Сертификат AM Test Lab
Номер сертификата: 182
Дата выдачи: 16.01.2017
Срок действия: 16.01.2022
2. Основные возможности JSOC Security Dashboard
3. Принцип работы и архитектура
4. Применение JSOC Security Dashboard
5. Контроль реагирования Solar JSOC на инциденты и контроль исполнения SLA
6. Выявление тенденций в сводной информации по инцидентам
7. Расследование инцидентов по детальной информации
Введение
Постоянно растущее число угроз информационной безопасности и их повышающаяся сложность требуют от систем защиты новых аналитических инструментов. Скорость выявления, реакции и принятия решения, а также возможность снижения вероятности повторения таких атак — вот ключевые характеристики, которые будут определять выбор средств ИБ в ближайшем будущем. Уже сейчас мы видим, что организации всё больше внимания уделяют планированию активностей в случае наступления инцидента ИБ, а также выявлению таких инцидентов на ранней стадии. С этой целью крупные компании с высокими требованиями к информационной безопасности зачастую прибегают к созданию или аутсорсингу центра управления и мониторинга (SOC — Security Operations Center).
Традиционно одним из ключевых системных компонентов SOC является SIEM-система, которая агрегирует и проводит корреляцию событий от IT-систем и средств защиты информации. Однако она предоставляет сложно воспринимаемые технические данные без привязки к бизнес-процессам и какой-либо обобщенной статистике. Выходит, что весь объем данных, поставляемых SIEM-системой, не позволяет принять решение о событии ИБ.
При этом функционал и архитектура SOC не ограничивается SIEM: многие бизнес-системы и системы защиты информации, такие как DLP, ITSM, Service Desk и т. д., технологически сложно и зачастую идеологически не целесообразно заводить в SIEM. Однако в рамках SOC необходимо собирать информацию и с них.
Поэтому для эффективной работы с SOC необходима система анализа и визуализации данных об ИТ-окружении инцидента, критичности «контекста» бизнес-систем, результатах реагирования и так далее.
Специалисты компании Solar Security в коммерческом SOC — Solar JSOC — решили эту задачу, использовав собственную систему визуализации класса Business Security Intelligence — Solar inView. Она подключается к Solar JSOC и предоставляет заказчикам возможность контролировать работу SOC через визуальную панель контроля — Security Dashboard. Результатом сплетения технологий стал JSOC Security Dashboard — инструмент, созданный для контроля работы Центра управления инцидентами информационной безопасности Solar JSOC.
Основные возможности JSOC Security Dashboard
Решение позволяет руководителю службы ИБ или его бизнес-заказчику оценить работу Solar JSOC и визуализировать ситуацию в отношении информационной безопасности в компании.
Пользователи JSOC Security Dashboard — специалисты или руководители подразделений на стороне заказчика — получают следующие сведения:
- информацию об уровне защищенности бизнес-систем организации и уровне угроз;
- сведения о динамике возникновения инцидентов (тип, дата, время, место возникновения и так далее);
- детальную информацию об инциденте (включая связанные с инцидентом сервисы и информационные системы);
- подробные сведения о предпринятых мерах по расследованию и реагированию (в том числе информация об ответственных за реагирование сотрудников Solar JSOC, время и оперативность реагирования).
Вся информация предоставляется в виде интерактивных панелей контроля (Dashboards), которые содержат наглядные диаграммы, графики и карты.
Какие задачи это позволяет решить?
Во-первых, система позволяет заказчику контролировать оперативность реагирования Solar JSOC на инциденты ИБ и анализировать соблюдение SLA по данному критерию.
Во-вторых, в зависимости от задачи пользователь может посмотреть как детальную информацию по каждому конкретному инциденту, так и общий уровень защищенности компании. JSOC Security Dashboard позволяет в контексте IT-систем и бизнес-процессов компании видеть инциденты информационной безопасности с учетом их критичности. Подобный подход отражает динамику и ключевые тренды в поведении сотрудников и изменении целей атак: какая бизнес-система вызывает повышенный интерес злоумышленников, какая организационная единица компании хуже всего соблюдает требования информационной безопасности и так далее.
