Решения Hewlett Packard Enterprise HPE позволяют выстроить комплексную систему обороны от кибератак, в том числе осуществляемых с использованием принципиально новых способов проникновения в корпоративные системы.
Кибератаки становятся все более массовыми и изощренными. Одной из ключевых причин массовости кибератак становится их ценовая доступность. Так, например, в опубликованном в октябре 2015 года отчете об исследовании «2015 Cost of Cyber Crime Study: Global», проведенном компанией Ponemon Institute при спонсорской поддержке Hewlett Packard EnterpriseHPE, средняя стоимость одного киберпреступления в России оценивается всего в 100-150 руб., в долларовом исчислении она снизилась с 3,33 долл. в 2014 году до 2,37 долл. в 2015-м.
Одна из главных проблем недостаточной эффективности того, что защиты от кибератак зачастую оказывается недостаточно эффективной, в том, что в большинстве случаев защита от атак выстраивается фрагментарно, при этом далеко не все риски адекватно учитываются. Как показывает опыт, примерно 80% бюджетов, выделяемых на закупку средств ИБ, тратится на приобретение и внедрение инструментов предотвращения на защиту от проникновения в сеть. Для этого устанавливаются межсетевые экраны, системы IPS, различные шлюзовые решения. На защиту от действий злоумышленников после проникновения приходяится оставшиеся 20% денег, затрачиваемых на инструментарий информационной безопасности (ИБ). Ключевая задача службы ИБ – обеспечить целостную, комплексную равномерную защиту от атаки на всех ее этапах, не допуская провалов в обороне.
Компания Hewlett Packard Enterprise У HPE имеются предлагает проверенные международным сообществом решения, позволяющие выстроить такую комплексную, многоступенчатую защиту от кибератак и весьма эффективно минимизировать ующие наносимый ими ущерб. Помимо великолепных крайне эффективных продуктов, у HPE также имеются и методологии защиты от хакерских атак. Создание на их основе комплексной защиты информационных систем пользователей – ключевая задача партнеров HPE.
Портфель решений HPE строится вокруг стадий атаки злоумышленника. Первая стадия – сбор информации о жертве: какие в организации используются IP-адреса, какие сервисы находятся в хостинге, какие применяются средства защиты и пр. Вторая стадия атаки – проникновение, которое может выполняться как с помощью только технологических средств, так и с применением методов социальной инженерии, например, телефонных звонков пользователям или рассылки им фишинговых сообщений. Третья стадия атаки: злоумышленник проник в сеть организации и ищет данные (например, бухгалтерские или клиентские базы), которые он мог бы использовать в своих интересах, для этого он пытается проникнуть к отдельные защищенные сегменты сети. Четвертая стадия: злоумышленник проник в защищенный сегмент, установил вредоносное ПО на компьютеры или сетевые устройства и пытается получить в свое распоряжение нужные ему данные (кстати, если они зашифрованы – а у HPE есть для этого соответствующие инструменты – то получить их оказывается далеко не так просто). Последняя, пятая стадия – отправка данных на удаленные компьютеры, контролируемые хакером, с целью их дальнейшего использования (например, продажи конкурентам или обнародования с целью подрыва репутации жертвы).
В составе компании HPE имеется подразделение Security Research, анализирующее угрозы и тенденции информационной безопасности. Ежегодно HPE Security Research выпускает отчеты по информационной безопасности, в котором приводит наиболее актуальные и ключевые тенденции по четырем направлениям:
- мониторинг и реагирование на инциденты (включая поведенческий анализ пользователей);
- анализ исходных кодов ПО;
- сетевая безопасность;
- шифрование.
Для каждого из этих направлений в портфеле HPE Hewlett Packard Enterprise Security — подразделения, развивающего решения в области информационной безопасности, имеются свои продукты, решающие соответствующие группы задач. Всего портфель HPE насчитывает около четырех десятков продуктов ИБ.
В семействе решений HPE ArcSight собраны технологиипродукты, выполняющие следующие задачи:
- сбор, консолидация и корреляция событий о возникающих инцидентах информационной безопасности – HPE ArcSight Enterprise Security Manager / Express / Logger;
- интеграция с более чем 350 источниками событий, а также удобный SDK для подключения любых других систем – HPE ArcSight Smart/FlexConneсtors;
- расследование и своевременное выявление угроз с помощью большого количества стандартных правил корреляции и Compliance Insight Packages;
- поведенческий анализ информационных любых типов событий систем – HPE ArcSight ThreatDetector, анализ поведения пользователей – HPE ArcSight User Behavior Analytics — для мониторинга активности внутренних нарушителей;
- подписка на оповещения об актуальных угрозах информационной безопасности для противодействия проникновению в корпоративные сети и обнаружению утечек чувствительных данных – HPE ArcSight Reputation Security Monitor;
- централизованное управление развернутой инфраструктурой HPE ArcSight – HPE ArcSight Management Center;
- борьба с нехваткой людских и временных ресурсов при расследовании инцидентов – HPE ArcSight Risk Insight.
