В статье рассказывается о системах класса Security Intelligence, предназначенных для анализа данных о состоянии ИБ на всех трех уровнях управления: оперативном, тактическом и стратегическом. Системы Security Intelligence агрегируют информацию из самых различных систем, анализируют ее и представляют результаты в наглядном и понятном виде.
2. Есть задача – нужно решение
3. Что стоит за термином Security Intelligence?
4. Актуальность использования Security Intelligence
5. Примеры систем класса Security Intelligence
Введение
Прежний подход, во главе которого стояли ограничения и запреты, больше нельзя считать эффективным: стало просто невозможно перекрыть все каналы и предусмотреть все варианты работы с информацией. Сегодня в ИБ фокус смещается в сторону проактивного мониторинга и реагирования на инциденты, корректировки процессов обеспечения ИБ и управления ИБ, контроля соответствия целей ИБ целям бизнеса.
С развитием информационной безопасности изменились и функции ИБ-подразделений. Если раньше они в большей степени решали технические и инженерные задачи, то теперь их руководители выступают в роли менеджеров, которые должны оперативно принимать решения, минимизировать риски, отчитываться перед бизнес-руководством о состоянии ИБ и эффективности работы своего подразделения, отдаче вложений в ИБ.
В связи с этим быстрый доступ к максимально полной информации о состоянии ИБ (как в целом, так и отдельно по уровням) приобретает особое значение. Однако получить данные о работе процессов ИБ, степени защищенности, выявить причины инцидентов ИБ, взаимосвязи происходящих событий, определить узкие места в обеспечении ИБ, оценить организационные мероприятия по ИБ, спланировать корректирующие мероприятия и оценить их эффективность – очень сложная задача без наличия в арсенале руководителей подразделений ИБ специальных аналитических инструментов.
Есть задача – нужно решение
Какое решение мы ищем? Нам необходим инструмент, который в условиях использования в крупных организациях множества всевозможных средств защиты от различных поставщиков, решающих самые разные задачи, и высокой загрузки специалистов ИБ, обеспечит своевременный анализ данных, получаемых от этих систем, и поддержку принятия решений для руководителей подразделений ИБ.
Задача анализа разноплановых данных от большого количества всевозможных источников уже давно вполне успешно решается в бизнесе посредством использования систем класса Business Intelligence (сокращенно BI). Основная цель бизнес-аналитики — предоставить нужную информацию в нужное время и тому человеку, которому она необходима. Не это ли мы ищем для целей мониторинга и аналитики данных в области ИБ? Получается, что можно говорить о необходимости применения решений класса Security Intelligence (по аналогии с BI). Иными словами − технологий, которые могут получать данные от систем обеспечения ИБ и смежных систем (кадровых, ИТ-мониторинга и т.д.), связывать их между собой, представлять данные о работе процессов ИБ для разных категорий пользователей: представителей бизнеса, руководителей подразделений ИБ, специалистов ИБ.
Что стоит за термином Security Intelligence?
Если посмотреть на рынок средств обеспечения ИБ в целом, то понятие Security Intelligence все чаще стало встречаться в названиях новых продуктов. Правда, как правило, оно популярнее в названиях SIEM-систем или дополнительных модулей для SIEM.
Оказалось, что с точки зрения производителей SIEM-систем Security Intelligence – это сбор и анализ данных от различных приложений и устройств, которые влияют на информационную безопасность и связанные с ней рисками на предприятии. Например, такой позиции придерживается корпорация IBM (поглотившая в 2011 году Q1 Labs, производителя SIEM-систем). Аналогичного подхода придерживается компания HP. Корпорация Symantec (еще один производитель SIEM-систем), в свою очередь, предлагает DeepSight Security Intelligence, предназначенный для раннего оповещения клиентов о новых угрозах и уязвимостях.
Есть попытки связать термины Security Intelligence и Big Data. В этом контексте стоит упомянуть специальную систему IBM Security Intelligence with Big Data, которая может анализировать терабайты самых разных электронных сообщений, финансовых счетов и web-трафика. Ее цель − определить угрозы для систем безопасности и потенциальные возможности мошенничества. То есть она предназначена для совсем других задач, не имеющих отношения к анализу эффективности ИБ, метрикам и обработке отчетности.
