У сучасному середовищі інформаційних технологій надважливою стає необхідність забезпечити кінцевому замовнику не просто зручність роботи з тим чи іншим обладнанням, не тільки відмовостійкість, а й можливість бачити, наскільки якісно та безпечно працює сервіс.
Виробники корпоративних інформаційних рішень мають два засоби контролю роботи: моніторинг процесів та сервісів і моніторинг безпеки та подій. Перший дає змогу безпосередньо відслідковувати, наскільки забезпечено результат роботи. Однак питання безпеки, на жаль, складно вирішити за допомогою цього засобу. Відповідність стандартам, наприклад, PCI DSS, HIPAA, GDPR неможливо оцінити без другого засобу — моніторингу безпеки та подій. Крім стандартів, підприємство може мати власну політику інформаційної безпеки. Тому відділ кіберзахисту має володіти інструментами для аналізу ситуації, яка наразі є актуальною. Одним із найкращих інструментів для розв’язання цього завдання є ArcSight — продукт компанії Micro Focus.
Micro Focus ArcSight — єдине конкурентне багатофункціональне рішення, що допомагає вирішити практично всі завдання в межах можливостей рішень класу SIEM. Лог, який віддає будь-яка система, є одиницею вимірювання роботи цього продукту. Згідно з інформацією логів можна проводити аналіз ситуації щодо безпеки ІТ. У такому разі вирішальним фактором вибору ArcSight є його модульність.
Є два базові модулі: ArcSight Data Platform, який є рішенням для швидкого пошуку нечастих подій, побудови звітів і дашбордів, та ArcSight Enterprise Security Manager, що створено для знаходження зв’язків між різними подіями згідно з правилами.
Основним недоліком більшості продуктів класу SIEM є недостатнє оцінювання ризиків безпеки. Це можна порівняти з наступним: людині було зроблене щеплення після обстеження, але неможливо оцінити, наскільки вірогідним є ризик усе ж таки захворіти й через який час. Аналогічно складно дійти висновку, чи буде вразливою інформаційна система знову навіть після «лікування» вразливості. Фактично в системах класу SIEM є змога побачити корельовані події.
Але що робити, якщо маєте 2 000 подій на день, які пов’язані тільки з неправильним логіном? Чи можна швидко проаналізувати ці інциденти та визначити тільки дві дійсно важливі події, які мусять пройти шлях розслідування? Чи можна оцінити ризик кожної з цих двох тисяч подій хоча б із вірогідністю 60 %? Напевно, що це завдання не з простих. Навіть більше — якщо займатися упродовж декількох діб безперервно тільки розслідуванням інцидентів, актуальність і швидкість будуть втрачені вже протягом перших годин, хоча б тому, що кожна система працює неоднаково впродовж дня.
Компанія Micro Focus виконала завдання аналізу подій безпеки з погляду ризикової моделі, доповнивши сімейство продуктів ArcSight інноваційним рішенням Interset. Основна перевага цього рішення — наявність майже 450 алгоритмів машинного навчання, які дають змогу не просто проаналізувати події безпеки, а знайти зв’язок між різноманітними інцидентами та побудувати якісно нову модель оцінювання ситуації щодо безпеки ІТ-систем на підприємстві.
Систему, за допомогою якої працюють аналітичні процеси Interset, побудовано на основі штучного інтелекту. У цьому разі машинне навчання має так званий unsupervised вид. Тобто Interset навчається не просто на основі звичайних шаблонів (наприклад, якщо робочий день із 8 до 17, то спроба входу до системи блокується до 8 ранку і з 17 вечора), а вивчаючи поведінку користувача упродовж робочого дня, неробочих годин і відпустки. У такий спосіб Interset може не просто визначити «базову лінію» поведінки, а й оцінити ризики спрацювання тієї чи іншої вразливості або ризики будь-якої дії користувача або сервісу.
На новому об’єднаному порталі компанії Micro Focus можна знайти багато корисної інформації щодо продуктової лінійки, навчальні відео, тестові ліцензії й інші матеріали: www.microfocus.com
Щоб мати повний партнерський доступ і можливість проходити навчання, потрібно отримати статус авторизованого партнера компанії Micro Focus. Окрім авторизації, аби мати конкурентні переваги на ринку, рекомендуємо отримати відповідні спеціалізації, а саме Security Gold Status (скласти два іспити з продажу та два технічні іспити). Складання іспитів відбувається безкоштовно на партнерському порталі Micro Focus (www.microfocus.com) з необмеженою кількістю спроб.
ERC є авторизованим дистриб’ютором Micro Focus і надає бізнес-партнерам повний комплекс послуг на кожному етапі від вивчення, використання до впровадження лінійки продуктів Micro Focus.
Співпрацюючи з нами, можна отримати:
Якщо є запитання щодо програмного забезпечення Micro Focus, звертайтеся на адресу software@erc.ua