Функциональности классических SIEM-систем на основе корреляционной логики для организации процессов информационной безопасности предприятий в актуальных условиях недостаточно — особенно с учётом изменений, вызванных коронавирусной пандемией. Компания Micro Focus существенно переработала платформу ArcSight, чтобы максимально соответствовать текущим реалиям и успешно решать задачи современных SOC.
- Введение
- От информационной безопасности — к киберустойчивости
- SIEM-решение для новых реалий
- Инструментарий для аналитиков безопасности
- Выводы
Введение
Много лет назад на наш рынок ИБ пришли SIEM-системы. Они тогда казались чем-то особенным, удивительным, любые задачи казались решаемыми их корреляционной логикой. Большая часть SIEM-систем того времени осталась лишь частью истории, но мы поговорим об исключении. Развивая и совершенствуя ArcSight, который отметил недавно свое 20-летие, мы с коллегами стали свидетелями серьёзных перемен. Мир вокруг нас существенно изменился: другими стали и информационные технологии, и ландшафт связанных с ними угроз, а также, как следствие, подходы к защите от них.
От информационной безопасности — к киберустойчивости
Если раньше мы с вами заботились о выстраивании информационной безопасности и защиты ИТ-систем и данных, то в последние годы на первый план вышла киберустойчивость (Cyber Resilience) — способность обеспечить динамичный рост бизнеса в условиях киберугроз: организации должны быть готовы к ним, уметь реагировать на них и быстро восстанавливаться после их воздействий. Киберустойчивая организация способна адаптироваться к известным и неизвестным кризисам, угрозам, трудностям и испытаниям. Конечная цель киберустойчивости — помочь организации вести успешный бизнес в неблагоприятных условиях, в том числе в периоды кризисов, пандемий, финансовой нестабильности и т. п.
Идея киберустойчивости — в том, что сегодня невозможно полностью защититься от всех угроз, имеющих отношение к ИТ: при всём желании их не удастся предотвратить в полном объёме. И раз от них никуда не деться, бизнесу нужно научиться жить в окружении киберугроз и уметь противостоять им. Эксперты рынка ИБ говорили об этом уже давно, но лишь сейчас бизнес начал осознавать новые реалии и принимать этот подход в качестве основного.
Организация, ставшая киберустойчивой, обладает множеством преимуществ.
Меньшее количество инцидентов. Киберустойчивая организация умеет точно определять приоритеты и лучше реагировать на риски. Её SOC концентрирует внимание на реальных, а не мнимых или ложных угрозах, благодаря чему количество инцидентов снижается по сравнению с теми организациями, которые оценивают угрозы недостаточно взвешенно.
Меньше пеней и штрафов. Киберустойчивая организация может легко идентифицировать и защищать данные, которые собирает, а также обеспечивает соблюдение требований регуляторов — это снижает вероятность штрафов и риски судебных разбирательств.
Ниже влияние нарушений безопасности. Они уже не оказывают существенного воздействия на работу организации, поскольку киберустойчивость снижает вероятность реализации рисков.
Высокая репутация. Киберустойчивая организация будет пользоваться в бизнес-кругах лучшей репутацией, поскольку она умеет хорошо защищать не только свою информацию, но и данные партнёров и клиентов, с которыми работает. Имея более широкий круг лояльных клиентов, такая организация будет более конкурентоспособной.
Ключевой компонент киберустойчивости организации — её способность развивать свою систему безопасности и адаптировать её к ландшафту угроз. Киберустойчивая организация умеет предвидеть новые векторы атак, адекватно моделируя угрозы, и работать над защитой от них.
Определять уровень зрелости организаций в плане киберустойчивости мы предлагаем по следующим направлениям: корпоративное управление кибербезопасностью, защита систем и данных, выявление угроз и развитие системы кибербезопасности.
Наши эксперты совместно с передовыми консалтинговыми компаниями подготовили матрицу зрелости киберустойчивой организации, которую мы рекомендуем в качестве методологического материала.
Кстати, недавно в Micro Focus появилось бизнес-направление CyberRes (его название происходит от английского термина Cyber Resilience), в рамках которого мы объединили все продукты для киберустойчивости и безопасности ИТ-систем.
Подробнее о киберустойчивости можно узнать из этой статьи.
SIEM-решение для новых реалий
В нашем ежегодном исследовании «State of Security Operations» мы проанализировали работу множества SOC в разных странах мира и выявили актуальные проблемы. Наиболее болезненными из них оказались следующие:
- острая нехватка квалифицированных специалистов с нужными навыками;
- «зоопарк» различных инструментов анализа, которые приходится использовать в ходе мониторинга и проведения расследований;
- необходимость работать с большими объёмами данных при существенных ограничениях в производительности используемых инструментов;
- нехватка инструментов для автоматизации операций в процессе расследования.
