В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
На сегодняшний день архитектура системы мониторинга ИБ Tenable объединяет четыре модуля:
Модульная архитектура позволяет поэтапное и пилотное внедрение компонентов системы мониторинга безопасности (рис. 1).
Благодаря сочетанию активного и пассивного сканирования с системой управления событиями (SIEM), система мониторинга Tenable обеспечивает полноценный обзор всей IТ-структуры организации в режиме реального времени, в том числе и мобильных устройств (iOS, Android или Windows).
Система мониторинга Tenable мгновенно определяет хосты, которые подключаются к сети, не дожидаясь планового сканирования; идентифицирует мобильные устройства и виртуальные системы, в том числе версии патчей, устаревшие приложения и т.д.; определяет устройства, которые не поддерживают агентов и проверяет их на наличие уязвимостей; обнаруживает активы в сетях с ограниченной или сложной сегментацией.
Система мониторинга Tenable автоматически определяет сложносоставные атаки в реальном времени с помощью нормализации и корреляции уязвимостей, данных об угрозах, обнаружения вредоносных процессов и аномальных событий.
На сегодняшний день архитектура системы мониторинга ИБ Tenable объединяет четыре модуля:
Автоматизированное профилирование событий и анализ журнала источников по статистическому принципу и принципу "впервые увидел" позволяет определить изменения в режиме реального времени и моментально идентифицировать аномальную деятельность во всей сети.
Также система выявляет аномалии с использованием статистического анализа – включает в себя обнаружение изменений по параметрам и требованиям организации. Система анализирует сервисы (DHCP, DNS и др.), сетевое оборудование (FW и другие устройства), аномальные подключения, приложения, процессы и аномалии системы. Выявляет последствия аномальных событий во всей архитектуре.
Стандартные или создаваемые пользователем отчеты и информационные панели в единой консоли управления SecurityCenter обеспечивают совокупный обзор в разные промежутки времени, позволяя убедиться в том, что соответствия контролируются непрерывно 24x7, а не только на момент проведения аудита.
Расширенные панели, графики, отражающие тенденции, и отчеты о соответствии требованиям отображают информацию о соответствующих угрозах и нарушениях соответствия, которые сохраняются и не могут быть удалены до планового аудита.
Также система мониторинга Tenable отслеживает уязвимости в режиме реального времени, уведомляет о пробелах в администрировании и следит за последствиями на каждом уровне с необходимой детализацией.
Также автоматизирует трендинг устройств, конфигураций с подробными доказательствами соблюдения соответствий в форме графических отчетов. Система обеспечивает более 100 предварительно сконфигурированных отчетов соответствия, позволяющих легко отслеживать (CIS, PCI DSS, FDCC, SCAP, Cyberscope, DISA STIG, HIPAA, и т.д.).
Статистическое профилирование каждого устройства обеспечивает возможность быстрого обнаружения в изменении поведения.
Автоматическое оповещение уведомляет в случае обнаружения аномальной активности, такой как увеличение типов событий, соединений или резкие изменения поведения клиента или сервера.
Корреляция IDS уведомляет пользователей о том, что через уязвимость проходит активная атака, повышая осведомленность пользователей об опасной ситуации.
Также настраиваемое обнаружение обеспечивает возможность написать собственные парсеры для событий.
Комплексная система мониторинга Tenable отслеживает взломанные учетные записи и злонамеренные действия пользователя, ведет журналы сетевой активности в реальном времени и анализирует как клиента, так и сервер сети связи, протоколирует изменения из нескольких источников, например между устройствами контроля доступа, файрволами и системой обнаружения вторжений.
Данные журнала собираются и управляются с единой консоли управления SecurityCenter, что упрощает сбор доказательств нарушения, превышения полномочий или утечки данных.
Единая консоль управления SecurityCenter (рис. 2) позволяет:
Tenable Log Correlation Engine сохраняет, формирует и анализирует любой тип ASCII-лога, создаваемого тысячами сетевых устройств и приложений (Oracle HTTP Server; Apache 1.x/2.x; McAfee Web Gateway; Windows; IBM z/OS (via Type80 SMA_RT syslogs); Linux (Red Hat, Fedora, CentOS, SuSE); Mac OS X; McAfee DLP; Cisco IOS; D-Link; Juniper; Enterasys; Symantec; eTrust; Checkpoint (Network Flight Recorder); Cisco IDS/IPS; TopLayer IPS; WebLabyrinth; Microsoft ISA; Honeycomb Technologies; Oracle Audit Logs; POP; proFTP; Citrix; Arbor; Stealthwatch и т.д.).
Возможность балансировки нагрузки и механизм резервирования логов обеспечивают высокий уровень безопасности.
Данные могут храниться на локальных хранилищах системного журнала с максимальным объемом 1, 5 и 10 Тбайт или на выделенных серверах SAN/NAS для обеспечения неограниченного хранения данных.
Клиентская и серверная архитектура позволяет тысячам клиентов Log Correlation Engine работать под управлением единой консоли управления SecurityCenter.
Данные можно быстро найти в режиме реального времени, менять их последовательность, заархивировать или сохранить в сжатом формате.
Система мониторинга Tenable обеспечивает соблюдение внутренних требований организации и свыше 100 требований регуляторов, в том числе и требований СТО БР ИББС, SCADA, FISMA и PCI DSS.
Решение предоставляет автоматизированные рабочие процессы и внешние оценки, а также анализ аномальных тенденций для быстрой реакции на угрозы и конфликты соответствия.
Система мониторинга Tenable устраняет необходимость в ручном режиме решать задачи аудита сетевых событий с помощью автоматической генерации отчетов о соблюдении соответствия и рисках. Панели и отчеты можно использовать как встроенные, так и настраиваемые.
Панели представляют комплексный анализ и визуализацию для проведения аналитики в области безопасности, аудита соответствия требованиям и анализа рисков.
Подводя итоги, можно сказать, что решение Tenable обеспечивает комплексный мониторинг соответствия требованиям к обеспечению ИБ, снижая расходы на администрирование и закупку средств защиты информации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2013