IBM: средства мониторинга ИБ и контроль за мобильными устройствами

Ничто не должно стоять на месте, особенно в бизнесе. Если не инвестировать в ИТ-инфраструктуру, не отслеживать ведущие тренды рынка, то выиграть во все более напряженной конкурентной борьбе не удастся.

Ничто не должно стоять на месте, особенно в бизнесе. Если не инвестировать в ИТ-инфраструктуру, не отслеживать ведущие тренды рынка, такие как «Интернет вещей», Blockchain, API (экономика и формирование экосистем), Big Data и, конечно, мобильность, то выиграть во все более напряженной конкурентной борьбе не удастся. Однако все эти технологии подразумевают размывание защитного периметра информационной безопасности компании, чем могут оперативно воспользоваться злоумышленники.

Между тем даже консервативные инфраструктуры подвергаются разрушительным атакам такими нашумевшими зловредами, как WannaCry, Petya, и тысячами менее известных. Поэтому в дополнение к базовым файерволам и антивирусам необходимо использовать средства противодействия угрозам, классифицированным по объектам инфраструктуры, которые могут быть атакованы: учетные записи и устройства пользователей, базы данных, сетевая инфраструктура, приложения.

Отдельное внимание стоит уделять мобильным устройствам, которые большую часть времени находятся вне периметра корпоративной сети и, следовательно, корпоративные данные на них также вне контроля ИБ-служб компании.

Практика показывает, что троянские приложения могут проникать на мобильные устройства, после чего осуществлять SMS-рассылки на платные номера или даже перехватывать подтверждения о платежах в мобильном банке. Такие троянские программы представляют собой набор библиотек, которые собираются злоумышленниками без глубоких знаний в программировании и принципов функционирования ОС или сетевого стека. Таким образом, порог входа для создания боевой троянской программы под конкретного заказчика, способной проникнуть через мобильный телефон, значительно снижается. Сложно спрогнозировать, как быстро такая программа сможет распространиться на другие устройства при условии, что имеется постоянное подключение к Интернету и доступна масса других каналов коммуникации. Еще несколько лет назад подобное казалось фантастикой, а сегодня новость о троянах и вирусах, избирательных в выборе жертв, уже заурядная повседневность.

Для оценки реальной ситуации и оперативного реагирования на ИБ-инциденты необходимо осуществлять сквозной мониторинг по десяткам тысяч устройств, каждое из которых ежесекундно генерирует десятки событий. Понятно, что один офицер безопасности или даже целая их дюжина не в состоянии анализировать столь мощный поток данных, чтобы из миллиардов событий отловить несколько тех, которые укажут на работу вредоносного ПО или нарушения со стороны внутренних пользователей. Такая задача по силам лишь современным средствам мониторинга ИБ, таким как IBM QRadar, способным быстро подключаться к многочисленным источникам и производить фильтрацию или искать логическую связь между различными событиями.

Например, аномальная активность на сетевом порту в сочетании с несколькими попытками авторизации в СУБД может говорить о действиях вредоносного ПО. К сожалению, даже самый продвинутый инструмент не даст гарантированной защиты от ущерба, вызванного умелыми действиями злоумышленников. Это можно сравнить с добропорядочным водителем, который много лет страхует свое транспортное средство, а в результате ДТП выясняется, что страховка не покрывает данный случай. Поэтому при запуске любого проекта по информационной безопасности необходимо четко понимать вероятные векторы атак и какие элементы инфраструктуры могут быть атакованы в первую очередь, а главное – какой ущерб может быть нанесен компании.

Касаясь ущерба, желательно, чтобы его оценка была выражена в деньгах, но и это не обязательно. Так, на предпроектных этапах представителю бизнеса и ИБ-офицеру достаточно договориться о приоритетах инвестирования в условиях ограниченности бюджета. От бизнеса достаточно получить оценку в баллах по следующим вопросам: насколько критичны потеря или компрометация информации данным классом пользователей, а также будет ли это более критично, чем остановка сервера СУБД, который обслуживает основную учетную систему. Такой подход позволит достичь лучшего уровня взаимопонимания и может быть положен в основу комплексной стратегии информационной безопасности. Естественно, данный документ не может быть статичным и требует пересмотра и переоценки на периодической основе.