В-третьих, пользователь может сравнить свои показатели защищенности со средними по отрасли, чтобы лучше представлять, насколько эффективно работает служба безопасности в его компании.
Здесь можно вспомнить старый анекдот о том, как два геолога встречают в тайге медведя, один бросается бежать, а второй кричит ему вслед:
- Бесполезно, ты все равно не сможешь бежать быстрее медведя!
- А это не важно, мне достаточно бежать быстрее тебя!
В некотором смысле это применимо к JSOC Security Dashboard: использование бенчмарков позволяет оценить, бежите ли вы быстрее товарищей по рынку.
Наконец, JSOC Security Dashboard предоставляет статистику в наглядном и понятном виде, который служит информационной поддержкой при обосновании бюджетов на информационную безопасность перед руководством организации.
Рисунок 1. Сводный отчет JSOC Security Dashboard
Принцип работы и архитектура
Как говорилось выше, JSOC Security Dashboard построен на основе системы визуального анализа и контроля информационной безопасности Solar inView.
Система Solar inView разработана на основе концепции Business & Security Intelligence и состоит из трех верхнеуровневых модулей:
- Коннекторы к системам Solar JSOC, системам защиты информации, IT- и бизнес-системам.
- Высокопроизводительное аналитическое хранилище данных.
- Модуль аналитики и визуализации данных.
Рисунок 2. Архитектура JSOC Security Dashboard
JSOC Security Dashboard через коннекторы подключается к источникам данных — системам, необходимым для функционирования SOC.
В Solar JSOC применяется SIEM HP ArcSight, но JSOC Security Dashboard может подключаться как к другим SIEM, так и напрямую к системам защиты информации: SIEM, CMDB, DLP, ITSM, Service Desk, Ticket Management и другим.
Обновление данных может проводиться в трех режимах: в режиме времени, близком к реальному, по задаваемому расписанию и по запросу.
Масштабируемое аналитическое хранилище данных обеспечивает накопление исторических данных о работе Solar JSOC и быстрый доступ ко всем возможным аналитическим агрегатам в различных разрезах и уровнях детализации.
В основе хранилища лежит технология аналитической обработки данных в реальном времени — OLAP (Online Analytical Processing).
Модуль визуализации обеспечивает наглядное представление сведений в виде интерактивных диаграмм, графиков и карт.
Именно этот модуль реализует возможность визуального контроля и анализа для конечных пользователей Security Dashboard и предоставляет информацию по технологии «тонкого» клиента.
Применение JSOC Security Dashboard
Рассмотрим возможности JSOC Security Dashboard чуть детальнее на нескольких примерах типичных задач главы службы ИБ.
Контроль реагирования Solar JSOC на инциденты и контроль исполнения SLA
При входе в JSOC Security Dashboard клиент Solar JSOC получает доступ к панели мониторинга инцидентов и контроля SLA:
- Пользователь системы — специалист информационной безопасности — выбирает отчетный период, для которого формируется интерактивный отчет.
- Клиент видит общий уровень опасности — оценку внешних факторов — для понимания вероятности возникновения атак на ИТ-инфраструктуру.
- Клиент видит индекс защищенности организации — оценку защищенности ИТ-инфраструктуры клиента.
- Для понимания, «что такое хорошо и что такое плохо» в своей компании специалист видит сравнительную оценку состояния защищенности компании по отношению к средним показателям по отрасли и региону (benchmarking).
- Наиболее частые инциденты выводятся в топ для оценки защищенности инфраструктуры: по количеству одинаковых инцидентов ИБ, по типу инцидента и т. д.
- В режиме реального времени клиент видит открытые инциденты, которые находятся в оперативной работе Solar JSOC.
- Клиент видит информацию о времени реагирования по различным уровням критичности инцидентов для контроля исполнения SLA со стороны Solar JSOC.