В продолжение линии толкования термина Security Intelligence, предложенной производителями SIEM-систем, под этим термином стали понимать часть услуг по аутсорсингу информационной безопасности (Security Operation Center), когда данные от различных систем защиты на стороне клиента обрабатываются и анализируются сторонними специалистами. Цель в данном случае схожа с теми, которые преследуют SIEM-системы, − оперативный анализ информации с точки зрения определения угроз и минимизации рисков.
Однако, на наш взгляд, производители SIEM-систем, использующие сочетание Security Intelligence в названиях своих решений, упускают из виду тот факт, что SIEM-системы дают важную, но все-таки низкоуровневую информацию о работе ИБ. SIEM − инструмент аналитиков, а не руководителей ИБ и уж тем более - не представителей бизнеса. Мы же, говоря об аналогии между терминами Business Intelligence и Security Intelligence, подразумеваем, что пользоваться Security Intelligence могут совершенно разные категории пользователей – от бизнес-уровня до технических специалистов. Система Security Intelligence, используя один и тот же набор данных от имеющихся средств обеспечения ИБ и смежных систем, должна предоставлять ответы на такие вопросы, как:
- Как изменился уровень защищенности компании за последнее время?
- Как проведенные мероприятия повлияли на уровень ИБ, была ли отдача?
- Как инциденты на объектах инфраструктуры влияют на критичные бизнес-системы или бизнес-процессы в целом?
- Как проходят проекты по ИБ, соответствуют ли их результаты ожиданиям?
- Что происходит в филиалах и доп. офисах?
- Сильно ли ИБ мешает бизнесу?
- Как продемонстрировать бизнес-руководителю результаты работы подразделения ИБ в понятных ему терминах?
Таким образом, система Security Intelligence предназначена для обеспечения возможности перехода между одними и теми же данными, агрегированными разными образом. Для представителей бизнеса, например, это будут высокоуровневые KPI, а для специалистов ИБ – конкретные события, уязвимости или недостатки в процессах, которые сказываются на значениях KPI. И если этот подход реализован, то на выходе получается аналитическая система, позволяющая проводить анализ данных о состоянии ИБ на всех трех уровнях управления: оперативном, тактическом и стратегическом.
С нашей точки зрения система Security Intelligence в первую очередь должна гарантировать достижение следующих целей:
- упрощение диалога с бизнесом и анализ текущего положения ИБ в компании;
- помощь при определении соответствия результатов деятельности ИБ бизнес-целям компании;
- помощь в прогнозировании развития компании с точки зрения ИБ;
- контроль эффективности работы подразделения ИБ посредством метрик эффективности;
- повышение эффективности подразделений ИБ за счет своевременного выявления отклонений в работе процессов ИБ;
- экономия ресурсов подразделения ИБ на анализ разрозненной информации и составление отчетов для высшего руководства компании.
Для достижения перечисленных целей основными задачами систем класса Security Intelligence должны являться:
- Оценка результативности и эффективности процессов ИБ. Системы класса Security Intelligence должны позволять проводить автоматическую оценку показателей результативности и эффективности процессов ИБ на основе данных, собираемых непосредственно из систем обеспечения ИБ, отслеживать динамику их изменения. Помимо этого, системы должны предоставлять все данные, которые лежат в основе расчета показателей эффективности и результативности процессов ИБ, для того, чтобы иметь возможность анализировать причины отклонений от целевых значений и предпринимать своевременные корректирующие мероприятия. Также необходимо наличие возможностей для составления различных иерархий показателей (от технических, основанных на данных от конкретных процессов, до высокоуровневых – интересных и понятных для представителей бизнеса).
- Централизованная разноуровневая аналитика деятельности по ИБ для пользователей различного уровня. SI-системы должны позволять собирать данные от имеющихся систем обеспечения ИБ (в том числе, в условиях территориально распределенных структур), связывать их между собой по общим параметрам, интерпретировать и представлять с учетом уровней возможных пользователей. За счет этого, к примеру, ИБ получает возможность предоставлять информацию в соответствии с требованиями руководства предприятия: агрегированные данные, их привязку к бизнес-процессам, монетизацию отдачи от ИБ и контроль высокоуровневых метрик (а не технические детали об инцидентах, обнаруженных аномалиях и другая низкоуровневую информацию).
- Обеспечение связи технических данных по ИБ об объектах инфраструктуры с данными о бизнес-процессах. Системы уровня Security Intelligence должны позволять «привязывать» данные по ИБ об объектах инфраструктуры к соответствующим бизнес-системам и бизнес-процессам. Благодаря такой привязке можно проводить оценку того, как те или иные инциденты или уязвимости могут повлиять на конкретные бизнес-процессы. А в результате − анализ данных об ИБ «разворачивается» от техники в сторону бизнеса.
