* * *
Продукты HPE ArcSight ESM, DMA UBA позволяют существенно минимизировать риски, которые могли бы понести компании, их партнеры и клиенты, заметно повышая защищенность корпоративных систем и данных. Что очень важно, они помогают предотвращать ущерб от ранее неизвестных угроз и рисков, своевременно выявляя подозрительные активности и помогая находить бреши в ИТ-системах.
Типы атак, выявленных в 252 компаниях:
Arcsight security information and event management: siem software | micro focus
Hpe arcsight dns malware analytics
В сентябре на ежегодной конференции HPE Protect было анонсировано новое конвергентное программно-аппаратное решение – HPE ArcSight DMA, предназначенное для мониторинга сетевого трафика и анализа встречающихся в нем запросов системы доменных имен DNS.
Оно быстро и точно выявляет инфицированные вредоносными кодами серверы, сетевые и пользовательские устройства, в том числе рабочие станции и мобильные гаджеты, анализируя трафик DNS с целью выявления в реальном времени «плохих» пакетов, перемещающихся между серверами, сетевым оборудованием и подключенными к сетям устройствами.
Это дает предприятиям возможность быстро защищаться от новых, неизвестных ранее угроз – это важно, поскольку они представляют собой источник наибольшего риска для бизнес-приложений, систем и данных. Используя DMA, пользователи могут выявлять угрозы, не перегружая системы SIEM дополнительной работой по анализу огромных объемов данных из системных журналов (логов) DNS.
В основе DMA – идея, которая, как кажется на первый взгляд, лежит на поверхности – ее высказал один из экспертов HP Labs по информационной безопасности: почти во всех атаках на компьютерные сети так или иначе используется DNS (в частности, для обеспечения связанности, передачи команд или тунеллирования данных, передаваемых злоумышленниками), и если научить компьютерную систему распознавать DNS-запросы, то она сможет выявлять те из них, которые могут иметь отношение к хакерским атакам.
Экспериментальный образец такой системы был создан в HP Labs и развернут в HP SOC – расположенном в Калифорнии центре управления инцидентами ИБ, в который стекается и анализируется информация о событиях ИБ с устройств 365 тыс. сотрудников HP и HPE. В ходе продолжавшейся более года обкатки система прошла обучение и после достижения необходимого уровня зрелости была выпущена на рынок в виде самостоятельного продукта – DMA. Шаблоны и базы для анализа поступают в него из HPE.
Заказчик продукта получает в свое распоряжение веб-интерфейс, на котором выводится визуализированная картина сетевой активности и особо выделяются компоненты с подозрительной активностью. По сути, он реализует концепцию «красной кнопки», дающей возможность выявлять хакерские атаки, не прикладывая практически никаких усилий со стороны пользователя – они требуются для отражения и пресечения атак, но не для отслеживания их начала.
Очень важное свойство – масштабируемость продукта. В HPE SOC ежедневно обрабатывается порядка 20 млрд запросов DNS – это трафик, соизмеримый с трафиком крупных телекоммуникационных компаний, что говорит о необычайно высокой масштабируемости.
Hpe arcsight enterprise security manager
Функциональность HPE ArcSight ESM выходит далеко за рамки традиционных систем управления событиями ИБ (Security Information and Event Management, SIEM), и, как показывает опыт использования этого продукта в России, с его помощью можно решать множество самых разных практических задач.
Например, с его помощью можно реализовать мониторинг финансовых транзакций в банковских системах, бизнес-сценариев в ERP-системах, встроить в единую консоль управления предприятием и пр. Нередко ArcSight ESM используется в задачах, связанных с управлением рисками, в том числе обеспечением соответствия требованиям регуляторов.
Однако чаще всего ESM применяется в системах, нацеленных на выявление и отражение хакерских атак, а также на предотвращение последствий от них. Известно немало случаев сбоев из-за подобных злонамеренных действий. Многие из них можно было бы предотвратить или пресечь до нанесения заметно ущерба путем, во-первых, проверки установленного программного обеспечения на наличие вредоносных кодов и / или уязвимостей и, во-вторых, непрерывного мониторинга поведения программных продуктов в информационных системах.
Не секрет, что от проникновения хакера в систему до начала серьезных вредоносных действий молжет пройти немалый срок. Так, по данным Ponemon Institute (см. рис. 3), от проникновения до пресечения действия вредоносных кодов проходит в среднем около полутора месяцев, от начала активности злонамеренных инсайдеров до её пресечения – около двух месяцев. За это время вполне можно отследить с помощью ESM отклонение в поведении программ и оповестить системного администратора.
ESM обеспечивает не только сбор событий информационной безопасности, но и множество других видов обработки, в том числе анализ корреляций этих событий. Также ESM можно рассматривать как платформу для автоматизации задач обеспечения безопасности, причем не только информационной, но и физической:
ESM можно использовать для мониторинга ИТ-событий, не связанных напрямую с информационной безопасностью, и для сбора информации о традиционных угрозах и инструментах, которые им противостоят. Ничто не мешает, например, отслеживать, параметры KPI информационной безопасности – соответствующую логику можно заложить в продукт.
При осуществлении сбора информации из антивирусных систем совершенно неважно, сколько их типов развернуто на предприятии. Ничто не мешает отслеживать ситуацию в разнородной среде антивирусных средств, при этом показатели KPI будут оцениваться единообразно, позволяя анализировать в разрезе выбранных KPI не только текущую ситуацию, но и ту, что имела место, например, год или два назад – это может быть полезно для анализа динамики KPI и определения тенденций.
Кроме того, ESM можно применять для защиты от мошенничества, анализируя информацию из бизнес-приложений, например, ERP-систем. Если логику выявления можно формализовать, то в этом случае её наверняка удастся заложить в ESM.
Для хранения и обработки очень больших объемов данных в ESM может применяться платформа СУБД HPE Vertica, значительно ускоряя исполнение поисковых запросов, формулируемых аналитиками безопасности. Интеграция ArcSight и Vertica может применяться не только для мониторинга событий информационной безопасности, но и, например, для отслеживания событий в бизнес-процессах, хранящих данные в Vertica, в частности, с целью предотвращения мошеннических действий. Для интеграции систем имеется специальный коннектор.
Закупки – 2315711|пао “транснефть” | тасс-бизнес
Вы покидаете страницу с результатами поиска.
Чтобы иметь возможность вернуться к результатам через некоторое время, рекомендуем Вам сохранить шаблон!