Решение ViPNet по обнаружению и предотвращению компьютерных атак www.infotecs.ru СОСТАВ РЕШЕНИЯ ViPNet TIAS система интеллектуального анализа событий и автоматического выявления инцидентов ViPNet IDS MC централизованная консоль управления компонентами решения ViPNet IDS NS система обнаружения вторжений уровня сети ViPNet IDS HS система обнаружения вторжений уровня узла
8
Embed
Решение ViPNet - InfoTeCSмониторинга Центр мониторинга ЗАО «Перспективный Мониторинг» iet TIAS SYSLOG Межсетевой
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Решение ViPNet по обнаружению и предотвращениюкомпьютерных атак
www.infotecs.ru
СОСТАВ РЕШЕНИЯ
ViPNet TIASсистема интеллектуального анализа событий и автоматического выявления инцидентов ViPNet IDS MCцентрализованная консоль управления компонентами решения
ViPNet IDS NSсистема обнаружения вторжений уровня сети
ViPNet IDS HSсистема обнаружения вторжений уровня узла
• Обеспечение непрерывного процесса мони-торинга угроз информационной безопасно-сти и обнаружения компьютерных атак.
• Выявление угроз в реальном времени с рекомендацией по их оперативному устранению.
• Поддержка процесса проведения расследований по инцидентам и помощь в принятии решения специалистам по информационной безопасности.
• Извлечение полезных уроков из инцидентов и предотвращение их повторения с помощью накопленных знаний об инцидентах.
• Предоставление сводных отчетов по обнаруженным угрозам и инцидентам.
• Передача сведений об инцидентах в ГосСОПКА.
ЗАО «Перспективный мониторинг» входит в группу компаний ИнфоТеКС. Основной деятельностью компании являются
исследования безопасности информационных систем и программных продуктов, мониторинг и предотвращение компьютерных
атак и расследование инцидентов информационной безопасности.
Сокращение среднего времени обнаружения инцидента с 30 до 2 минут по сравнению с ручным анализом событий квалифицированным специалистом.
Снижение затрат на эксплуатацию системы обнаружения вторжений за счёт сокращения нагрузки на персонал, обслуживающий систему, и снижения требований к их квалификации.
Повышение эффективности реагирования на угрозы информационной безопасности благодаря автоматически формируемым рекомендациям и автоматическому сбору связанных с инцидентом событий.
Возможность предоставления дополнительных сервисов, в том числе, углубленного проведения расследования инцидентов информационной безопасности высококвалифицированными аналитиками компании «Перспективный мониторинг».
1
2
3
4
СХЕМА РАЗВЕРТЫВАНИЯ РЕШЕНИЯ
РЕШАЕМЫЕ ЗАДАЧИ ПРЕИМУЩЕСТВА РЕШЕНИЯ
*
*
Сенсоры систем обнаружения вторжений на основе анализа трафика в сети и событий на конечных устройствах регистрируют события информационной безопасности и отправляют информацию о них в ViPNet TIAS.
ViPNet TIAS агрегирует информацию о событиях с сенсоров, нормализует и сохраняет их в БД.
ViPNet TIAS с помощью метаправил и обученной математической модели принятия решений анализирует весь поток входящих событий и выявляет действительно значимые угрозы, с большой долей вероятности являющиеся инцидентами информационной безопасности.
При обнаружении подозрений на инцидент ViPNet TIAS:
• регистрирует данный факт в виде карточки инцидента;
• определяет все связанные с инцидентом события и привязывает их к карточке инцидента;
• оповещает о факте подозрения на инцидент заинтересованных лиц по электронной почте;
• предоставляет инструменты и средства для проведения расследования по инциденту.
Специалист по ИБ расследует выявленные системой инциденты.
Специалист по ИБ принимает решение о подтверждении инцидента или о факте ложного срабатывания.
После подтверждения информация об инциденте передается во внешние системы.
Специалист по ИБ проводит мероприятия по устранению последствий инцидента и предотвращению угроз, связанных с инцидентом, согласно рекомендациям, предоставленным в карточке инцидента.