Семейство ArcSight включает более десятка различных продуктов. В России оно используется с 2007 года. Пользователями ArcSight являются около половины российских банков из первой сотни, практически все крупные телекоммуникационные компании и около 15 из двух десятков20 ведущих центров мониторинга событий и управления инцидентами ИБ (Security Operation Center, SOC). Также ArcSight применяется во многих российских ситуационных центрах.
В нашей стране насчитывается более 200 сертифицированных специалистов по ArcSight (несертифицированных, вероятно, в десятки раз больше). Кроме того, действует множество сертифицированныйх центров обучения, работает экосистема партнеров HPE, внедряющих ArcSight.Так А, например, компания Solar Security использует продукты семейства ArcSight для предоставления услуг информационной безопасности своим клиентам.
Еще одна важная причина популярности этого семейства ИБ-технологий в том, что, работая с ArcSight, специалисты в области ИТ и ИБ смогут существенно повысить свой профессиональный уровень, поскольку продукты семейства ArcSight вобрали в себя опыт огромного количества организаций-заказчиков и их экспертный опытспециалистов.
Помимо ArcSight, Hewlett Packard Enterprise Security предлагает рынку у HPE имеются мощное семейства семейство решений Fortify для комплексной защиты приложений на этапе разработки исходных кодов, их статического анализа, а также для динамического анализа целостности систем защиты уже скомпилированных приложений (HPE Fortify), а также комплекс, TippingPoint – средства предотвращения вторжений (Intrusion Prevention System, IPS), и защиты от сетевых угроз – (HPE TippingPoint) и, а также различные средства шифрования.
В рамках данной статьи мы остановимся на трех продуктах семейства ArcSight – Enterprise Security Manager (ESM), DNS Malware Analytics (DMA) и User Behavior Analytics (UBA).
HPE ArcSight Enterprise Security Manager
Функциональность HPE ArcSight ESM выходит далеко за рамки традиционных систем управления событиями ИБ (Security Information and Event Management, SIEM), и, как показывает опыт использования этого продукта в России, с его помощью можно решать множество самых разных практических задач. Например, с его помощью можно реализовать мониторинг финансовых транзакций в банковских системах, бизнес-сценариев в ERP-системах, встроить в единую консоль управления предприятием и пр. Нередко ArcSight ESM используется в задачах, связанных с управлением рисками, в том числе с обеспечением соответствия требованиям регуляторов.
Однако чаще всего ESM применяется в системах, нацеленных на выявление и отражение хакерских атак, а также на предотвращение последствий от них. Известно немало случаев сбоев из-за хакерских атак подобных злонамеренных действий. Многие из них можно было бы предотвратить или пресечь до нанесения заметно ущерба путем, во-первых, проверки установленного программного обеспечения на наличие вредоносных кодов и / или уязвимостей и, во-вторых, непрерывного мониторинга поведения программных продуктов в информационных системах. Не секрет, что от проникновения хакера в систему до начала серьезных вредоносных действий много временимолжет пройти немалый срок – в. Так, по данным Ponemon Institute (см. рис. 3), от проникновения до пресечения действия вредоносных кодов проходит в среднем около полутора месяцев, от начала активности злонамеренных инсайдеров до ее пресечения – около двух месяцев. среднем 240 дней. За это время вполне можно отследить с помощью ESM отклонение в поведении программ и оповестить системного администратора.
ESM обеспечивает не только сбор событий информационной безопасности, но и множество других видов обработки, в том числе анализ корреляций этих событий. Также ESM можно рассматривать как платформу для автоматизации задач обеспечения безопасности, причем не только информационной, но и физической: ESM можно использовать для мониторинга ИТ-событий, не связанных напрямую с информационной безопасностью, и для сбора информации о традиционных угрозах и инструментах, которые им противостоят. Ничто не мешает, например, отслеживать, параметры KPI информационной безопасности – соответствующую логику можно заложить в продукт. При осуществлении сбора информации из антивирусных систем совершенно неважно, сколько их типов развернуто на предприятии. Ничто не мешает отслеживать ситуацию в разнородной среде антивирусных средств, при этом показатели KPI будут оцениваться единообразно, позволяя анализировать в разрезе выбранных KPI не только текущую ситуацию, но и ту, что имела место, например, год или два назад, – это может быть полезно для анализа динамики KPI и выявления определения тенденций.
Кроме того, ESM можно применять для защиты от мошенничества, анализируя информацию из бизнес-приложений, например, ERP-систем. Если логику выявления можно формализовать, то в этом случае ее наверняка удастся заложить в ESM.
