Wykrywanie i badanie zaawansowanych zagrożeń

Wykrywanie i badanie zaawansowanych zagrożeń

Wykrywanie i badanie zaawansowanych zagrożeń.
PRZEGLĄD
KLUCZOWE
INFORMACJE
Nowa platforma RSA Security
Analytics przeznaczona do:
ZAAWANSOWANE ZAGROŻENIA BEZPIECZEŃSTWA
WYMAGAJĄ SKUTECZNIEJSZEGO MONITOROWANIA
Aby działać sprawniej, zespoły ds. zabezpieczeń muszą skuteczniej wykrywać zagrożenia i prowadzić
znacznie szybsze badanie bezpieczeństwa. Zespoły ds. zabezpieczeń potrzebują systemu, który
•
Monitorowania bezpieczeństwa
•
Badania incydentów
liczby źródeł, oraz pozwala nimi zarządzać. Tylko w ten sposób można eliminować najbardziej palące
•
Raportowania zgodności
z przepisami
zagrożenia dla bezpieczeństwa firmy w najkrótszym możliwym czasie. Zespoły ds. zabezpieczeń
umożliwia gromadzenie wielkich ilości danych dotyczących bezpieczeństwa, pochodzących z większej
muszą ponadto dysponować zautomatyzowanym dostępem do najświeższych informacji z dziedziny
Analiza bezpieczeństwa dużych
łamania zabezpieczeń, obejmujących najnowsze narzędzia, techniki i procedury stosowane przez
zasobów danych
atakujących. Informacje te powinny być możliwe do natychmiastowego wykorzystania dzięki
Obejmujący całe przedsiębiorstwo
automatycznemu dostarczaniu bezpośrednio do systemu. Wszystko to powinno być dostępne
mechanizm gromadzenia danych
w ramach jednego zintegrowanego systemu zabezpieczeń, a nie w kilku osobnych narzędziach.
dotyczących ruchu sieciowego i zdarzeń
Kiedy zawodzi prewencja, pozostaje jedynie szybkie wykrywanie i naprawa.
zarejestrowanych w dziennikach został
scalony z funkcjami zautomatyzowanego
rozpoznawania zagrożeń i wyposażony
w interfejs analityczny o bogatej
funkcjonalności, umożliwiający szybkie
wykrywanie i badanie zagrożeń
PEŁNA INFORMACJA UŁATWIA WYKRYWANIE
Platforma RSA Security Analytics jest rozwiązaniem z zakresu bezpieczeństwa, ułatwiającym
analitykom ds. zabezpieczeń wykrywanie i badanie zagrożeń, które są często nieuchwytne
dla innych narzędzi. Połączenie możliwości gromadzenia dużych zasobów danych dotyczących
bezpieczeństwa, zarządzania nimi i ich analizowania z dostępem do pełnych informacji na temat
sieci i zawartości dzienników oraz zautomatyzowanym rozpoznawaniem zagrożeń powoduje, że
analitycy ds. zabezpieczeń mają większe możliwości wykrywania, badania i rozumienia zagrożeń,
które w przeszłości często były trudne do uchwycenia. W końcowym rozrachunku łatwiejszy dostęp
do informacji i większa szybkość ich przetwarzania prowadzą do skrócenia czasu, jakim dysponują
atakujący w środowisku informatycznym zaatakowanej organizacji, z tygodni do godzin, co
znakomicie ogranicza wpływ ataku na prowadzenie działalności.
ARKUSZ DANYCH
Platforma RSA Security Analytics jest rozwiązaniem firmy RSA, w którym zastosowano sprawdzoną
technologię platformy RSA NetWitness integrującej monitorowanie bezpieczeństwa sieci oraz
scentralizowane zarządzanie informacjami i zdarzeniami związanymi z bezpieczeństwem (Security
Information and Event Management — SIEM). Rozwiązania w zakresie bezpieczeństwa działające
na styku z internetem lub funkcjonujące w oparciu o sygnatury z trudnością nadążają za współczesnymi zagrożeniami, a w szczególności za ukierunkowanymi atakami. Tymczasem system
RSA Security Analytics ułatwia analitykom wykrywanie „interesujących” bądź „nieprawidłowych”
zachowań nawet bez posiadania wcześniejszej wiedzy o konkretnych narzędziach lub technikach
stosowanych przez atakujących.