Серьезным помощником в совещаниях по вопросам ИБ могут служить отчеты, подготовленные в IBM QRadar. Они хладнокровно свидетельствуют о статистике несанкционированных активностей, а также наиболее уязвимых областях периметра защиты корпоративной инфраструктуры.

Другим трудноизмеримым, но немаловажным аспектом является удобство использования информационных систем. Нужно ли говорить, что усиление защиты зачастую осложняет работу пользователей, нанося ущерб их производительности. Данная дилемма особенно актуальна, когда речь заходит о мобильных устройствах сотрудников, которым необходим доступ к корпоративной электронной почте. Высокий уровень удобства, соответствующий их пользовательскому опыту взаимодействия с личными гаджетами на базе iOS или Android, трудно достижим без использования систем класса Mobile Device Management (MDM), ярким представителем которых является ПО IBM MaaS360, характеризуемое чрезвычайной простотой развертывания и интуитивно понятным интерфейсом.

Система IBM MaaS360 построена на основе гибридной парадигмы, сочетающей в себе преимущества облачного развертывания, в том числе простоту и скорость получения обновлений, отказоустойчивость и минимальные затраты на администрирование. Это решение не требует хранения корпоративных данных на сервере провайдера. Его ключевой компонент – Cloud Extender – размещается внутри инфраструктуры компании, обеспечивая интеграцию со службами сертификатов, почтовыми серверами, файловыми системами и контроллером домена. При этом корпоративная электронная почта доставляется напрямую с почтового сервера на мобильный телефон без загрузки в облако. Именно такое сочетание преимуществ делает усиление защиты мобильных устройств более сбалансированным и органично встраивается в повседневные задачи сотрудников, не вызывая отторжения.

Подводя итоги, можно отметить, что успех современной компании неразрывно связан со скоростью адаптации новых информационных технологий. Последние, в свою очередь, тесно сопряжены с новыми видами рисков, требующих понятной и измеримой для бизнеса стратегии ИБ, а также планомерной корректировки тактики противодействия угрозам. Эффективным дополнением организационных методов противодействия угрозам могут стать системы мониторинга и анализа событий – IBM QRadar, а также IBM MaaS360, обеспечивающая контроль за мобильными устройствами, которые, как известно, наиболее уязвимы, поскольку находятся вне периметра сетевой инфраструктуры компании.

21 сентября компания IBM совместно с компанией Пирит проводит семинар по этим технологиям, где будут показаны демо-стенды и есть возможность пообщаться со специалистами напрямую и задать вопросы.

MaaS360

С увеличением парка корпоративных мобильных приложений и сценариев, предполагающих доступ к ресурсам корпоративной сети с мобильных устройств, возрастает важность управления корпоративной мобильностью. Ключевыми аспектами этой задачи и являются:

· управление мобильными устройствами для повышения уровня безопасности, контроля соответствия политикам организации;

· управление мобильными приложениями, их развертыванием и обновлением;

· управление мобильным контентом, предоставление мобильным пользователям безопасного доступа к корпоративным данным.

Система управления мобильными устройствами IBM MaaS360 позволяет из единой консоли централизованно управлять мобильными устройствами на платформах Adroid, iOS и Windows. Возможны назначение политик безопасности группам устройств, контроль сетевых параметров, назначение определенных наборов мобильных приложений и мобильного контента.

IBM MaaS360 обеспечивает интеграцию мобильных устройств с такими корпоративными сервисами, как службы каталога Active Directory, почтовые системы Microsoft Exchange и IBM Lotus Notes, корпоративными порталами Microsoft SharePoint и службами PKI.

IBM: средства мониторинга ИБ и контроль за мобильными устройствами. Рис. 1 — Гибридная архитектура внедрения MaaS360

Рисунок 1: Гибридная архитектура внедрения MaaS360

Система позволяет защитить конфиденциальную информацию на мобильном устройстве, а в случае его кражи либо утери произвести полное или выборочное удаление корпоративных данных. Что немаловажно, IBM MaaS360 может также осуществлять управление затратами на мобильную связь.