Для хранения и обработки очень больших объемов данных в ESM может применяться платформа СУБД HPE Vertica, значительно ускоряя исполнение поисковых запросов, формулируемых аналитиками безопасности. Интеграция ArcSight и Vertica может применяться не только для мониторинга событий информационной безопасности, но и, например, для отслеживания событий в бизнес-процессах, хранящих данные в Vertica, в частности, с целью предотвращения мошеннических действий. Для интеграции систем имеется специальный конвертерконнектор.
HPE ArcSight DNS Malware Analytics
В сентябре на ежегодной конференции HPE Protect, проводимой HPE, было анонсировано новое конвергентное программно-аппаратное решение – HPE ArcSight DMA, предназначенное для мониторинга сетевого трафика и анализа встречающихся в нем запросов системы доменных имен DNS. Оно быстро и точно выявляет инфицированные вредоносными кодами серверы, сетевые и пользовательские устройства, в том числе рабочие станции и мобильные гаджеты, анализируя трафик DNS с целью выявления в реальном времени «плохих» пакетов, перемещающихся между серверами, сетевым оборудованием и подключенными к сетям устройствами, отыскивая бреши до того, как будет нанесен ущерб. Это дает предприятиям возможность быстро защищаться от новых, неизвестных ранее угроз, – это важно, поскольку они представляют собой источник наибольшего риска для бизнес-приложений, систем и данных. Используя DMA, пользователи могут выявлять угрозы, не перегружая системы SIEM дополнительной работой по анализу огромных объемов данных из системных журналов (логов) DNS.
В основе DMA – идея, которая, как кажется на первый взгляд, лежит на поверхности, – ее высказал один из экспертов компании HP Labs по информационной безопасности: почти во всех атаках на компьютерные сети так или иначе используется DNS (в частности, для обеспечения связанности, передачи команд или туннеллирования данных, передаваемых злоумышленниками), и, если научить компьютерную систему распознавать DNS-запросы, то она сможет выявлять те из них, которые могут иметь отношение к хакерским атакам.
Экспериментальный образец такой системы был создан в HP Labs и развернут в HP SOC – расположенном в Калифорнии центре управления инцидентами ИБ, в который стекается и анализируется информация о событиях ИБ с устройств 365 тыс. сотрудников HP и HPE. В ходе продолжавшейся более года обкатки система прошла обучение и после достижения необходимого уровня зрелости была выпущена на рынок в виде самостоятельного продукта – DMA. Шаблоны и базы для анализа поступают в него из HPE.
Заказчик продукта получает в свое распоряжение веб-интерфейс, на котором выводится визуализированная картина сетевой активности и особо выделяются компоненты с подозрительной активностью. По сути, он реализует концепцию «красной кнопки», дающей возможность выявлять хакерские атаки, не прикладывая практически никаких усилий со стороны пользователя – они требуются для отражения и пресечения атак, но не для отслеживания их начала.
Очень важное свойство – масштабируемость продукта. В HPE SOC ежедневно обрабатывается порядка 20 млрд запросов DNS, – это трафик, соизмеримый с трафиком крупных телекоммуникационных компаний, что говорит о необычайно высокой масштабируемости.
HPE ArcSight User Behavior Analytics
Работая с традиционными SIEM-системами, специалисты ИБ обычно действуют следующим образом: берут признаки известного инцидента, закладывают их в виде логики корреляционных правил и затем по этим правилам отслеживают потоки данных. Если признаки инцидента обнаружены, то инициируется оповещение или уведомление дежурного администратора, после чего начинается обработка инцидента – вручную или автоматически. Такой подход (от частного к общему) не всегда можно применить, особенно в тех случаях, когда признаки злонамеренной активности идентифицировать заранее не представляется возможным.Новые инциденты таким образом выявить не удается.
Подход, заложенный в HPE ArcSight UBA, предполагает движение в обратном направлении: по аккаунтам и событиям аудита выстраиваются профили пользователей, содержащих шаблоны их типичного поведения, и затем в ходе мониторинга событий выявляется нетипичное поведение пользователей при их работе с приложениями и данными.
Выпущенный в апреле 2015 года продукт UBA позволяет анализировать любые события, касающиеся пользовательской активности: доступ к базам данных, файловым каталогам, работа со съемными носителями, операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными) и др. Кроме того, UBA на основе готовых математических моделей для профилирования активности на основе полученных событий позволяет производить группировку однотипных событий (peer group analysis), выявлять аномалии (anomaly detection), определять штатные профили работы пользователей (baseline profiling), определять частоту возникновения событий (event rarity). Применяя результаты работы математических моделей к задачам ИБ, UBA позволяет выявлять инсайдеров, осуществлять контроль привилегированных пользователей, обнаруживать необычную активность в корпоративных системах (в том числе в «спящих аккаунтах», выявлять доступ к карточкам VIP-клиентов и пр.).
