Security intelligence что это
PT Cybersecurity Intelligence
Платформа для управления знаниями об угрозах.
Подключайте сторонние фиды и обогащайте ваши средства защиты данными киберразведки.
Знания о киберугрозах в системах защиты: полезно, но сложно
Средства защиты пропускают атаки, заточенные под конкретную географию, отрасль или компанию из-за недостатка релевантных знаний у вендора
ИБ-специалисты сталкиваются с необходимостью вручную разбираться с потоком данных об угрозах, приоритизировать их, отсеивать ложные срабатывания и устаревшую информацию
Нарушается комплексность подхода к ИБ; средства защиты пропускают атаки, которые могли бы закрыть, если бы получали индикаторы компрометации от других систем ИБ в инфраструктуре
Наше решение
Positive Technologies Cybersecurity Intelligence ─ платформа для управления знаниями об угрозах. Она позволяет использовать бесплатные и коммерческие фиды, включая уникальный фид Positive Technologies.
PT CybSI автоматически собирает, нормализует и обогащает индикаторы компрометации – как из внешних фидов, так и из внутренних средств защиты. Далее она передает обработанные данные напрямую на используемые системы ИБ. Это позволяет точнее выявлять массовые, целенаправленные и отраслевые атаки.
Что такое фиды? Для чего они нужны?
Фиды – открытые потоки данных с индикаторами компрометации (IP-адресами, URL, доменами, хэшами файлов и т. д.), которые можно использовать для обогащения средств защиты и наилучшего детектирования угроз. Их создают вендоры, которые занимаются расследованиями инцидентов, и различные некоммерческие организации.
Могу ли я подключить фиды сам?
Не у всех средств защиты технически реализована возможность подключиться к фидам, поэтому скорее всего придется разрабатывать свой коннектор. Кроме того, если просто подключить фиды без нормализации и приоритизации индикаторов, вы получите тысячи false positive, которые придется обрабатывать вручную.
Для решения этой задачи лучше использовать TI-платформу. TI-платформа агрегирует знания об угрозах из большого числа внешних источников, нормализует их и выстраивает связи между ними. Далее она распространяет знания об угрозах на используемые средства защиты, повышая их эффективность.
Что такое Security Intelligence и зачем это нужно?
В статье рассказывается о системах класса Security Intelligence, предназначенных для анализа данных о состоянии ИБ на всех трех уровнях управления: оперативном, тактическом и стратегическом. Системы Security Intelligence агрегируют информацию из самых различных систем, анализируют ее и представляют результаты в наглядном и понятном виде.
Введение
Прежний подход, во главе которого стояли ограничения и запреты, больше нельзя считать эффективным: стало просто невозможно перекрыть все каналы и предусмотреть все варианты работы с информацией. Сегодня в ИБ фокус смещается в сторону проактивного мониторинга и реагирования на инциденты, корректировки процессов обеспечения ИБ и управления ИБ, контроля соответствия целей ИБ целям бизнеса.
С развитием информационной безопасности изменились и функции ИБ-подразделений. Если раньше они в большей степени решали технические и инженерные задачи, то теперь их руководители выступают в роли менеджеров, которые должны оперативно принимать решения, минимизировать риски, отчитываться перед бизнес-руководством о состоянии ИБ и эффективности работы своего подразделения, отдаче вложений в ИБ.
В связи с этим быстрый доступ к максимально полной информации о состоянии ИБ (как в целом, так и отдельно по уровням) приобретает особое значение. Однако получить данные о работе процессов ИБ, степени защищенности, выявить причины инцидентов ИБ, взаимосвязи происходящих событий, определить узкие места в обеспечении ИБ, оценить организационные мероприятия по ИБ, спланировать корректирующие мероприятия и оценить их эффективность – очень сложная задача без наличия в арсенале руководителей подразделений ИБ специальных аналитических инструментов.
Есть задача – нужно решение
Какое решение мы ищем? Нам необходим инструмент, который в условиях использования в крупных организациях множества всевозможных средств защиты от различных поставщиков, решающих самые разные задачи, и высокой загрузки специалистов ИБ, обеспечит своевременный анализ данных, получаемых от этих систем, и поддержку принятия решений для руководителей подразделений ИБ.