Актуальность использования Security Intelligence
Так для каких же компаний использование Security Intelligence является наиболее актуальным? Может показаться, что SI-системы должны использоваться только в компаниях с высоким уровнем зрелости ИБ. Безусловно, в этом случае тема использования SI-систем весьма актуальна, так как для таких компаний характерно использование большого числа систем обеспечения ИБ, наличие формализованных процессов ИБ, имеющих закрепленные параметры функционирования.
Однако, по нашему мнению, использование систем Security Intelligence может быть достаточно эффективным и в рамках компаний с развивающейся функцией ИБ. В этом случае использование подобных решений может позволить не только проводить сложную аналитику данных по процессам обеспечения ИБ и облегчить диалог с бизнесом, но и гораздо быстрее выявлять проблемы в процессах обеспечения ИБ, некорректные использование и настройки систем обеспечения ИБ. А главное − помочь выстроить зрелые и эффективные процессы информационной безопасности в целом.
Примеры систем класса Security Intelligence
Специализированные аналитические системы класса Security Intelligence только начинают появляться на рынке. И что приятно, весьма заметное место в их строю занимают российские разработки. В качестве примеров представителей класса можно рассматривать:
- Систему аналитики и мониторинга эффективности ИБ Jet inView Security, разработанную компанией «Инфосистемы Джет». Jet inView Security обеспечивает разноуровневый мониторинг и анализ ИБ в рамках интерфейса одной системы, позволяет собирать данные из имеющихся систем безопасности, и других источников данных (ERP, кадровые системы и т.д.), связывать и интерпретировать их необходимым образом. Например, Jet inView Security, эффективно аккумулирует данные из систем SIEM и DLP, анализа защищенности и защиты от утечек информации, защиты баз данных, антивирусов и т.д., а также имеет коннекторы к ведущим решениям рынка ИБ. Пользователь Jet inView Security может спускаться от высокоуровневой аналитики к данным более низкого уровня, не выходя из одной системы (вплоть до перехода в консоли систем-источников). В результате появляется возможность в максимально наглядной форме, в рамках «единого окна», видеть текущее состояние дел в части безопасности с желаемым уровнем детализации.
- Система мониторинга и управления безопасностью Security Vision от компании «АйТи». Security Vision объединяет задачи сбора событий информационной безопасности и автоматизации процессов ИБ. Security Vision делится на три функциональных уровня:
- уровень управления, предназначенный для автоматизации процесса управления ИБ и представляющий собой «Портал отчетности»;
- уровень ядра, задача которого сбор, анализ и корреляция событий безопасности, поступающих от систем обеспечения безопасности сети;
- уровень сбора, обеспечиваемый агентами сбора и предназначенный для сбора, нормализации и отправки на уровень ядра событий безопасности, поступающих от информационных систем и систем защиты.
- Система аналитики Tripwire VIA Data Mart от компании Tripwire. Tripwire VIA Data Mart − решение по визуализации и формированию отчетности на основе данных от Tripwire Enterprise и других средств безопасности. Этот продукт позволяет агрегировать информацию таким образом, чтобы перевести данные о безопасности на бизнес-уровень. Привязка данных о состоянии и процессах безопасности к целям и потребностям бизнеса и оценка ИТ-активов с точки зрения бизнеса позволяют руководителям ИБ-подразделений использовать Tripwire VIA Data Mart для демонстрации результатов деятельности подразделений и вклада от работы контролей безопасности.
Выводы
Аналитические системы класса Security Intelligence − это новый виток развития информационной безопасности. Они представляют данные о состоянии ИБ в новом свете и дают возможность анализировать эффективность процессов ИБ, их связи и влияния на бизнес, делают безопасность понятнее и прозрачнее для более широкого круга заинтересованных сторон.
Само понятие Security Intelligence только начинает входить в обиход и каждый производитиель вносит свой собственный вклад в его формирование. Как известно, именно спрос рождает предложение, и то, как изменяются функции и задачи подразделений ИБ, их взаимодействие с бизнесом, подтверждает, что спрос на решения класса Security Intelligence будет расти. А в ответ на существующую потребность в ближайшие годы будет серьезно развиваться и рынок.