Что важно, UBA позволяет дополнять события безопасности информацией о пользователе, его рабочем окружении, должностных обязанностях и других атрибутах. Даже если в событии содержится только IP-адрес, с помощью UBA можно определить реальное имя пользователя, связанного с этим событием. Таким образом, средствами UBA можно создать «универсальную» карту пользователя, в которой автоматически будут поддерживаться все его актуальные атрибуты (даты принятия на работу и увольнения, должность, подразделение, регион и пр.) и учетные записи в корпоративных системах.
На основе этой информации можно выявлять различные инциденты ИБ, в частностинапример, обнаруживать активность одного их пользователей, заметно отличающуюся от активности его сослуживцев. Например, операционист банка в среднем за день открывает документы 20 клиентов. Однако один из операционистов открыл документы 200 клиентов. Подобное нетипичное поведение пользователя – веский повод задуматься, что происходит? Почему именно этому операционисту понадобилось в 10 раз больше документов, чем другим? Может, его начальник получил ему какую-то нетипичную работу? Или на этого операциониста возложили нагрузку заболевшего начальника? Или же, готовясь к увольнению, операционист начал копировать на свои носители (или фотографировать на свой телефон) информацию о клиентах банка? Окончательный вывод можно будет сделать, проведя внутреннее расследование.
Другой пример: сумма проведенных транзакций по одному из продуктов банка или оператора связи превышает наблюдаемые нормально обычно значения за рассчитанные временные промежутки (час дня, день недели, день месяца, месяц, выходные и пр.), – это повод задуматься, не кроется ли за этой активностью хакер или мошенник-инсайдер.
В обоих случаях важно то, что с помощью UBA можно выявить нетипичное поведение пользователя или можно выявить и затем изучить, что за ним кроется.
Разумеется, средства мониторинга, с помощью которых можно было отследить поведение пользователей и программ и, оценив динамику, выявить нетипичное поведение некоторых из них, использовалиможно было и раньше. Преимущество UBA в том, что с его помощью этого инструмента делать это стало гораздо проще. Например, пытаясь реализовать функции анализа поведения пользователей в традиционных инструментах SIEM, приходилось изучать множество регламентов и должностных инструкций, но они зачастую не давали полной или достоверной картины поведения пользователей, поскольку, во-первых, далеко не везде сотрудники жестко придерживаются должностных инструкций, и, во-вторых, регламенты, как правило, не слишком глубоко детализированы, да и расстановку приоритетов и акцентов в регламентах обычно увидеть не удается (в частности, не получается определить, как должна выглядеть основная деятельность сотрудника в организации с точки зрения информационных систем, с которыми он работает). С помощью UBA можно выстроить профили поведения пользователей, классифицировав их по должностям и группам должностных обязанностей, включить в список отслеживаемых параметров любые события, касающиеся поведения пользователей и отраженные в информационных системах компании, и затем отслеживать отклонения от типичного поведения. Что важно, таким образом можно контролировать не только внутренних пользователей, но и внешних – например, для быстрого пресечения взломов систем дистанционного банковского обслуживания или незаконного подключения к аккаунтам клиентов телекоммуникационных компаний.
Впрочем, как правило, самые крупные потери связаны с действиями злоумышленников-инсайдеров, причем чем выше должность инсайдера, тем больший ущерб он может нанести своими действиями. Сейчас HPE совместно с разработчиками ведущих систем ERP, CRM, SCM разрабатывает системы защиты от инсайдеров, снижая риски злоупотребления ими должностным положением, коррупции, мошенничества, экономического шпионажа и пр. Кроме того, HPE охотно делится со своими партнерами опытом построения систем защиты от инсайдеров в организациях самых разных отраслей и секторов.
* * *
Продукты HPE ArcSight ESM, DMA UBA позволяют существенно минимизировать риски, которые могли бы понести компании, их партнеры и клиенты, заметно повышая защищенность корпоративных систем и данных. Что очень важно, они помогают предотвращать ущерб от ранее неизвестных угроз и рисков, своевременно выявляя подозрительные активности и помогая находить бреши в ИТ-системах. Все эти продукты появились в ответ на новые вызовы, возникшие за последнее время в области ИБ, помогая заказчикам HPE обеспечивать спокойную, безопасную работу своего бизнеса.
Рис. 1. Типы атак, выявленных в 252 компаниях.
Источник: Ponemon Institute, «2015 Cost of Cyber Crime Study: Global», October 2015
Рис. 2. Средняя стоимость ущерба, нанесенного в течение года в результате воздействия кибератак
Источник: Ponemon Institute, «2015 Cost of Cyber Crime Study: Global», October 2015
Рис. 3. Средняя продолжительность атак до их пресечения (в днях)
Источник: Ponemon Institute, «2015 Cost of Cyber Crime Study: Global», October 2015