鋭いオブザーバー

現代の企業のITインフラストラクチャは日々複雑化しています。 多くのシステムは、セキュリティに対する実際の脅威および潜在的な脅威を含む、処理および分析が必要な大量の情報を生成します。 12人または2人の管理者を雇うことができますが、多くのソースからデータを収集して分析し、企業のITインフラストラクチャで起こりうるリスクと脆弱性を報告できるSIEMシステムをインストールする方がはるかに安価で効率的です。 さらに、詐欺、情報盗難、その他の事件に関連するサイバー犯罪の防止にも役立ちます。







Gartnerの分析機関によると、数年間、グローバルなSIEM市場で議論の余地のないリーダーの1人は、Hewlett Packard EnterpriseのArcSightでした。 もともと米国の法執行機関のニーズのために開発されたこの製品は、商業企業による使用が後に許可されました。 ArcSight社は2000年に設立され、2010年にHPに買収されました。HPはArcSightソリューションの開発に従事しており、米国、ヨーロッパ、その他の国の市場で推進しています。 ロシアでは、2007年に登場しました。 それ以来、システムを実装するための約400のプロジェクトが実装され、FSTECは最近、未宣言の機能がないことを保証するNDV 4証明書を提供しました。 つまり、ArcSightは、個人データの保護と国家機密を含まないAISの保護のためのプロジェクトで使用できるようになりました。 情報セキュリティの分野でのイベントの収集、分析、視覚化に関するHPE ArcSightの機能は、ロシアの組織によく知られています。さらに、このソリューションを中心に、システムインテグレーターの広範なパートナーネットワークが長い間形成され、ArcSight実装プロジェクトを正常に実装しています。



HPの後継であるHewlett Packard Enterpriseは、ArcSightの開発を続け、既存のコンポーネントを改善し、新しいコンポーネントを開発しています。 新機能の1つであるArcSight User Behavior Analyticsは、ユーザーの行動の分析に基づいて異常を検出し、ArcSightの基本機能である従来の相関関係を補完します。 従来の相関メカニズムは、異常なユーザーアクションを修正するルールに基づいて機能します。 インシデントが検出されると、IS管理者に通知するか、指定された操作を自動的に実行します：スクリプトの実行、ユーザーのブロックなど。これに加えて、User Behavior Analytics動作メカニズムは、スキームと機能が管理者にまだ知られていないインシデントを報告します。



ユーザー行動分析を開発する際、自己学習の原則がユーザーの日常の行動に使用されました。 将来、通常の動作のプロファイルに適合しないアクティビティは、計算されたリスクのレベルに従って疑わしいものとして記録されます。 この動作の例としては、通常の日に12通以下のメールを送信し、突然100または1000のメッセージを送信したユーザーの通常のアクションの変更があります。 ユーザー行動分析では、ユーザーごとに個々の行動プロファイルが自動的に生成され、ユーザーがそれを超えると、システムは適切な信号を送信します。 このアプローチにより、IS管理者の作業が簡素化され、重要なインシデントやイベントにのみ対応できるようになります。



HPE ArcSightプラットフォームの別の新しいソリューションは、DNS Malware Analyticsです。 DNSトラフィックを分析し、ITインフラストラクチャの完全な可視性を提供します。これにより、攻撃者に悪用される前であってもネットワークの脆弱性を特定できます。 悪意のあるアクティビティを検出する目的でDNSトラフィックを分析するという考えは、4年前にHP Labsの研究部門で始まり、1年半の間、その専門家によって作成されたソリューションはHPでテストされ、攻撃者の制御下にある感染マシンを検索しています。 複雑な異種ネットワークと膨大な数の従業員-HPE ArcSight DNS Malware Analyticsは、このような困難な条件でのフィールドテストに合格しました。



