Мониторинг безопасности – неотъемлемая составляющая защиты активов

Яков Гродзенский
Директор по развитию компании
Tenable в России, к.т.н.

Архитектура системы

На сегодняшний день архитектура системы мониторинга ИБ Tenable объединяет четыре модуля:

• Nessus;
• SecurityCenter;
• Passive Vulnerability Scanner (PVS);
• Log Correlation Engine (LCE).

Модульная архитектура позволяет поэтапное и пилотное внедрение компонентов системы мониторинга безопасности (рис. 1).

Выявление активов в режиме реального времени

Благодаря сочетанию активного и пассивного сканирования с системой управления событиями (SIEM), система мониторинга Tenable обеспечивает полноценный обзор всей IТ-структуры организации в режиме реального времени, в том числе и мобильных устройств (iOS, Android или Windows).

Система мониторинга Tenable мгновенно определяет хосты, которые подключаются к сети, не дожидаясь планового сканирования; идентифицирует мобильные устройства и виртуальные системы, в том числе версии патчей, устаревшие приложения и т.д.; определяет устройства, которые не поддерживают агентов и проверяет их на наличие уязвимостей; обнаруживает активы в сетях с ограниченной или сложной сегментацией.

Обнаружение атак

Система мониторинга Tenable автоматически определяет сложносоставные атаки в реальном времени с помощью нормализации и корреляции уязвимостей, данных об угрозах, обнаружения вредоносных процессов и аномальных событий.

Автоматизированное профилирование событий и анализ журнала источников по статистическому принципу и принципу "впервые увидел" позволяет определить изменения в режиме реального времени и моментально идентифицировать аномальную деятельность во всей сети.

Также система выявляет аномалии с использованием статистического анализа – включает в себя обнаружение изменений по параметрам и требованиям организации. Система анализирует сервисы (DHCP, DNS и др.), сетевое оборудование (FW и другие устройства), аномальные подключения, приложения, процессы и аномалии системы. Выявляет последствия аномальных событий во всей архитектуре.

Отчетность и оповещение в режиме реального времени

Стандартные или создаваемые пользователем отчеты и информационные панели в единой консоли управления SecurityCenter обеспечивают совокупный обзор в разные промежутки времени, позволяя убедиться в том, что соответствия контролируются непрерывно 24x7, а не только на момент проведения аудита.

Расширенные панели, графики, отражающие тенденции, и отчеты о соответствии требованиям отображают информацию о соответствующих угрозах и нарушениях соответствия, которые сохраняются и не могут быть удалены до планового аудита.

Также система мониторинга Tenable отслеживает уязвимости в режиме реального времени, уведомляет о пробелах в администрировании и следит за последствиями на каждом уровне с необходимой детализацией.

Также автоматизирует трендинг устройств, конфигураций с подробными доказательствами соблюдения соответствий в форме графических отчетов. Система обеспечивает более 100 предварительно сконфигурированных отчетов соответствия, позволяющих легко отслеживать (CIS, PCI DSS, FDCC, SCAP, Cyberscope, DISA STIG, HIPAA, и т.д.).

Статистическое профилирование каждого устройства обеспечивает возможность быстрого обнаружения в изменении поведения.

Автоматическое оповещение уведомляет в случае обнаружения аномальной активности, такой как увеличение типов событий, соединений или резкие изменения поведения клиента или сервера.

Корреляция IDS уведомляет пользователей о том, что через уязвимость проходит активная атака, повышая осведомленность пользователей об опасной ситуации.

Также настраиваемое обнаружение обеспечивает возможность написать собственные парсеры для событий.

Мониторинг действий пользователей

Комплексная система мониторинга Tenable отслеживает взломанные учетные записи и злонамеренные действия пользователя, ведет журналы сетевой активности в реальном времени и анализирует как клиента, так и сервер сети связи, протоколирует изменения из нескольких источников, например между устройствами контроля доступа, файрволами и системой обнаружения вторжений.

Данные журнала собираются и управляются с единой консоли управления SecurityCenter, что упрощает сбор доказательств нарушения, превышения полномочий или утечки данных.

Единая консоль управления

Единая консоль управления SecurityCenter (рис. 2) позволяет:

• осуществлять непрерывный мониторинг защиты и целостности IТ-структуры;
• контролировать соответствие требованиям в режиме реального времени;
• хранить, собирать и осуществлять поиск аномалий и журналов событий, полученных более чем с тысячи сетевых устройств и приложений;
• организовать ролевую модель доступа к системе;
• генерировать "гибкие" отчеты с использованием диаграмм, графиков, схем и т.д.
• хранить информацию в архиве.

Широкая поддержка разных типов устройств

Tenable Log Correlation Engine сохраняет, формирует и анализирует любой тип ASCII-лога, создаваемого тысячами сетевых устройств и приложений (Oracle HTTP Server; Apache 1.x/2.x; McAfee Web Gateway; Windows; IBM z/OS (via Type80 SMA_RT syslogs); Linux (Red Hat, Fedora, CentOS, SuSE); Mac OS X; McAfee DLP; Cisco IOS; D-Link; Juniper; Enterasys; Symantec; eTrust; Checkpoint (Network Flight Recorder); Cisco IDS/IPS; TopLayer IPS; WebLabyrinth; Microsoft ISA; Honeycomb Technologies; Oracle Audit Logs; POP; proFTP; Citrix; Arbor; Stealthwatch и т.д.).

Гибкое и масштабируемое развертывание

Возможность балансировки нагрузки и механизм резервирования логов обеспечивают высокий уровень безопасности.

Данные могут храниться на локальных хранилищах системного журнала с максимальным объемом 1, 5 и 10 Тбайт или на выделенных серверах SAN/NAS для обеспечения неограниченного хранения данных.

Клиентская и серверная архитектура позволяет тысячам клиентов Log Correlation Engine работать под управлением единой консоли управления SecurityCenter.

Данные можно быстро найти в режиме реального времени, менять их последовательность, заархивировать или сохранить в сжатом формате.

Соответствие требованиям регуляторов

В 2013 году решение Tenable получило награду SC Magazine Excellence Award за лучшее корпоративное решение для безопасности.

Система мониторинга Tenable обеспечивает соблюдение внутренних требований организации и свыше 100 требований регуляторов, в том числе и требований СТО БР ИББС, SCADA, FISMA и PCI DSS.

Решение предоставляет автоматизированные рабочие процессы и внешние оценки, а также анализ аномальных тенденций для быстрой реакции на угрозы и конфликты соответствия.

Система мониторинга Tenable устраняет необходимость в ручном режиме решать задачи аудита сетевых событий с помощью автоматической генерации отчетов о соблюдении соответствия и рисках. Панели и отчеты можно использовать как встроенные, так и настраиваемые.

Панели представляют комплексный анализ и визуализацию для проведения аналитики в области безопасности, аудита соответствия требованиям и анализа рисков.

Подводя итоги, можно сказать, что решение Tenable обеспечивает комплексный мониторинг соответствия требованиям к обеспечению ИБ, снижая расходы на администрирование и закупку средств защиты информации.

TENABLE NETWORK SECURITY
115230 Москва,
Варшавское ш., 46
Тел.: (499) 678-2093
E-mail: info@tenable.ru
www.tenable.ru