Задача анализа разноплановых данных от большого количества всевозможных источников уже давно вполне успешно решается в бизнесе посредством использования систем класса Business Intelligence (сокращенно BI). Основная цель бизнес-аналитики — предоставить нужную информацию в нужное время и тому человеку, которому она необходима. Не это ли мы ищем для целей мониторинга и аналитики данных в области ИБ? Получается, что можно говорить о необходимости применения решений класса Security Intelligence (по аналогии с BI). Иными словами − технологий, которые могут получать данные от систем обеспечения ИБ и смежных систем (кадровых, ИТ-мониторинга и т.д.), связывать их между собой, представлять данные о работе процессов ИБ для разных категорий пользователей: представителей бизнеса, руководителей подразделений ИБ, специалистов ИБ.
Что стоит за термином Security Intelligence?
Если посмотреть на рынок средств обеспечения ИБ в целом, то понятие Security Intelligence все чаще стало встречаться в названиях новых продуктов. Правда, как правило, оно популярнее в названиях SIEM-систем или дополнительных модулей для SIEM.
Оказалось, что с точки зрения производителей SIEM-систем Security Intelligence – это сбор и анализ данных от различных приложений и устройств, которые влияют на информационную безопасность и связанные с ней рисками на предприятии. Например, такой позиции придерживается корпорация IBM (поглотившая в 2011 году Q1 Labs, производителя SIEM-систем). Аналогичного подхода придерживается компания HP. Корпорация Symantec (еще один производитель SIEM-систем), в свою очередь, предлагает DeepSight Security Intelligence, предназначенный для раннего оповещения клиентов о новых угрозах и уязвимостях.
Есть попытки связать термины Security Intelligence и Big Data. В этом контексте стоит упомянуть специальную систему IBM Security Intelligence with Big Data, которая может анализировать терабайты самых разных электронных сообщений, финансовых счетов и web-трафика. Ее цель − определить угрозы для систем безопасности и потенциальные возможности мошенничества. То есть она предназначена для совсем других задач, не имеющих отношения к анализу эффективности ИБ, метрикам и обработке отчетности.
В продолжение линии толкования термина Security Intelligence, предложенной производителями SIEM-систем, под этим термином стали понимать часть услуг по аутсорсингу информационной безопасности (Security Operation Center), когда данные от различных систем защиты на стороне клиента обрабатываются и анализируются сторонними специалистами. Цель в данном случае схожа с теми, которые преследуют SIEM-системы, − оперативный анализ информации с точки зрения определения угроз и минимизации рисков.
Таким образом, система Security Intelligence предназначена для обеспечения возможности перехода между одними и теми же данными, агрегированными разными образом. Для представителей бизнеса, например, это будут высокоуровневые KPI, а для специалистов ИБ – конкретные события, уязвимости или недостатки в процессах, которые сказываются на значениях KPI. И если этот подход реализован, то на выходе получается аналитическая система, позволяющая проводить анализ данных о состоянии ИБ на всех трех уровнях управления: оперативном, тактическом и стратегическом.
С нашей точки зрения система Security Intelligence в первую очередь должна гарантировать достижение следующих целей:
Для достижения перечисленных целей основными задачами систем класса Security Intelligence должны являться:
Актуальность использования Security Intelligence
Так для каких же компаний использование Security Intelligence является наиболее актуальным? Может показаться, что SI-системы должны использоваться только в компаниях с высоким уровнем зрелости ИБ. Безусловно, в этом случае тема использования SI-систем весьма актуальна, так как для таких компаний характерно использование большого числа систем обеспечения ИБ, наличие формализованных процессов ИБ, имеющих закрепленные параметры функционирования.
Однако, по нашему мнению, использование систем Security Intelligence может быть достаточно эффективным и в рамках компаний с развивающейся функцией ИБ. В этом случае использование подобных решений может позволить не только проводить сложную аналитику данных по процессам обеспечения ИБ и облегчить диалог с бизнесом, но и гораздо быстрее выявлять проблемы в процессах обеспечения ИБ, некорректные использование и настройки систем обеспечения ИБ. А главное − помочь выстроить зрелые и эффективные процессы информационной безопасности в целом.
Примеры систем класса Security Intelligence
Специализированные аналитические системы класса Security Intelligence только начинают появляться на рынке. И что приятно, весьма заметное место в их строю занимают российские разработки. В качестве примеров представителей класса можно рассматривать:
Выводы
Аналитические системы класса Security Intelligence − это новый виток развития информационной безопасности. Они представляют данные о состоянии ИБ в новом свете и дают возможность анализировать эффективность процессов ИБ, их связи и влияния на бизнес, делают безопасность понятнее и прозрачнее для более широкого круга заинтересованных сторон.