Podejście firmy RSA do zapewnienia bezpieczeństwa przypomina usuwanie „siana” (skutki prawidłowych działań), dopóki nie pozostaną same „igły” (prawdopodobne objawy ataku). Jest to rozwiązanie zupełnie inne od podejścia tradycyjnego, polegającego na szukaniu igły w gigantycznym stogu
siana. Ponadto platforma RSA Security Analytics ułatwia analitykom szybkie zrozumienie znaczenia
alertów oraz przyczyn nietypowych działań przez skorelowanie ich z informacjami o sieci i danymi
zawartymi w dziennikach, jak również z najświeższymi informacjami z dziedziny łamania zabezpieczeń.
Oparty na przeglądarce internetowej interfejs systemu RSA Security Analytics w sposób niezwykle
przejrzysty łączy analizę bezpieczeństwa, obejmującą wykrywanie, badanie i raportowanie,
z administrowaniem zawartością i systemem. Analitycy ds. zabezpieczeń uzyskują dzięki temu
bezpośredni wgląd w stan zabezpieczeń całej firmy. Znacząco zwiększa to wydajność i skuteczność
analityków, gdyż zwalnia ich z konieczności korzystania w pracy z wielu odrębnych narzędzi. Mówiąc
w skrócie, platforma RSA Security Analytics wychodzi z tradycyjnego narzędzia SIEM, działającego
w oparciu o dzienniki, przekształca je i przystosowuje do walki ze współczesnymi zagrożeniami.
BOGATE MOŻLIWOŚCI ANALIZY
System RSA Security Analytics umożliwia kompleksowe monitorowanie bezpieczeństwa, badanie
zdarzeń, długoterminowe archiwizowanie i analizowanie informacji, analizowanie złośliwego
oprogramowania oraz raportowanie zgodności z przepisami przy użyciu jednolitego interfejsu
opartego na przeglądarce internetowej. Zwiększa on skuteczność oraz wydajność analityków
ds. zabezpieczeń, także tych pracujących w centrach działań związanych z bezpieczeństwem,
w ich pracy na rzecz zabezpieczenia zasobów cyfrowych i systemów informatycznych organizacji.
MONITOROWANIE I ANALIZA
•
Pojedyncza platforma umożliwiająca przechwytywanie i analizowanie dużych ilości informacji
z sieci, informacji zawartych w dziennikach oraz innych danych.
•
Automatyczne wysyłanie alertów dotyczących podejrzanych zachowań dzięki zastosowaniu
analizy i wykorzystaniu zewnętrznych źródeł informacji o zagrożeniach (dostarczanych za
pośrednictwem usługi RSA Live), scalonych z danymi dotyczącymi zabezpieczeń, które zostały
zgromadzone przy użyciu narzędzi wewnętrznych.
•
Usługa RSA Live udostępniająca: raporty dotyczące bezpieczeństwa, informacje o zagrożeniach
gromadzone przez społeczność open source, raporty dotyczące hostów „stanowisk dowodzenia”
(Command & Control — C2), informacje o pakietach typu „exploit kit”, czarne listy, domeny
oznaczone jako APT, podejrzane serwery proxy i inne informacje.
•
Stosowanie kontekstu biznesowego podczas badań nad bezpieczeństwem w celu lepszego
ustalania priorytetów pracy analityków.
BADANIE incydentów
•
Przyspieszenie badań analityków nad bezpieczeństwem poprzez umożliwienie wszechstronnej
analizy terabajtów metadanych, danych zawartych w dziennikach oraz odtworzonych sesji
sieciowych za pomocą kilku kliknięć myszką
•
Zastosowanie najbardziej kompleksowego i przejrzystego analitycznego środowiska roboczego
w branży
•
Wykorzystanie wyników badań prowadzonych przez inne firmy oraz przez zespół RSA
FirstWatch®, skupiający najwyższej klasy specjalistów firmy RSA w dziedzinie badania
i wykrywania globalnych zagrożeń
DŁUGOOKRESOWE PRZECHOWYWANIE DANYCH
•
Architektura przetwarzania rozproszonego umożliwiająca długoterminowe archiwizowanie
i analizę danych dotyczących zabezpieczeń oraz zapewniająca wysoką wydajność i skalowalność.
•
Liniowa skalowalność dzięki możliwości dodawania węzłów obliczeniowych o wysokiej wydajności
lub dużej pojemności.
•
Możliwość raportowania zgodności z przepisami i wyników analizy, a także generowania alertów
za pomocą infrastruktury zarządzania danymi, obejmującej zarówno analizę składniową
danych, jak i wyszukiwanie pełnotekstowe.