Оценив нынешние потребности аналитиков SOC, мы перестроили нашу платформу ArcSight, чтобы максимально соответствовать современным реалиям и успешно решать задачи SecOps. За 2020 год мы практически полностью переработали архитектуру нашего решения. При её построении мы отталкивались в первую очередь от текущих потребностей рынка SecOps (Security Operations).
Наш ArcSight стал другим: мы отошли от прежней концепции набора самостоятельных решений, интегрированных между собой. Теперь ArcSight — это единая платформа, которую можно расширять и совершенствовать, встраивая в неё новые модули.
Платформа объединяет наши лучшие технологии для реализации инфраструктуры, предназначенной для противодействия настоящим и будущим угрозам. В частности, мы встроили в ArcSight передовое решение для работы с большими данными, позволяющее не только эффективно хранить их, но и анализировать огромные объёмы информации с очень высокой скоростью.
Мы сохранили в платформе наш корреляционный движок, так как считаем его наиболее функциональным среди существующих на рынке, а также наши коннекторы с широкими возможностями по интеграции с различными системами и оборудованием. В новой платформе мы используем передовые возможности алгоритмов машинного обучения (ML) без учителя для выявления различных угроз на базе поведенческой аналитики.
Вошли в состав платформы и технологии SOAR компании ATAR Labs, которую Micro Focus приобрела в нынешнем году. В частности, модуль SOAR включает в себя набор сценариев для автоматизации расследований и богатые возможности по взаимодействию с окружающей инфраструктурой.
Кроме того, мы встроили в ArcSight (точнее, в его стандартный контент по выявлению угроз) методические наработки и рекомендации по выявлению современных атак, сформулированные экспертами всемирно известной организации MITRE.
Инструментарий для аналитиков безопасности
Обновлённый ArcSight призван помочь аналитикам SOC эффективнее решать задачи, возникающие в их практике, — быстрее, точнее и с меньшими расходами сил и средств.
Как известно, в SOC работают аналитики с различными уровнями квалификации. Первая линия аналитиков принимает на себя весь поток инцидентов, их основная задача — определить степень значимости инцидента и убедиться, что тревога не напрасна. ArcSight позволяет максимально автоматизировать работу этих специалистов, ускоряя обработку инцидентов: наше решение собирает и анализирует всю необходимую информацию, а затем передаёт специалисту свои выводы и рекомендации для принятия окончательного решения либо корректировки процесса анализа событий. В результате нагрузка на людей снижается.
ArcSight помогает заметно упростить и работу специалистов второй линии SOC, которые анализируют инциденты, выявленные на первой линии, и принимают решения о способах реагирования. Благодаря встроенным возможностям для автоматизации расследований ArcSight позволяет в разы сократить время анализа данных по безопасности.
Таким образом, благодаря наличию целого «созвездия» встроенных в продукт технологий для автоматизации операций по безопасности и проведения расследований ArcSight позволяет повысить эффективность работы аналитиков первой и второй линий, предоставить им возможности для развития вместо традиционного пути к выгоранию.
Выводы
Пандемия, приведшая ко всеобщей «удалёнке», вывернула наизнанку устоявшиеся инфраструктуры «цифровых крепостей»: разрушила границы безопасного периметра, проверила на прочность существующие в организациях технологии и процессы информационной безопасности, испытала их на киберустойчивость.
Согласно нашему опыту, организации, выстроившие у себя процессы SecOps и внедрившие ArcSight хотя бы за год до начала пандемии, после её начала оказались во всеоружии, продолжая анализировать инциденты и угрозы в привычном русле, поскольку весь стек технологий, которые нужны для SecOps, уже давно имеется в составе платформы.
Одним из немаловажных условий киберустойчивости является уверенность в надёжности используемых инструментов, а это — не только их функциональные возможности, но и политика ценообразования. Лицензирование ArcSight основано на среднесуточной интенсивности входящего потока событий (количестве событий за единицу времени). Поскольку у заказчиков платформы могут наблюдаться еженедельные и ежемесячные всплески, мы проводим повторное усреднение за 45 дней; это делается для того, чтобы оценка потока была более взвешенной, а плата за лицензию — более справедливой.
Что важно, мы никак не ограничиваем функциональность платформы даже при серьёзном отклонении входящего потока от лицензированных значений. Более того, увеличение потока в периоды атак на клиентов вообще не считается нарушением лицензионной политики, так же как и всплески в ходе отладки системы.
Все эти особенности и возможности ArcSight делают нашу платформу весьма привлекательной для клиентов. И, конечно же, мы сами являемся одним из ключевых и самых требовательных её пользователей, обеспечивая с её помощью нашу собственную киберустойчивость.
