Опыт НТЦ «Вулкан» в реализации проектов, направленных на повышение эффективности процессов ИБ, не ограничивается типовыми внедрениями продуктов ведущих вендоров.
На протяжении нескольких лет нами выработан гибкий подход к созданию систем сбора анализа и обработки событий ИБ и на сегодняшний день мы можем гарантировать своим Заказчикам максимальную эффективность создаваемой системы при минимальном риске потери инвестиций.
Внедрение Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform обеспечивает существенное повышение эффективности процессов системы информационной безопасности и снижение рисков информационной безопасности критически важных корпоративных ресурсов организаций в условиях роста количества и разнообразия угроз для ИТ-инфраструктуры.
Система сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform, разработанная и внедряемая НТЦ «Вулкан», является инструментом поддержки решения таких задач организации, как:
- обеспечение единой точки сбора, хранения и анализа информации о событиях ИБ, генерируемых ИТ-инфраструктурой и средствами защиты информации,
- получение «фактуры» для расследования инцидентов, когда требуется обеспечить глубокую ретроспективу лого» (годы, месяцы),
- оперативное выявление аварийных ситуаций и инцидентов ИБ по данным корреляционного анализа событий,
- автоматизация процессов оценки соответствия требованиям (Compliance),
- внедрение/совершенствование процессов управления ИТ на основе ITSM,
- создание центра оперативного управления ИБ (SOC).
При внедрении Системы сбора, анализа и обработки событий безопасности на платформе IBM QRadar Security Intelligence Platform НТЦ «Вулкан» выполняет:
- Анализ ИТ-инфраструктуры и систем ИБ заказчика, выявление потребностей в их контроле.
- Идентификацию источников событий Системы (средства защиты информации, серверы и рабочие станции, ОС, СУБД, приложения, сетевое и периферийное оборудование и т.п.).
- Селекцию событий для обработки, определение технологии доступа.
- Оценку потока событий.
- Документирование требований к Системе, разработку ТЗ.
- Разработку и ввод в действие процедур управления событиями.
- Развертывание программного обеспечения.
- Подключение источников событий к Системе, в том числе – штатно не поддерживаемых платформой.
- Настройку правил корреляции.
- Разработку и кастомизацию информационных панелей и шаблонов отчетов.
- Тестирование Системы и передачу в эксплуатацию.
Внедрение Системы сбора, анализа и обработки событий безопасности, реализованной на платформе IBM QRadar Security Intelligence Platform позволяет организации:
- Обеспечить централизацию сбора информации и накопления статистики инцидентов.
- Осуществлять мониторинг и анализ вредоносного ПО.
- Заблаговременно выявлять предпосылки к авариям и инцидентам.
- Выявлять внутренние угрозы информационной безопасности.
- Расследовать и оперативно реагировать на инциденты информационной безопасности.
- Контролировать и управлять уязвимостями и рисками ИТ-инфраструктуры.
- Обеспечить автоматизацию процедур оценки соответствия требованиям.
- Реализовать проактивный подход к обеспечению информационной безопасности.
Согласно Gartner, на сегодняшний день IBM QRadar Security Intelligence Platform одна из самых популярных платформ для создания систем класса SIEM. Используется более чем на 1 600 предприятиях различных отраслей по всему миру.
IBM QRadar Security Intelligence Platform обладает рядом существенных преимуществ в своем классе:
- Штатно поддерживает сбор и анализ данных из различных источников.
- Обеспечивает возможность контроля угроз, логов и соответствия политикам в режиме реального времени.
- Содержит средства эффективного управления данными.
- Поддерживает управления угрозами.
- Включает средства для видимости приложений и обнаружения сетевых аномалий.
- Обеспечивает полную видимость виртуальной среды.
- Позволяет профилировать уязвимости на стороне клиента.
- Позволяет управлять соответствием.
- Обладает гибкими возможностями настройки информационных панелей и отчетов.
- Масштабируема и отказоустойчива.
- Позволяет осуществлять интеграцию и поддержку свыше 200 продуктов сторонних производителей – ведущих вендоров решений в сфере ИБ и ИТ.
Возможности IBM QRadar Security Intelligence Platform по обработке событий:
- Отображение и анализ потока сообщений о событиях в режиме, близком к реальному времени.
- Обработка сетевого трафика на Layer4 (транспортный уровень).
- Обработка сетевого трафика на Layer7 (уровень приложений) с использованием технологии DPI (Deep Packet Inspection).
- Выявление и приоритезация угроз на основе постоянно обновляемых встроенных правил, а также возможность создавать собственные правила на всевозможные сценарии атак и несанкционированных действий.
- Работа с атаками, растянутыми во времени, которые легко могут затеряться в «шуме» миллионов событий.
Отличия IBM QRadar Security Intelligence Platform от прочих платформ:
- Простота и скорость развертывания.
- Интуитивно-понятный интерфейс.
- Простота подключения неподдерживаемых источников событий.
- Возможность приоритизации и добавления дополнительной информации об активах, автоматическое обнаружение активов, управление уязвимостями (встроенный и внешние сканеры уязвимости).
- Оптимизация хранения и индексации метаданных (по умолчанию индексируется только необходимый минимум).
- Широкие возможности для масштабирования, в том числе возможность подключения внешнего хранилища любого производителя.
- Возможность исторической корреляции событий (тестирование правил на уже полученных данных).
Основные бизнес-результаты внедрения Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform:
- Оптимизация операционных затрат на ИБ
- Существенное повышение эффективности процессов ИБ
- Минимизация рисков ИБ и связанных рисков, включая риски критически важных корпоративных ресурсов организаций в условиях роста количества и разнообразия угроз для ИТ-инфраструктуры
- Обеспечение соответствия требованиям законодательства и нормативных актов в сфере ИБ