Рисунок 3. Контроль реагирования Solar JSOC на инциденты и контроль исполнения SLA
Выявление тенденций в сводной информации по инцидентам
Клиент Solar JSOC получает доступ к панелям мониторинга сводной статистической информации для анализа ключевых зависимостей и выявления трендов в возникновении инцидентов ИБ:
- На интерактивной диаграмме пользователь видит «разрезы» инцидентов по различным категориям: эксплуатация уязвимостей, несанкционированный доступ к информационным системам и ИТ-сервисам, заражение вредоносным программным обеспечением и т. д.
- Визуальный анализ позволяет выявить, например, тенденцию к повышению количества инцидентов по эксплуатации уязвимостей. Это, в свою очередь, отражает необходимость управления уязвимостями на конечных рабочих станциях и серверах ИТ-инфраструктуры.
- С первого взгляда специалист службы информационной безопасности может выявить информационные системы, требующие наибольшего внимания с точки зрения обеспечения информационной безопасности: контроллер домена, файловый сервер, документооборот, процессинговая система и т. д.
- Пользователи системы видят хосты и учетные записи, требующие наибольшего внимания по количеству инцидентов ИБ, — с учетом критичности эти проблемные хосты должны быть защищены в первую очередь.
- Динамика количества внутренних инцидентов и внешних атак позволяет выявить тренды и тенденции в возникновении внешних и внутренних угроз.
- Все статистические параметры отображаются динамически в режиме реального времени с возможностью фильтрации и анализа по критичности, категории, типу и статусу инцидентов, системам-источникам инцидентов, временному диапазону.
Рисунок 4. Выявление трендов по инцидентам
Расследование инцидентов по детальной информации
Все данные об инцидентах информационной безопасности накапливаются в аналитическом хранилище данных JSOC Security Dashboard.
Модули визуализации JSOC Security Dashboard позволяют клиентам Solar JSOC проводить ретроспективный анализ инцидентов и атак. Для этого пользователи системы получают доступ к детальной информации об инцидентах ИБ, в том числе:
- Наименование и категория инцидента.
- Дата и время выявления инцидента.
- Детальное описание инцидента.
- Критичность инцидента.
- Бизнес-система, в которой произошел инцидент.
- Цель инцидента (хост, на который направлен инцидент).
- Источник инцидента (хост, с которого исходит атака).
- Тип инцидента.
- Статус обработки инцидента.
С помощью многоуровневых фильтров специалист информационной безопасности может выявлять цепочки инцидентов ИБ — целевые атаки:
- Выбрать целевую бизнес-систему.
- Задать критичность расследованных инцидентов.
- Ограничить диапазон интересующих хостов с выявленными инцидентами.
- Определить тип, статус и категорию выявленных инцидентов.
- Проанализировать описание выборки инцидентов.
Рисунок 5. Проведение расследований по инцидентам
Выводы
JSOC Security Dashboard — удачный пример наглядной реализации концепции Security Dashboard & Analytics для центров управления инцидентами информационной безопасности.
С помощью JSOC Security Dashboard клиент получает возможность визуализировать работу JSOC и формировать для руководства отчеты, которые в удобной и понятной форме демонстрируют уровень и динамику угроз.
Информацию о функционировании Solar JSOC представляется в виде диаграмм, графиков, карт и динамических таблиц, что позволяет моментально выявлять общие тренды и, при необходимости, изучать детали каждого конкретного инцидента информационной безопасности.
Плюсы
- Продукт обеспечивает возможность как экспресс-контроля, так и глубокого анализа защищенности организации и результатов работы Solar JSOC.
- Продукт позволяет видеть результаты работы Solar JSOC в реальном времени и получать актуальную информацию по выявлению и реагированию на инциденты.
- Наличие коннекторов к большинству систем защиты информации и популярных бизнес-систем (всего более 50 коннекторов).
Минусы
- Привязка к Solar JSOC и одной системе Business Security Intelligence — Solar inView.
- Кастомизация вывода информации на панель почти всегда требует привлечения внешних специалистов.