На шаг впереди киберугроз
Корпорация EMC в лице своего подразделения по безопасности RSA представила на российском рынке RSA Security Analytics — программно-аппаратное решение нового поколения.
Как рассказал Александр Чигвинцев, возглавляющий в RSA EMC работу с партнерами в России и СНГ, появление на рынке систем подобного класса вызвано стремительной эволюцией киберугроз. В этих условиях классические SIEM-системы (Security Information and Event Management) уже не в силах им противостоять, они способны лишь предоставлять отчеты об активности установленных приложений и оборудования, уведомлять об уже известных типах инцидентов и выступать в качестве инструментов доказательств для внешнего и внутреннего аудита.
Однако современные угрозы действуют намного тоньше, носят малозаметный и динамический характер, практически не оставляют следов в логах. Наиболее опасные атаки, как правило, разрабатываются в индивидуальном порядке, а потому не известны программам по защите информации. Все чаще компании-жертвы подвергаются целевым долговременным атакам (APT), в которых применяются самые передовые, методы взлома, такие как поддельная цифровая подпись, шифрование кодов заражения, уязвимости нулевого дня, ботнеты, персонализированная социальная инженерия и многое другое. Для управления атаками используются социальные сети. Чтобы противостоять такому настиску, требуются современные средства проактивной защиты, интегрированной с мониторингом и анализом.
Разработчикам необходимо поменять саму парадигму создания инструментов ИБ, в частности свести к минимуму наличие «свободного времени», в течение которого атаки злоумышленников осуществляются без наблюдения со стороны средств ИБ.
В числе новых требований к средствам мониторинга Александр Чигвинцев упомянул и визуализацию (без ограничений всего, что происходит в инфраструктуре), быстрый анализ и расследование потенциальных угроз в режиме, близком к реальному времени, идентификацию целей, угроз и инцидентов, хранение и анализ как оперативных, так и долговременных данных. Система RSA Security Analytics построена на базе архитектуры RSA NetWitness, объединяющей возможности аналитики технологий больших данных, SIEM и сетевого мониторинга в одной платформе.
Говоря о подходах RSA к обеспечению безопасности, Александр Чигвинцев привел аналогию с удалением «сена» (известных позитивных факторов) до тех пор, пока не останутся только «иголки» (вероятные негативные факторы). В этом и заключается ее отличие от традиционных попыток найти «иголку» в «стоге» данных. Таким образом, с помощью RSA Security Analytics можно выполнять комплексный мониторинг безопасности, архивирование и аналитику, в том числе вредоносного ПО, проводить расследование инцидентов, а также создавать отчетность о соответствии с требованиями регуляторов. Для всех этих задач используется унифицированный интерфейс на основе веб-браузера, совместимый со стандартом HTML5. Благодаря интеграции с системами RSA Archer GRC Platform и RSA Data Loss Prevention (DLP) Suite, а также использованию данных, предоставляемых другими решениями, аналитики имеют возможность привлечь бизнес-контекст, чтобы расставить приоритеты и перераспределить ресурсы для борьбы с угрозами, представляющими наибольшую опасность.
Как подчеркнул Александр Чигвинцев, RSA Security Analytics обеспечивает большую гибкость при развертывании, поскольку для архитектуры можно использовать десятки физических устройств или одно физическое устройство на основе особых требований заказчиков к производительности и безопасности. Кроме того, вся эта система оптимизирована для работы в виртуализированной инфраструктуре.
Заказчиками нового решения могут стать ведущие представители банковского и топливно-энергетического сектора. Однако, как отметил Александр Вологдин, директор по развитию бизнеса RSA в России и странах СНГ, RSA Security Analytics может работать и как облачный сервис, доступный даже компании среднего масштаба.