ОСНОВНОЙ СЦЕНАРИЙ РАБОТЫ РЕШЕНИЯ
1
3
4
2
Оповещение об инцидентах
ViPNet IDS NS
ViPNet IDS NS
. . .
. . .Сервер
ViPNet IDS HS
АгентыViPNet IDS HS
Сервер ViPNet IDS HS
ViPNet TIAS
Заинтересованные лица
АгентыViPNet IDS HS
Веб-интерфейс E-mailВнешние системы
56
7
8
ViPNet IDS NS — это программно-аппаратный комплекс являющийся средством обнаружения сетевых атак и вредоносного ПО в сетевом трафике.
ПАК ViPNet IDS NS устанавливается на границе сети с целью повышения уровня защищенности ИС, ЦОД, серверов и коммуникационного оборудования, АРМ пользователей.
ViPNet IDS NS выполняет следующие основные функции:
ОПИСАНИЕ ФУНКЦИЙ КОМПОНЕНТОВ РЕШЕНИЯ
ViPNet IDS NS
• Выполняет автоматическое обнаружение угроз безопасности на основе динамического анализа сетевого трафика, начиная с канального и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).
• Оповещает администратора о событиях, свидетельствующих о наличии атак, выявленных в результате анализа сетевого трафика, а также об обнаружении вредоносного ПО, передаваемого в сетевом трафике.
• Ведет журнал регистрации обнаруженных угроз безопасности для последующего анализа.
В том числе, отображает географическое местоположение атакующего и атакуемого узлов по их IP-адресу с точностью до страны и города.
• Позволяет устанавливать обновления баз правил и сигнатур вредоносного ПО, предоставляемых производителем.
• Позволяет добавлять собственные пользовательские правила для анализа сетевого трафика.
• Позволяет производить настройку сигнатурных правил обнаружения атак.
ViPNet IDS HS
ViPNet IDS HS — это программный комплекс, который предназначен для обнаружения вторже-ний на узле на основе сигнатурного и эвристиче-ского методов анализа информации.
ViPNet IDS HS используется для повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ViPNet IDS HS позволяет обнаружить сетевые атаки (DoS- и DDoS-атаки, работу троянских про-грамм и другие) и атаки уровня узла (установку и запуск вредоносного программного обеспечения, компрометацию учетных записей пользователей, наличие вредоносных файлов на узле и другие).
ViPNet IDS HS выполняет следующие основные функции:
• Производит автоматическое обнаружение компьютерных атак в сетевом трафике и локальных атак на уровне контролируемого узла.
• Оповещает администратора о событиях, свидетельствующих о наличии атак, выявленных в результате анализа сетевого трафика и поведения контролируемых узлов.
• Отображает список обнаруженных событий в журнале событий и атак ViPNet IDS HS в режиме реального времени.
• Производит поиск событий в соответствии с заданными фильтрами.
• Позволяет администратору производить настройки для обеспечения оптимальной работы ViPNet IDS HS по выявлению атак.
• Обновляет базу решающих правил обнаружения вторжений на узле.
• Настраивает и добавляет правила для анализа поведения контролируемых узлов и сетевого трафика.
• Управление конфигурацией правил обнаружения атак сенсоров.
• Управление политиками обнаружения событий на ViPNet IDS HS.
• Обновление баз решающих правил на сенсорах.
• Обновление базы сигнатур вредоносного ПО.
• Обновление программного обеспечение сенсоров.
• Управление структурой сенсоров.
• Мониторинг работоспособности сенсоров.
ViPNet TIAS — это программно-аппаратный комплекс, предназначенный для анализа событий информационной безопасности, зарегистриро-ванных сенсорами систем обнаружения втор-жений, автоматического выявления инцидентов информационной безопасности на основании потока этих событий и проведения расследова-ний по выявленным инцидентам.
Для выявления инцидентов в ViPNet TIAS используются два метода:
ViPNet IDS MC — это система централи-зованного управления и мониторинга состо-яния сенсоров. Предоставляет возможность управлять всеми компонентами решения.