Само понятие Security Intelligence только начинает входить в обиход и каждый производитиель вносит свой собственный вклад в его формирование. Как известно, именно спрос рождает предложение, и то, как изменяются функции и задачи подразделений ИБ, их взаимодействие с бизнесом, подтверждает, что спрос на решения класса Security Intelligence будет расти. А в ответ на существующую потребность в ближайшие годы будет серьезно развиваться и рынок.
На страже безопасности: IBM QRadar SIEM
Современные киберпреступники при атаках систем защиты компаний используют все более изощренные методы. Чтобы противодействовать им, департаменты информационной безопасности вынуждены анализировать и интерпретировать огромное количество событий в день. Компания IBM для защиты от угроз сетевой безопасности предлагает решение IBM QRadar Security Intelligence Platform, которое предоставляет единую архитектуру для интегрирования информации о безопасности и управления событиями (SIEM) и журналами, определения аномальных ситуаций, анализа инцидентов, реагирования на них, управления настройками и устранения уязвимостей.
Единая архитектура QRadar Security Intelligence Platform позволяет анализировать журналы, сетевые потоки, пакеты, уязвимости, а также данные о пользователях и ресурсах. Использование Sense Analytics дает возможность проводить анализ корреляции для выявления наиболее серьезных угроз, атак и уязвимостей в реальном времени. Это дает возможность ИТ-отделам расставить приоритеты и выделять наиболее важные инциденты из огромного потока данных. Решение автоматически реагирует на инциденты и выполняет нормативные требования за счет возможностей сбора данных, определения их корреляции и составления отчетности. Также предусмотрен прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями.
Анализатор угроз
IBM QRadar Security Intelligence Platform включает в себя целый ряд различных модулей. Одним из ключевых компонентов решения является инструмент IBM QRadar SIEM – система сбора и анализа событий. Он консолидирует информацию из журналов событий, поступающую от устройств, конечных точек и приложений в сети. QRadar SIEM нормализует и анализирует корреляцию для выявления угроз безопасности, а также использует передовой механизм Sense Analytics для выявления нормального поведения, обнаружения аномалий, раскрытия передовых угроз и удаления ложноположительных результатов. Этот программный модуль дает возможность собрать все связанные события в один инцидент. QRadar SIEM может включать в себя средства анализа угроз IBM X-Force Threat Intelligence со списком потенциально вредоносных IP-адресов, адресов компьютеров с вредоносным ПО, источников спама и других угроз, что позволяет внедрить упреждающий подход к обеспечению безопасности. Кроме того, для определения приоритетов продукт умеет сопоставлять угрозы для систем с событиями и данными из сети.
Возможность создавать подробные отчеты по доступу к данным и действиям пользователей обеспечивает более эффективное управление угрозами и соответствие стандартам. Стоит также упомянуть, что QRadar SIEM можно использовать в локальных и облачных средах.
Кроме того, стоит отметить, что в ближайшее время IBM планирует использовать платформу искусственного интеллекта Watson в сфере безопасности, интегрировав ее с программным обеспечением QRadar и базой данных X-Force. Это позволит повысить уровень аналитики для определения характера угроз, а также компенсировать нехватку ИТ-персонала в сфере информационной безопасности.
Вопросы функциональности
Рассмотрим указанные выше возможности IBM QRadar SIEM более детально. Обеспечение прозрачности в реальном времени позволяет обнаружить неправильное использование приложений, внутреннее мошенничество и небольшие угрозы, которые можно было бы упустить из виду среди миллионов событий, происходящих ежедневно. Решение позволяет обеспечить сбор журналов и событий из различных источников, включая устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Данные сетевых потоков поступают от коммутаторов и маршрутизаторов, включая данные уровня 7 (уровень приложений). Предусмотрено получение информации от систем управления доступом и идентификацией и таких служб инфраструктуры, как протокол динамической настройки узла (DHCP), а также от сканеров уязвимости в сети и приложениях.
