Обеспечение защиты любого объекта – это не только оружие охранников, но и процесс организации охраны. Он, в частности, предполагает, что злоумышленника вначале нужно обнаружить, затем оценить его опасность и только потом нейтрализовать, причем желательно минимальными силами. После любого инцидента обязательно нужно провести «разбор полетов», чтобы оптимизировать дальнейший процесс обеспечения защиты. Все вышесказанное относится и к информационной безопасности, только способы обнаружения и нейтрализации злоумышленников в информационных системах имеют свои особенности. Об этом и шла речь на бизнес-завтраке системного интегратора «Диалог-Наука» и компании ArcSight, который состоялся 1 июня.
В центре процесса информационной безопасности традиционно ставится система обработки событий ИБ – SIEM. Она позволяет собрать все сообщения о подозрениях на инциденты, систематизировать их, выстроить предположительную цепочку событий инцидента (этот процесс называется красивым термином «корреляция событий»), а также провести расследование и анализ инцидента. Чего точно не делает SIEM – не реагирует на инцидент, поскольку она является только мониторинговой системой. Реагирование должно быть предусмотрено в рамках общего процесса обеспечения безопасности сотрудниками ситуационного центра по ИБ (СЦИБ или, на иностранный манер, SOC). Таким образом, SIEM действительно является ключевым элементом СЦИБ, но должны быть предусмотрены и другие элементы для оперативного реагирования и нейтрализации инцидентов.
Следует отметить, что решения класса SIEM достаточно сложные во внедрении, настройке и эксплуатации. Их стоимость достаточно высокая как по компонентам, так и по услугам настройки. Дело в том, что ценные информационные активы в каждой компании свои, поэтому настройка правил контроля их защищенности требует отдельной работы. На примере ArcSight можно выделить следующие элементы SIEM: уровень медиации Data Platform (ADP), который с помощью коннекторов получает от различных средств защиты сообщения об обнаруженных ими событиях безопасности и обрабатывает их, уровень корреляции ESM, который позволяет проанализировать записи в базе данных и выявить хакерские действия и попытки взлома, уровень расследования Investigate, который дает возможность проводить расследование инцидентов с обеспечением цифровых доказательств совершенных действий.
Экосистема ArcSight предусматривает также магазин приложений Marketplace, правда, в России доступны только бесплатные приложения. И хотя у партнеров есть готовые наборы правил для соответствия требованиям ЦБ РФ, закону 152-ФЗ «О персональных данных» и другим требованиям регуляторов, они не торопятся выкладывать их в магазин. По словам Евгения Афонина, архитектора решений информационной безопасности HPE, сейчас в российском магазине приложений для ArcSight только демонстрационные приложения, в которых написано примерно следующее: «…а для полноценного выполнения требований данного документа обращайтесь к партнеру …». Собственно, сама «Диалог-Наука» является одним из старейших партнеров ArcSight с большим набором компетенций по организации мониторинга событий информационной безопасности на основе данной платформы.
Впрочем, наборы правил для соответствия международным стандартам, таким как PCI DSS, NERC и некоторым другим, поставляются «из коробки» бесплатно. Кроме того, HPE в свое время получила сертификат на ArcSight 6.x по классу НДВ4, что позволяет использовать продукт для защиты персональных данных и в других значимых проектах. В следующем году компания планирует выпустить очередную версию своей платформы ArcSight 7.0, которую также собирается сертифицировать. В планах HPE – активное развитие технологии SIEM и выпуск в ближайший год новых версий продуктов ESM 7.0 с возможностью распределенной корреляции событий, ADP 2.3 с улучшенным брокером событий и Investigate 2.0 с модульной аналитикой. Все эти усовершенствования направлены на обработку большого количества событий. Как отмечает Евгений Афонин, сейчас в России не много проектов, которым бы понадобится подобный функционал, однако через два-три года он может оказаться весьма востребованным.
Валерий Коржов