•
Otwarty interfejs pozwalający na programowy dostęp do danych, ich transformacje oraz analizę.
RAPORTOWANIE ZGODNOŚCI Z PRZEPISAMI
•
Wbudowane raporty dotyczące zgodności z przepisami, obejmujące szeroką gamę systemów
regulacyjnych (GLBA, HIPAA, NERC, SOX itp.) oraz wymogów branżowych (PCI, BASEL II, ISO
27002 itp.).
•
Automatyzacja raportowania dotyczącego zgodności z przepisami lub nadzoru.
Zespoły ds. zabezpieczeń mogą również korzystać z informacji o kontekście biznesowym
zgromadzonych w ramach programu zapewnienia zgodności z przepisami.
•
Dwukierunkowa integracja z systemem RSA Archer GRC, udostępniającym większe możliwości
raportowania zgodności z przepisami. System RSA Security Analytics dostarcza danych
i raportów na potrzeby raportów kontrolnych dotyczących zgodności z przepisami oraz pobiera
informacje o kontekście biznesowym, obejmujące wartość i przeznaczenie poszczególnych
systemów oraz zasobów informatycznych.
ANALIZA ZŁOŚLIWEGO OPROGRAMOWANIA
•
Połączenie czterech odrębnych technik badania złośliwego oprogramowania, takich jak analiza
w izolowanym środowisku, ocena na podstawie informacji pochodzących od społeczności,
analiza zawartości pliku oraz analiza zachowania w sieci, w celu ułatwienia stwierdzenia, czy
dany plik zawiera kod zawierający złośliwe oprogramowanie, czy nie.
•
Identyfikowanie zawartości kodu wykonywalnego niezależnie od miejsca, w którym występuje,
udzielanie odpowiedzi na pytania dotyczące zachowania plików, na podstawie miejsca
znalezienia złośliwego oprogramowania i sposobu, w jaki przeniknęło ono do środowiska
informatycznego.
•
Uwzględnianie sygnatur antywirusowych jedynie jako jednego z wielu czynników podczas
określania charakteru potencjalnego złośliwego oprogramowania.
Ujednolicony panel działający W OPARCIU O PRZEGLĄDARKĘ
INTERNETOWĄ
•
Oparty na języku HTML5 interfejs użytkownika pozwalający na dostosowywanie narzędzi
wykorzystywanych podczas analizy i monitorowania.
•
Większa wydajność analityków dzięki zastosowaniu pojedynczego zintegrowanego i konfigurowalnego interfejsu na potrzeby monitorowania, wykrywania, badania oraz administrowania.
•
Konfigurowalne widoki, których możliwości są zależne od ról pełnionych przez poszczególnych
analityków ds. zabezpieczeń.
INFRASTRUKTURA PLATFORMY ANALIZY
BEZPIECZEŃSTWA DUŻYCH ZASOBÓW DANYCH
GROMADZENIE, ANALIZA I BADANIE DANYCH W CZASIE
RZECZYWISTYM
•
Rozproszona infrastruktura gromadzenia danych służąca do jednoczesnego przechwytywania
informacji zapisywanych w dziennikach i pełnych pakietów sieciowych.
•
Analiza składniowa metadanych oraz zarządzanie nimi umożliwiające łączenie informacji
zawartych w dziennikach, informacji pochodzących z sieci oraz innych danych na potrzeby
zautomatyzowanej analizy, raportowania i badań prowadzonych przez analityków.
•
Rozproszone zarządzanie danymi zoptymalizowane pod kątem analizy, raportowania i badań
w czasie zbliżonym do rzeczywistego.
DŁUGOTERMINOWE GROMADZENIE, ARCHIWIZOWANIE, BADANIE,
ANALIZOWANIE I RAPORTOWANIE
•
Rozproszona hurtowania danych oraz mechanizm analizy umożliwiające długoterminowe
archiwizowanie, analizę i raportowanie danych dotyczących zabezpieczeń i zgodności
z przepisami, obejmujących dzienniki, metadane dzienników, metadane pakietów sieciowych
i inne wybrane treści.
•
Najlepsze w branży mechanizmy kompresji danych pozwalające na maksymalizację pojemności
archiwów.
•
Liniowa skalowalność dzięki możliwości dodawania węzłów hurtowni danych w odpowiedzi na
rosnące potrzeby w zakresie wydajności analizy i objętości danych.