На Dashboard-панель IBM QRadar SIEM можно вывести все необходимые отчеты и графики
QRadar SIEM выполняет мгновенную нормализацию событий и сопоставление с другими данными для обнаружения угроз и создания нормативных отчетов. Решение определяет приоритеты событий, выделяя небольшое количество реальных нарушений, несущих наиболее серьезную угрозу для бизнеса. Обнаруженные аномалии дают возможность выявить изменения в поведении, связанные с приложениями, компьютерам, пользователями и сегментами сети. При использовании ПО IBM X-Force Threat Intelligence также определяются действия, связанные с подозрительными IP-адресами.
Решение дает возможность более эффективно управлять угрозами, отслеживая серьезные инциденты и предоставляя ссылки на все требуемые данные для проведения анализа. Это позволяет обнаружить действия в нерабочее время или необычное использование приложений и облачных сервисов, а также сетевую активность, не соответствующую сохраненным шаблонам использования. Для улучшения аналитики QRadar SIEM поддерживает возможность поиска в событиях и потоках данных в режиме, близком к реальному времени, а также по сохраненным данным. Возможно выполнение объединенного поиска в больших распределенных средах. Для более глубокого понимания и лучшего отображения приложений, баз данных, продуктов для совместной работы и социальных сетей можно использовать устройства IBM QRadar QFlow и IBM QRadar VFlow Collector, которые позволяют проводить детальный анализ сетевых потоков на уровне 7.
Возможность установки в облаке SoftLayer позволяет QRadar SIEM получать оперативную информацию о безопасности в облачных средах. Причем сбор событий и потоков данных от приложений выполняется как в облаке, так и на локальных ресурсах.
Решение имеет интуитивно понятный модуль отчетов, не требующий специальных баз данных или особых навыков от ИТ-администраторов. Создание отчетов о доступе к данным и активности пользователей с возможностью отслеживания информации по имени и IP-адресу гарантирует соблюдение политик безопасности, а также соответствие нормативным требованиям.
Сопутствующие компоненты
С инструментом QRadar SIEM интегрируется ряд модулей, повышающих его эффективность. Одним из наиболее важных является QRadar Risk Manager, который сопоставляет информацию об уязвимостях с данными о топологии сети и соединениях. Решение выявляет уязвимости в сети компании и работающих в ней приложениях, оценив риски и минимизировав их. Risk Manager отслеживает конфигурацию коммутаторов, маршрутизаторов, сетевых экранов и систем предотвращения вторжений (IPS), распознавая условия, представляющие угрозу безопасности. Кроме того, он позволяет моделировать сетевые атаки и другие сценарии вторжений, внося в конфигурацию сети изменения, которые дают возможность оценить масштаб угрозы.
Еще один интересный инструмент – модуль QRadar Log Manager. Он собирает и обрабатывает данные о событиях в режиме реального времени, поступающие от маршрутизаторов, коммутаторов, брандмауэров, сетей VPN, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусных программ и других источников. Log Manager дает возможность упростить ведение необходимой отчетности и контроль за соблюдением нормативно-правовых требований.
Security Intelligence — новый облик информационной безопасности
Актуальность проблемы обеспечения информационной безопасности и надежного функционирования информационных систем сегодня ни у кого не вызывает сомнения. Без мощных средств, гарантирующих информационную безопасность, любое современное предприятие становится беззащитным не только перед внешними воздействиями злоумышленников, но и перед теми явлениями, которые носят случайный, стихийный характер (сбои и отказы оборудования, аварии систем электропитания, пожары, ошибки пользователей, и многое другое). В данном ключе информационная безопасность представляется как многогранная задача, решить которую можно только при комплексном подходе.
Данной статьей мы начинаем цикл материалов, в которых будут подняты вопросы информационной безопасности в современном мире. Поддержку в подготовке материалов нашему журналу оказывает компания IBM, и каждая из статей будет освещать одно из направлений информационной безопасности описанных в архитектуре IBM — IBM Security Framework (рис. 1). Сегодня мы поговорим о таком направление интеллектуальной информационной безопасности и аналитики, как Security Intelligence and Analytics.