ViPNet IDS MC выполняет следующие основные функции:
ViPNet TIAS
Метод, основанный на использовании базы правил обнаружения инцидентов (сигнатурный метод анализа).
Метод машинного обучения математической модели принятия решений.
ViPNet IDS MC
ViPNet TIAS выполняет следующие функции:
• Выполняет сбор событий из сенсоров систем обнаружения вторжений.
• Анализирует поступающие события и выявляет инциденты.
• Оповещает заинтересованные лица о событиях и инцидентах через веб-интерфейс и по электронной почте.
• Предоставляет графический интерфейс для анализа при расследовании инцидентов.
• Предоставляет инструменты для самостоятельного анализа событий и выявления угроз информационной безопасности.
• Позволяет передавать информацию об инцидентах во внешние системы.
• Позволяет формировать сводные отчеты по событиям и инцидентам.
ИНЦ.0 Разработка политики реагирования на компьютерные инциденты
Политики реагирования на компьютерные инциденты разрабатываются экспертами компании «Перспективный мониторинг» на основе анализа актуальных данных об угрозах, уязвимостях, инструментов и техник проведения атак. В ViPNet TIAS происходит выявление инцидентов и даются рекомендации по реагированию на них
ИНЦ.1 Выявление компьютерных инцидентов
Реализовано в ViPNet TIAS. Инциденты выявляются авто-матически с помощью правил обнаружения инцидентов и математической модели принятия решений. Инциден-ты однозначно идентифицируются и регистрируются в системе
ИНЦ.2 Информирование о компьютерных инцидентах
Реализовано в ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших инцидентах по e-mail, либо передачей информации об инциденте во внешние системы. Есть возможность настройки инфор-мирования в зависимости от критичности инцидента, его статуса а также контролируемого сегмента
ИНЦ.3 Анализ компьютерных инцидентов ViPNet TIAS позволяет проводить глубокий анализ компьютерных инцидентов с возможностью поиска и фильтрации данных в событиях, связанных с инцидентом, а также предоставляя образцы исходного трафика и опи-сания правил выявления событий безопасности
ИНЦ.4 Устранение последствий компьютерных инцидентов
Карточка инцидента в ViPNet TIAS содержит информа-цию о пострадавших в результате компьютерного инци-дента активах, а также рекомендации по устранению его последствий
ИНЦ. 5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
ViPNet TIAS позволяет создавать сводные отчеты по угро-зам и инцидентам, на основании которых могут планиро-ваться мероприятия, направленные на предотвращение повторного возникновения инцидентов
ИНЦ. 6 Хранение и защита информации о компьютерных инцидентах
ViPNet TIAS обеспечивает хранение информации об ин-цидентах и связанных с инцидентом событиях в течение трех лет. Реализованы все функции защиты информации, предъявляемые к системам обнаружения вторжений
СОВ.0 Разработка политики предотвращения вторжений (компьютерных атак)
Политики предотвращения вторжений разрабатываются компанией «Перспективный мониторинг» и поставляются в решение в виде баз решающих правил для сенсоров и экспертных данных для ViPNet TIAS. В ViPNet IDS NS и ViPNet IDS HS есть возможность создания собственных (пользовательских) правил и политик
СОВ.1 Обнаружение и предотвращение компьютерных атак
Все требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла выполняются ViPNet IDS NS и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ
СОВ.2 Обновление базы решающих правил
Выполняется процедура выпуска и автоматического централизованного обновления БРП для всех компонентов решения с помощью ViPNet IDS MC
VII. ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ (КОМПЬЮТЕРНЫХ АТАК) (СОВ)
XII. РЕАГИРОВАНИЕ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ (ИНЦ)
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДЛЯ ЗНАЧИМОГО ОБЪЕКТА КИИ, реализуемые с помощью решения (Приложение к Требованиям по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденное приказом ФСТЭК России от 25 декабря 2017 г. N 239)
№ ФУНКЦИЯ СПОСОБ РЕАЛИЗАЦИИ
1. Сбор данных о событиях безопасности
ViPNet TIAS собирает события информационной безопасности со всех сенсоров сетевого уровня и уровня узла. В процессе сбора выполняется парсинг (разбор) поступивших записей о событиях и сохранение их в базу данных.