•
Wbudowane mechanizmy odporności na awarie i funkcje wysokiej dostępności właściwe dla
architektury opartej na środowisku Hadoop.
KLUCZOWE ELEMENTY ARCHITEKTURY
Platforma RSA Security Analytics jest rozproszonym i modułowym systemem, który umożliwia
opracowanie bardzo elastycznych architektur wdrożenia, skalowanych odpowiednio do potrzeb
danej organizacji. Kluczowe komponenty architektury:
•
DEKODER (Decoder)— przechwytuje, analizuje i rekonstruuje cały ruch sieciowy w warstwach
2–7 lub dzienniki i dane o zdarzeniach pochodzące z setek urządzeń.
•
KONCENTRATOR (Concentrator) — indeksuje metadane wyodrębnione z danych sieciowych
i zawarte w dziennikach oraz udostępnia je na potrzeby formułowania zapytań dotyczących
całej firmy oraz przeprowadzania analiz w czasie rzeczywistym, jak również ułatwia raportowanie i wydawanie alertów.
•
HURTOWNIA (WareHouse) — oparty na środowisku Hadoop rozproszony system obliczeniowy,
w którym gromadzone są dane dotyczące zabezpieczeń i który umożliwia zarządzanie nimi,
przeprowadzanie długookresowych analiz (miesiące/lata) oraz tworzenie raportów.
Hurtownia może składać się z 3 lub większej liczby węzłów. Jest to zależne od wymagań
organizacji w zakresie analizy, archiwizowania i odporności na awarie.
•
Serwer analityczny/broker (Analytic Server/Broker) — udostępnia serwer internetowy na
potrzeby raportowania, badania, administrowania i innych aspektów interfejsu analizy.
Stanowi pomost między wieloma hurtowniami danych działającymi w czasie rzeczywistym,
umiejscowionymi w różnych parach dekoder/koncentrator w infrastrukturze. Umożliwia również
generowanie raportów dotyczących danych przechowywanych w hurtowni.
•
PAMIĘĆ MASOWA (Capacity) — pamięć masowa w systemie RSA Security Analytics ma architekturę modułową. Obsługiwane są systemy pamięci masowej typu DAC (Direct-Attached
Capacity) oraz SAN (Storage Area Network), które są dobrze dostosowane do krótkoterminowych
potrzeb organizacji, związanych z badaniem danych, oraz długookresowych, związanych
z analizą i przechowywaniem danych.
INFRASTRUKTURA PLATFORMY SECURITY ANALYTICS
SKONTAKTUJ SIĘ
Z NAMI
ELASTYCZNOŚĆ WDRAŻANIA
Platforma RSA Security Analytics charakteryzuje się dużą elastycznością w zakresie wdrażania.
Korzystające z niej rozwiązania mogą działać zarówno w środowisku obejmującym dziesiątki
Aby dowiedzieć się więcej o tym, jak pro-
urządzeń fizycznych, jak i na urządzeniu pojedynczym. Pod względem wydajności i bezpieczeństwa
dukty, usługi i rozwiązania EMC pomagają
można je dostosować do wymagań każdego klienta. Ponadto cały system RSA Security Analytics
w rozwiązywaniu problemów biznesowych
został zoptymalizowany na potrzeby uruchamiania w infrastrukturze zwirtualizowanej.
i informatycznych, skontaktuj się z lokalnym
przedstawicielem lub autoryzowanym
dystrybutorem bądź odwiedź nas na stronie
www.EMC.com/rsa
EMC2, EMC, logo EMC i RSA stanowią zarejestrowane znaki towarowe lub znaki towarowe firmy EMC Corporation
w Stanach Zjednoczonych i innych krajach. VMware są zarejestrowanymi znakami towarowymi lub znakami towarowymi
VMware, Inc. w Stanach Zjednoczonych i innych krajach.
© Copyright 2012 EMC Corporation. Wszelkie prawa zastrzeżone. Wydano w Stanach Zjednoczonych.
Autoryzowany Dystrybutor rozwiązań RSA w Polsce:
Arkusz danych 08/12
Arrow ECS Sp. z o.o.
ul. Stawowa 119, 31-346 Kraków,
Firma EMC zapewnia, że informacje zawarte w tym dokumencie są aktualnie w dniu jego publikacji.
www.arrowecs.pl, tel. +48 12 616 43 00
Zastrzega się prawo do dokonywania zmian bez wcześniejszego powiadomienia.