями в режиме реального времени на основе автоматизированных политик.

Широкий охват

Запланированы также и другие интеграционные возможности, которые позволят платформе QRadar Security Intelligence Platform помочь клиентам более оперативно выявлять и идентифицировать ИТ-угрозы путем контекстуального связывания событий из следующих категорий:

    Люди — Организации должны контролировать доступ к ключевым системам и информации. Несанкционированный доступ сотрудников к критически важным базам данных и информации о клиентах делает компанию уязвимой к взлому систем, краже данных и другим угрозам безопасности. С помощью специальных аналитических инструментов специалисты по ИТ-безопасности могут быстро определить, соответствует ли ролевая модель доступа, продемонстрированная конкретным пользователем, его должности, полномочиям и привилегиям в организации. Платформа QRadar будет интегрирована с программным обеспечением IBM Security Identity Manager и IBM Security Access Manager, что дополнит существующую поддержку QRadar служб корпоративных каталогов, таких как Microsoft Active Directory.
    Данные — Данные являются основным «охраняемым объектом» в системе обеспечения безопасности; они служат основной целью для киберпреступников, поэтому на их защиту направлены все меры и средства безопасности. Используя программное обеспечение IBM Guardium Database Security, интегрированное с аналитической платформой безопасности, организации смогут лучше определять и сопоставлять несанкционированную или подозрительную активность на уровне базы данных – такую, например, как доступ администратора баз данных к таблицам с номерами кредитных карт в нерабочее время – с аномальной активностью, обнаруженной на сетевом уровне – когда, например, записи по кредитным картам отсылаются на неизвестные серверы в Интернете.
    Приложения — Приложения необходимы для выполнения ежедневных операций, но они также могут привносить новые серьезные уязвимости в корпоративные сети. Приложения, в силу своей чувствительности к внешним воздействиям, должны регулярно обновляться. Организации, однако, зачастую не в состоянии немедленно устанавливать патчи в связи с корпоративными требованиями о тестировании и циклами управления изменениями. Аналитическая платформа может автоматически предупреждать персонал службы ИТ-безопасности о Web-приложениях, на которых не установлены свежие обновления. Такие приложения находятся под постоянным риском атак с применением известных «эксплоитов» (вредоносного кода, использующего конкретную уязвимость ПО), предварительно опознанных приложением IBM Security AppScan. Эта запланированная интеграция дополняет существующую поддержку платформой QRadar средств мониторинга приложений корпоративного класса, таких как IBM WebSphere и SAP ERP.
    Инфраструктура — Сегодня организации прикладывают большие усилия для обеспечения безопасности тысяч физических устройств, таких как персональные компьютеры и мобильные телефоны, особенно на фоне роста популярности подхода "Bring Your Own Device", предполагающего возможность использования личных мобильных устройств на работе. По этой причине, компании должны принять дополнительные меры предосторожности, чтобы помочь своим сотрудникам строго соблюдать правила информационной безопасности при использовании таких устройств. Благодаря интеграции с IBM Endpoint Manager, аналитическая платформа безопасности может обеспечить организации усиленной защитой физических и виртуальных конечных вычислительных устройств – серверов, настольных компьютеров, ноутбуков, смартфонов и планшетов, а также такого специализированного оборудования, как расчетно-кассовые терминалы, банкоматы и интерактивные киоски.

Интеграционные модули платформы QRadar также запланированы для Symantec DLP, Websense Triton, Stonesoft Stonegate и других продуктов третьих фирм. Такая стратегия интеграции расширяет экосистему QRadar и поддерживает традиционный подход Q1 Labs к «мультивендорным» гетерогенным средам.

Решения для анализа Больших Данных

Платформа QRadar также расширена возможностями работы с Большими данными, в частности, в отношении хранения и поддержки запросов к больших объемам информации, связанной с безопасностью. Кроме того, добавлены функции обеспечения безопасности виртуализованных инфраструктур, расширен и улучшен визуальный контроль. Все это помогает клиентам снизить риски, связанные с безопасностью, и автоматизировать процессы соблюдения нормативных требований.

Укрепление безопасности в целом и защиты сетевых источников данных в частности дополнено расширенной функциональностью, ориентированной на экспоненциальный рост объемов данных. Среди новых возможностей:

    Функция «мгновенного поиска» (Instant Search) для поддержки быстрых запросов свободной формы как для журналов регистрации событий, так и для потоков данных. Эта функция призвана распространить простоту и скорость поисковых механизмов Интернета на аналитическую платформу безопасности.
    Устройства серий XX24, предназначенные для увеличения производительности и масштабируемости – преимуществ, за которые решения QRadar получили широкую известность. С выпуском устройств QRadar 3124 SIEM, блока обработки событий QRadar 1624 Event Processor и блока обработки потоков данных QRadar 1724 Flow Processor – все из которых содержат 16 ТБ памяти хранения и 64 ГБ оперативной памяти – организации могут поддерживать больше пользователей, добиваться более высокой производительности и сохранять данные более длительное время.
    Система интеллектуального управления политиками хранения данных, которая позволяет организациям определять, какую часть информации они хотят сохранить, и на какое время. Менее важные данные могут удаляться раньше, чтобы иметь возможность дольше хранить более важные данные.
    виртуальные устройства, которые позволяют клиентам-конечным пользователям и поставщикам услуг с выгодой применять созданные ими виртуальные инфраструктуры и, в то же время, использовать преимущества менее дорогих и полнофункциональных аналитических решений для обеспечения безопасности.

Запланированные интеграционные модули (модули сопряжения или модули поддержки устройств) будут поставляться совместно с QRadar Security Information Event Management (SIEM) и QRadar Log Manager без дополнительной оплаты и через автоматические обновления.

Текущая доступность и сроки поставок

Расширения для виртуальной инфраструктуры и работы с Большими данными доступны уже сегодня. Выпуск интеграционных модулей платформы QRadar для IBM Guardium Database Security запланирован на первый квартал 2012 года.

Интеграционные модули для IBM X-Force Threat Intelligence, IBM Security Identity Manager, IBM Security Access Manager, IBM Security AppScan и IBM Endpoint Manager будут доступны, как ожидается, во втором квартале 2012 года. Более подробную информацию можно получить на Web-сайте www.q1labs.com.