Рис. 1. IBM Security Framework
В последнее время индустрия информационной безопасности сталкивается с проблемой роста комплексных атак нового поколения, направленных на организации, финансовые учреждения и правительства всего мира с целью индустриального шпионажа, финансового обогащения, подрыва национальной безопасности и саботажа. Традиционные методы безопасности уже не могут противостоять современным кибер-атакам. Для эффективной защиты от угроз нового поколения следует применять современные механизмы контроля в информационной безопасности. Одним из таких новых подходов является Интеллектуальная Информационная Безопасность — Security Intelligence. Слово «интеллект» происходит от латинского глагола «intelligere», что в переводе означает «понимать», «осознавать». Таким образом «интеллект» в контексте информационной безопасности дает нам возможность понимать, различать, осмысливать информацию, связанную с событиями безопасностями, полученными из различных источников. Осмысление и понимание данной информации позволяет нам обнаружить и оценить угрозы и уязвимости (как логические, так и физические). Таким образом, мы можем определить термин Security Intelligence как понимание и обнаружение текущих и потенциальных угроз информационной безопасности.
Основным решением на рынке информационной безопасности в сфере Security Intelligence являются системы SIEM — Security Information and Event Management (Система Управления Информацией и Событиями Безопасности). Главными задачами системы SIEM являются сбор, хранение и агрегация событий безопасности из различных источников IT-инфраструктуры, нормализация и корреляция данных, выявление угроз и нарушений политик безопасности и ведение отчетности.
Одним из лидеров по предоставлению SIEM-решений является компания IBM, предлагающая решение IBM QRadar Security Intelligence Platform. Данная платформа предоставляет возможность корреляционного анализа данных в реальном времени для получения актуальных знаний об угрозах безопасности. Продукт QRadar принадлежал компании Q1Labs, которая была поглощена корпорацией IBM в 2011 году. Примечательно, что топ-менеджмент Q1Labs ныне возглавляет дивизион IBM Security Systems. Компания полностью сохранила людей, олицетворяющих QRadar и определяющих его будущее. Также стоит отметить, что по рейтингу исследовательской и консалтинговой компании Gartner, решение IBM SIEM занимает лидирующую позицию (рис. 2).
Рис. 2. Квадрант Gartner для решений SIEM (Источник: Gartner — май 2013 года)
Платформа IBM QRadar Security Intelligence
Платформа IBM QRadar Security Intelligence интегрирует в единое унифицированное решение управление сбором информации (SIEM), обработку системных журналов, выявление аномалий, управление конфигурациями систем и устранением их уязвимостей. Используя аналитику (интеллектуальную функциональность), интеграцию и автоматизацию для обеспечения всестороннего рассмотрения условий поддержания безопасного состояния защищаемой информационной системы, данное решение обеспечивает превосходное обнаружение угроз, увеличивает простоту использования и снижает общую стоимость владения (TCO).
Рис. 3. IBM QRadar Security Intelligence Platform
Платформа QRadar Security Intelligence Platform обеспечивает преимущества в области безопасности и соответствия регуляторным требованиям, которые становятся бесценными в современном, более интеллектуальном мире, где технически оснащенные, взаимосвязанные и интеллектуальные бизнесы собирают, обрабатывают и хранят больше информации, чем когда бы то ни было ранее. Рассмотрим основные возможности, предоставляемые данной платформой.
Обнаружение угроз, которые в другом случае могли бы оказаться пропущенными:
Сегодня организации подвергаются большему количеству и разновидности атакам, чем когда-либо в прошлом. Современные взломщики стали умнее и терпеливее, об их присутствии сообщают лишь едва уловимые «шорохи». Платформа QRadar Security Intelligence представляет собой интегрированное семейство продуктов, помогающих обнаружить угрозы и защищаться от них путем применения новой аналитики к увеличенному числу типов рассматриваемых данных. Такая методика помогает выявить первоочередные инциденты, которые в другом случае могли бы затеряться в шуме.
Консолидирование хранилища первичных данных:
Несмотря на то, что в регистрационных журналах и системных логах, создаваемых в организации, в ее сетевом потоке и в данных бизнес-процессов, существует огромное количество информации, полезной для обеспечения информационной безопасности, эта информация часто остается в хранилищах и игнорируется, либо используется в недостаточной степени. QRadar сводит представления сети, безопасности и эксплуатации в единое, унифицированное и гибкое решение. Эта платформа разрушает препятствия между отдельными источниками сведений, выполняя коррелирование логов с потоками сети и множеством других данных, и представляя всю релевантную информацию на едином экране. Так обеспечивается отличное обнаружение угроз и более функциональное представление активности предприятия.
Обнаружение внутренних злоупотреблений:
Некоторые самые серьезные угрозы безопасности компании приходят изнутри, но организациям часто недостает аналитики и интеллектуальной функциональности, необходимой для обнаружения внутренних злоумышленников и внешних сторон, поставивших под угрозу учетные записи пользователей. Комбинируя мониторинг пользователей и приложений с наглядным представлением сети на уровне приложений, организации смогут лучше находить важные отклонения от нормальной активности, что поможет остановить атаку до того, как она достигнет цели.