現在、このソリューションはロシアのお客様にご利用いただけます。 その動作の原理は次のとおりです。感染したマシンは、企業ネットワークの外部に何かをダウンロードまたは転送しようとしています。 これらのアクションは否定的な動作のプロファイルをトリガーし、情報セキュリティ管理者は特定のコンピューターに感染した悪意のあるトロイの木馬のタイプなど、何が起こっているかを通知されます。 システムはDNSトラフィックのみを分析するため、任意のネットワークと簡単に統合でき、高価なネットワーク機器を購入する必要はありません。 原則として、従来の保護手段はネットワーク境界（DMZ）を保護しますが、ラップトップで作業する従業員はどこ（自宅、空港、カフェなど）でも作業できるため、すべての感染トラフィックがそれを超えるわけではありません。 。 DNSトラフィックの分析により、このような感染したデバイスから企業ネットワークを特定して保護できます。 最後に、DNSトラフィックを集約するのが簡単です。トラフィックのコピーが特定の場所に集中するようにインフラストラクチャを構成するだけです。 HPEは、DNSトラフィックの感染を示す署名の正しい操作と更新を保証します。



HPE ArcSight開発者は、最新の市場動向と顧客の好みの変化を追跡します。 毎年、米国はArcSightユーザーの世界会議を開催し、そこで新しい機能の実装の要望を議論するとともに、新しいモジュールと機能を発表しています。 このようなユーザー会議は、同じ規則でモスクワで開催されます。 レポートの選択で特に重要なのは、ArcSightの助けを借りて、情報セキュリティの分野で複雑なタスクや重要なタスクを解決することが可能な実装プロジェクトです。



HPE ArcSightの新しいコンポーネントについて説明することに加えて、ソリューションの重要な「柱」を思い出したいと思います。 まず、これがセキュリティデータプラットフォームです。これは、イベントの収集と分類、およびイベントの保存とアーカイブを行う一連の機能です。 この製品には、リモートイベント収集を実行するコネクタとともに、ストレージ、定期的な検索と分析を提供するロガー、およびコネクタを更新し、イベント収集と監視のためのインフラストラクチャ全体をバックアップする無料のManagement Centerが含まれています。 このような機能は、リアルタイムではなく、1週間、1か月などのレポートの形式でISインシデントに関する情報を受信する必要があるお客様に適しています。SecurityData Platformは、処理されたデータの量に関してライセンスされています。 現在、Security Data Platformを構成するコネクタは、イベントメーカーとしてさまざまなメーカーの350を超えるさまざまな情報システムをサポートしていますが、無料のSDKの助けを借りて、顧客やパートナーは任意のシステム用のコネクタを独自に作成できます。 SDPモジュールは本格的な製品であるため、追加の機能を必要としない企業はそれだけを取得します。



ArcSightのもう1つの基本コンポーネントであるEnterprise Security Managerは、情報セキュリティイベントをリアルタイムで監視します。 このコンポーネントは、インシデントへの即時対応が必要な人に必要です。 1秒あたりに処理されるイベントの数に基づいて、Enterprise Security Managerによってライセンスされます。 ライセンスの最小しきい値は、1秒あたり250イベントです。 比較のために、Hewlett Packard Enterpriseは1秒あたり40〜5万のイベントを処理することに注意してください。 ESM内には、事前にプログラムされた署名ではなく、ユーザーまたはアプリケーションの異常な動作と繰り返しのアクティビティの分析に基づいて脅威を検出するThreat Detectorモジュールがあります。 中小企業の代表者向けに、ArcSight ESM Expressの特別版も提供されています。これも完全に独立した製品です。 「大規模な」ESMとは異なりますが、おそらく、たとえばフェールオーバークラスターのサポートなど、いくつかの機能がない場合のみです。



最後に、インタラクティブな脅威ナレッジベースであるArcSight Threat Centralでは、それらを検出および排除する方法に関する情報を共有できます。MarketPlaceには、検出された脅威（セキュリティパッケージ）および追加アプリケーションのルールと兆候が含まれます。 HPE開発者は、会社のパートナーがこのようなセキュリティパッケージの作成と追加のアプリケーションの作成に参加することを望んでいます。



もちろん、情報セキュリティの分野における外部および内部の問題はすべて、主に人的要因によって引き起こされます。 さらに、これは悪意のある行為ではなく、単純な不注意と規則や規制の怠慢である可能性があります。 多くの場合、情報セキュリティ部門の従業員は、緊急事態が発生するまで小さな事件にあまり注意を払っていません。 同時に、HPE ArcSightなどのSIEMソリューションは、一方では状況を制御し続けるのに役立ち、他方では、それらに注意を払わないと悲惨な結果につながる可能性のある潜在的な問題についてタイムリーに通知します。