К особенностям управления мобильными устройствами можно отнести:

• ограничение использования камеры;

• геопозиционирование;

• слежение за местоположением;

• возможность управления несколькими пользователями;

• добавление в карантин небезопасных устройств.

Программное обеспечение IBM MaaS360 выпускается в следующих редакциях: Essentials, Deluxe, Premier и Enterprise. С помощью этого ПО можно в полной мере осуществлять программы поддержки использования сотрудниками собственных устройств (BYOD), а также обеспечивать безопасный обмен контентом.

Платформа IBM MaaS360 предоставляет ряд преимуществ по сравнению с аналогами, в том числе:

• мгновенное развертывание без необходимости текущего обслуживания;

• гибкие опции встраивания дополнительных объектов и функций для адаптации политик безопасности к специфическим режимам использования.

Кроме того, к особенностям данной программы можно отнести шифрование данных, поддержку мобильного VPN, использование технологии единого входа (SSO) и LDAP.

QRadar

В свете участившихся атак на корпоративные информационные системы своевременное обнаружение угроз становится ключевым фактором формирования стратегии информационной безопасности. Вместе с тем развитие информационных систем существенно усложняет их мониторинг и аудит с точки зрения информационной безопасности. Компаниям необходимо защититься от утечек конфиденциальной информации, сократить риски простоев сервисов и повреждения данных в результате атак.

Система управления событиями информационной безопасности IBM QRadar позволяет проводить централизованный сбор данных с различных компонентов корпоративной сети инфраструктуры и осуществлять корреляции (поиск общих атрибутов, связывание событий в значимые кластеры) для оперативного выявления угроз. Реализованы механизмы real-time-корреляции событий, есть возможность вести поведенческий анализ, осуществляется обогащение данных из других систем, поддерживается корреляция исторических данных.

IBM: средства мониторинга ИБ и контроль за мобильными устройствами. Рис. 2 — 2Получение событий информационной безопасности с различных источников

Рисунок 2: Получение событий информационной безопасности с различных источников

IBM QRadar собирает в реальном времени события с межсетевых экранов, сетевого оборудования, серверов, бизнес-приложений, а также данные о сетевом трафике вплоть до уровня приложений (OSI Layer 7). Система позволяет службе информационной безопасности получить оповещение об атаке, информацию о том, какие ресурсы ей подверглись и что явилось источником атаки, а также критичность атакуемого ресурса.

IBM QRadar имеет большое количество встроенных правил для определения аномальной активности, а также позволяет настраивать собственные правила.

Созданный с помощью IBM QRadar интегрированный командный центр ИБ-мониторинга способен противодействовать самым изощренным и нестандартным атакам, в том числе с участием инсайдеров.

IBM QRadar можно отнести к классу систем SIEM (Security Information and Event Management). В этой аббревиатуре объединяются два термина, обозначающие область применения ПО: SIM (Security information management) – управление информационной безопасностью и SEM (Security event management) – управление событиями безопасности. Понятие SIEM введено аналитиками Gartner Марком Николеттом (Mark Nicolett) и Амритом Вильямсом (Amrit Williams) в 2005 году.

Платформой IBM QRadar поддерживается более 300 стандартных источников событий. Полноценная категоризация определена для большей части основных событий аудита, но довольно часто встречаются и события без категории. Предусмотрена аутентификация пользователей в различных LDAP, имеется встроенный функционал Workflow, поддерживается интеграция со сторонними Workflow-системами. Встроено большое количество предустановленных корреляционных ресурсов, отчетов и графических панелей.

При аналитике данных поддерживаются поиск по событиям и группировка событий. Для визуализации и формировании отчетов доступны 9 типов графического представления. Интерфейс русифицирован. Отчеты могут быть экспортированы в файлы следующих форматов: MS Excel, RTF, PDF, XML, HTML.

Смотреть все статьи по теме "Большие данные (Big data)"

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 14.09.2017

IT-инфраструктура Big Data Информационная безопасность Интернет Вещей (IoT)Блокчейн Мобильные приложения

Предыдущая
Противодействие «атакам на округление» в онлайн-банкинге

Следующая
Информационная безопасность (16.08 – 15.09.2017)

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30