Защита и устранение рисков с помощью управления устранением уязвимостей:
Команды, отвечающие за безопасность, сеть и инфраструктуру, стараются лучше справиться с рисками, выявляя уязвимости и вынося в приоритеты исправление этих уязвимостей, прежде чем произойдет взлом. QRadar Security Intelligence интегрирует в себе управление конфигурациями и устранением уязвимостей и возможности SIEM, включая коррелирование и аналитику сетевого потока, что позволяет получить лучшее понимание о критических уязвимостях. В результате организации могут устранять риски более эффективно и оперативно.
Соблюдение предписания нормативных требований регуляторов в области обеспечения информационной безопасности:
Многие организации бьются над тем, как пройти проверку на соблюдение требований регуляторов, одновременно пытаясь выполнить сбор данных, мониторинг и подготовку отчетов в условиях чрезвычайной ограниченности ресурсов. Чтобы автоматизировать и упростить задачу соответствия регуляторным требованиям, QRadar предлагает функциональность сбора данных, коррелирования и подготовки отчетов для активности, связанной с соблюдением требований регуляторов, подкрепленную многочисленными готовыми шаблонами отчетов.
Компоненты IBM QRadar Security Intelligence Platform
IBM Security QRadar Log Manager. Высокопроизводительная система для сбора, анализа, архивирования и сохранения больших объемов протоколов сетевых событий и событий безопасности.
IBM Security QRadar Network Anomaly Detection. Улучшение систем предотвращения вторжений IBM (IPS) за счет получения большего количества информации о ситуации в сети и ненормальных действиях для лучшего определения угроз безопасности.
IBM Security QRadar QFlow Collector. Сочетание с IBM Security QRadar SIEM и обработчиками потоков обеспечивает отображение приложений (уровень 7 модели OSI) и анализ потоков, чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.
IBM Security QRadar Risk Manager. Программное обеспечение IBM Security QRadar Risk Manager позволяет отслеживать конфигурацию сетевой топологии, коммутаторов, маршрутизаторов и Системы предотвращения вторжений (IPS) в целях минимизации рисков и повышения уровня соответствия нормативным требованиям.
IBM Security QRadar SIEM. Регистрация событий с тысяч конечных устройств и приложений, распределенных в сети. Эта система выполняет мгновенную нормализацию и выявляет связь между действиями над необработанными данными, чтобы отличить реальные угрозы от ложных срабатываний.
IBM Security QRadar VFlow Collector. Сочетание с IBM Security QRadar SIEM обеспечивает отображение потоков виртуальных сетей на уровне приложений (уровень 7 модели OSI), чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.
IBM Security QRadar Vulnerability Manager. IBM Security QRadar Vulnerability Manager позволяет прогнозировать уязвимые области защиты сетевых устройств и приложений, расширить контекст, а также обеспечить поддержку расстановки приоритетов среди корректирующих мероприятий и действий по смягчению рисков.
Примеры внедрения решений IBM Security Intelligence
IBM имеет большой опыт по внедрению решений Security Intelligence и внушающее количество заказчиков. Продукты платформы IBM QRadar Security Intelligence позволяют клиентам компании решить комплексные и уникальные задачи по информационной безопасности. Следующие примеры показывают, как некоторые мировые лидеры в различных отраслях индустрии смогли достичь поставленных целей с помощью решения IBM QRadar Security Intelligence.
Военный подрядчик Fortune 500
О заказчике: Организация Fortune 500, занимается оборонными и аэрокосмическими системами. Это компания с более чем 70000 сотрудников по всему миру.
Требования бизнеса: Организации было необходимо защитить свою комплексную и географически распределенную сеть от современных угроз, угрожающих конфиденциальной информации внутри компании. Из-за размера организации и критичности обнаружения угроз в режиме реального времени, этот клиент требует масштабируемость системы мониторинга для большого объема событий и потоков.