2.Сигнатурный анализ событий
Специалисты компании «Перспективный Мониторинг» непрерывно анализируют новые угрозы ИБ и разрабатывают новые или корректируют существующие пра-вила выявления компьютерных атак, которые издаются и распространяются на все компоненты решения в виде баз решающих правил, сигнатур вредоносного ПО для сенсоров и метаправил выявления инцидентов для TIAS.
3.Корреляционный анализ событий
ViPNet TIAS анализирует поступающие события с целью выявления инцидентов информационной безопасности. События анализируются в соответствии с разрабатываемыми правилами корреляции — закономерностями событий ИБ, приводящих к возникновению инцидента.
4. Автоматическое выявление инцидентов
Решение автоматически выявляет инциденты на основе правил корреляции и алгоритмов математического обучения. Предположение о возникновении инцидента информационной безопасности формируется на основе анализа поступающих событий ИБ. Использование интеллектуальной модели анализа событий, связанных с вредоносным трафиком, автоматизирует принятие решения по событиям в режиме реального времени. Благодаря этому похожая последовательность событий будет идентифицироваться как инцидент даже без написания правил корреляции и загрузки сигнатур вредоносного ПО.
5. Обновление правил выявления инцидентов
ViPNet IDS MC предоставляет возможность автоматического скачивания и распространения на компоненты решения баз решающих правил и метаправил выявления инцидентов
6.Визуализация данных о событиях и инцидентах
Способы визуализации данных в решении — списки, графики и диаграммы, временные шкалы, таблицы. Реализованы функции полноценного поиска по всем атрибутам инцидентов и событий, в т.ч. с использованием регулярных выражений.
7. Приоритезация инцидентов и событий
Всем поступающим событиям присваивается степень критичности, по которой они ранжируются. Инцидентам дополнительно к критичности присваивается рейтинг. Благодаря такому подходу оператор может в первую очередь отреагировать на наиболее важные и критичные инциденты и принять меры противодействия.
8. Оповещение о событиях и инцидентах
Информирование о событиях и инцидентах ИБ осуществляется с помощью отображения соответствующей информации в веб-интерфейсе решения, а также по электронной почте. При необходимости выполняется отправка информации об инциденте во внешние системы в стандартизированных форматах (например, в формате JSON, в формате CEF по syslog).
9.Хранение записей о событиях и инцидентах
Централизованное хранение записей о событиях и инцидентах в TIAS: хранение всех записей о событиях до 45 дней, хранение записей об инцидентах, включая связанные с инцидентом события, до 3 лет.
10. Защита инфор-мации о событиях безопасности
Для доступа к веб-интерфейсу компонентов решения применяется шифрованный протокол HTTPS. Реализованы функции аутентификации, авторизации и ролевого доступа во всех компонентах решения.
Решение ViPNet по обнаружению и предотвращению компьютерных атак позволяет выполнять все необходимые функции для осуществления мониторинга угроз информационной безопасности, а также сбора и анализа событий, требуемых регуляторами от систем подобного класса.
infotecs.ru/f20
ОАО «ИнфоТеКС», 127287, Москва, Старый Петровско-Разумовский проезд, 1/23, стр. 1
+7 495 737-6192, 8 800 250-0-260 (бесплатный звонок по России)
Содержимое документа носит исключительно информационный характер и не яв-ляется публичной офертой. Для получения подробной информации об указанных в документе продуктах и услугах Вы можете обратиться в ОАО «ИнфоТеКС». Все изображения являются лишь иллюстрациями. Все технические характеристики, внешний вид и комплектность описываемой продукции могут меняться без пред-варительного уведомления. Символы ™ или ® в документе не используются, од-нако, если не указано иного, все товарные знаки в данном документе защищены соответствующим правом, которое принадлежит их владельцам.