Решение QRadar: Для решения этих задач организация развернула решение QRadar SIEM совместно с QRadar QFlow в количестве 40 устройств в 25 офисах по всему миру. Таким образом, QRadar смог обеспечить мониторинг и защиту всех критических сегментов распределенной инфраструктуры компании. Решение QRadar обеспечивает интеллектуальную безопасность в масштабах всего предприятия и позволяет следить за сетевой активностью и выявлять аномалии и угрозы. Сбор и накопление данных протокола NetFlow вместе с захватом контента данных с помощью QFlow дает организации полную видимость и способность коррелировать пользователей, а также данные, место нахождения и необходимую телеметрию, для того чтобы изолировать важную информацию от прочего шумового потока данных. Организация использует QRadar для обработки более 6 млрд. событий в день. Это одна из крупнейших систем SIEM, развернутых в мире. Распределенное решение QRadar обрабатывает 70000 событий в секунду, и может обрабатывать более 100000 событий в секунду во время вспышек повышенного потока событий. Все данные не только записывается на диск, но и полностью коррелируются в соответствии с требованием компании. QRadar SIEM является незаменимым элементом центра операционной безопасности данной организации, обеспечивая полную видимость информационной безопасности и постоянное своевременное оповещение об угрозах.
Энергетическая компания Fortune 5
О заказчике: Энергетическая компания с мировым именем, входящая в рейтинг Fortune 5, в которой работают больше 50000 сотрудников по всему миру.
Требования бизнеса: Данная компания должна удовлетворять регуляторным требованиям и стандартам в различных странах, включая PCI DSS (Payment Card Industry Data Security Standard) и NERC (North American Electric Reliability Corporation). Также защите от угроз безопасности требуется обработка и анализ 2 млрд. событий, приходящих с различных источников каждый день.
Решение QRadar: Данная компания решила все свои регуляторные требования и задачи информационной безопасности, развернув решение QRadar SIEM совместно с QRadar QFlow в количестве 30 глобально распределенных устройств. Сопоставляя события, сетевую активность, информацию об активах и данные конфигурации устройств, стало возможным определять от 25 до 50 нарушений информационной безопасности из 2 млрд. ежедневных событий, занимающих в совокупности 40 Тb дискового объема. Решение обслуживает 100 пользователей безопасности, распределенных по четырем группам, защищая 10000 сетевых устройств, 10000 серверов и 80000 конечных точек пользователей. Основные технологии, защищенные QRadar SIEM, включают в себя продукты Oracle, SAP, Cisco и Juniper. Компания также использует решение QRadar для контроля 6 млн. карточных операций в день для соблюдения требований PCI DSS.
Торговая компания Fortune 200
О заказчике: Крупная торговая компания, входящая в рейтинг Fortune 200, с количеством сотрудников, превышающим 100000 человек.
Требования бизнеса: Компании требовалось в кратчайший срок заменить конкурирующее решение SIEM, которое не смогло справиться с поставленными задачами, для удовлетворения всех регуляторных требований и прохождения предстоящего аудита PCI DSS. Также задачей компании было выявление всех угроз информационной безопасности в ее распределенной сети магазинов.
Решение QRadar: Компания в кратчайший срок внедрила решение IBM QRadar и успешно прошла аудит PCI DSS, состоявшийся через 90 дней после начала внедрения решения. Было развернуто решение QRadar SIEM вместе с QRadar QFlow и QRadar VFlow в количестве 15 устройств, которые собирали и коррелировали события с 45000 аппаратов в пунктах продажи и 6000 корпоративных IT-активов. Данное распределенное решение обрабатывает более 1 млрд. событий в день и в результате выявляет до 30 нарушений информационной безопасности. QRadar было единственным решением, которое полностью удовлетворило потребности организации.
В распоряжении IBM находится одна из самых больших в мире организаций, занимающихся исследованиями, разработкой и предоставлением решений в области безопасности. Она состоит из 10 операционных центров защиты, 9 исследовательских центров IBM Research, 11 лабораторий разработки ПО для обеспечения безопасности и Института передовой безопасности (Institute for Advanced Security) с отделениями в США, Европе и Юго-Восточной Азии. Решения IBM позволяют организациям уменьшить уязвимости в своей системе информационной безопасности и бросить основные силы на обеспечение успеха стратегических инициатив. Такие продукты создаются на основании опыта исследований угроз, накопленного группой IBM X-Force по исследованию и разработке, что гарантирует предупредительный подход к безопасности. Компания IBM, доверенный партнер в области безопасности, предоставляет решения, позволяющие обеспечить защиту всей инфраструктуры предприятия, включая облако, от самых современных рисков в области безопасности.