Услуги безопасности на базе платформы удаленного мониторинга сетей и сетевой безопасности Virtual Security Operations Center и другие аспекты деятельности IBM в области информационной безопасности.

Расширяя свою деятельность в области обеспечения информационной безопасности (ИБ) и борьбы с киберпреступностью, корпорация IBM сделала в 2006 г. очень важный шаг в этом направлении, приобретя компанию Internet Security Systems (ISS). К тому моменту ISS имела уже почти 15-летний опыт работы на этом рынке и была хорошо известна как один из ведущих разработчиков решений в области ИБ, в частности, продуктов для оценки уязвимости систем (Vulnerability Assessment), а также обнаружения и предотвращения атак (Intrusion Detection & Prevention, IDS/IPS). Успешная деятельность ISS во многом определялась эффективной работой ее подразделения X-Force — команды специалистов по информационной безопасности, решавшей две основные задачи:

  • тщательное отслеживание активности хакерских сообществ с целью своевременного обнаружения и анализа новых технических приемов атак или модификаций уже существующих угроз;
  • анализ и проверка популярных программных продуктов, таких как Windows, Linux, SAP или Oracle, на предмет упреждающего обнаружения уязвимостей, которые могут быть использованы хакерами для деструктивных действий.

В результате этого приобретения в рамках корпорации было сформировано отдельное независимое подразделение IBM ISS, которое продолжило свою работу с учетом общей стратегии IBM в сфере безопасности, предлагая комплексные решения и услуги в области ИБ, а также услуги по управлению ИБ (Managed Security Services, MSS).

Нужно сказать, что еще в 1999 г. в ответ на исключительно активный спрос (компании стремились радикально повысить уровень и качество своих решений и одновременно уменьшить показатель совокупной стоимости владения ими) ISS добавила в свой продуктовый портфель комплексный набор услуг по управлению безопасностью. Упрочить позиции в рыночном сегменте услуг безопасности удалось путем приобретения поставщика услуг MSSP (Managed Security Services Provider). Поскольку сервисный пакет данного поставщика услуг был построен главным образом на продуктах сетевой безопасности компании CheckPoint (http://www.checkpoint.com), это приобретение также обогатило ISS знаниями и опытом в области межсетевых экранов, виртуальных частных сетей (VPN), а также дополнительными решениями от компаний Trend Micro и Websense. Совместными усилиями группы X-Force и специалистов приобретенного поставщика услуг MSSP подразделение Internet Security Systems быстро заняло ведущие позиции в сфере управляемых сервисов.

В настоящее время IBM ISS контролирует и управляет примерно 20 тыс. устройств (межсетевых экранов, IDS/IPS для сетей или серверов), развернутых более чем у 2500 клиентов по всему миру. Для предоставления услуг IBM ISS использует восемь географически распределенных, связанных между собой центров обеспечения безопасности (Security Operating Center, SOC), расположенных в Атланте, Детройте, Торонто, Хортоландии, Саутфилде, Токио, Брисбене и Брюсселе. Эти центры, которые ведут непрерывный круглосуточный мониторинг многочисленных устройств обеспечения безопасности, оснащены самым современным оборудованием и сертифицированы на соответствие требованиям основных стандартов безопасности информационных систем, включая Systrust, Safeharbor, SAS70 Type II.

Сертификация по стандарту Systrust была введена совместными усилиями североамериканских и канадских аудиторских фирм с целью квалифицировать поставщиков услуг MSS. Цель сертификации, которая охватывает 300 предметных тем, варьирующихся в зависимости от штата ИТ-сотрудников компаний, — гарантировать, что весь персонал центра SOC достаточно компетентен для выполнения своих обязанностей, начиная от резервного копирования и восстановления данных и заканчивая предотвращением несанкционированного физического проникновения в служебные помещения. Третьи фирмы (IBM ISS проводит их сертификацию через аудиторскую компанию Ernst&Young) тщательно изучают все внутренние политики и процедуры и подвергаются выборочной проверке по значительной части упомянутых выше предметных тем. Если поставщик услуг MSS сдает этот «экзамен», то он получает сертификат Systrust сроком на один год. Аналогичный процесс используется для сертификации на соответствие стандарту SAS70.

Основные варианты планов услуг IBM ISS

IBM Managed Protection Services for networks. Гарантированное в режиме 24х7 обеспечение безопасности, управление, мониторинг и реагирование на инциденты для корпоративных сетей. Объединяет межсетевой экран, средства предотвращения атак, антивирус и антиспам, анализ контента и виртуальные частные сети (VPN) — весь спектр возможностей пакета средств обеспечения безопасности IBM Proventia.

IBM Managed Protection Services for servers. Гарантированное в режиме 24х7 обеспечение безопасности, управление, мониторинг и реагирование на инциденты для критически важных серверов на разных платформах и в среде разных ОС.

IBM Managed Protection Services for desktops. Гарантированное в режиме 24х7 обеспечение безопасности и управление для настольных компьютеров с использованием одного из лучших на рынке межсетевых экранов, средств предотвращения атак, антивирусной защиты, системы превентивной защиты от вирусов (VPS) и технологий защиты от переполнения буфера.

IBM Managed & Monitored Firewall Services. Комплексный, круглосуточный мониторинг, анализ логов работы межсетевых экранов, а также управление ими с целью обнаружения и предотвращения угроз и реагирования на них.

IBM Managed IDS & IPS Services for networks and servers. Круглосуточный мониторинг, анализ событий обнаружения атак и управление ими. Этот пакет услуг предназначен для реагирования на угрозы, расследования инцидентов и восстановления системы в режиме реального времени с целью эффективного снижения рисков и предотвращения простоев сети, вызванных атаками внутри и вне сетевого периметра.

IBM Vulnerability Management Service. Управление и анализ работы серверов, межсетевых экранов, коммутаторов и других устройств в режиме реального времени; комплексные проверки системы безопасности «по требованию», в ходе которых специалисты IBM ISS обнаруживают уязвимости, анализируют их и предоставляют заказчику отчет; общение с экспертами IBM ISS по уязвимостям в реальном времени.

IBM Express Managed Security Services for e-mail security. Разнообразные решения для усиления существующей системы безопасности, которые помогут предотвратить распространение вирусов и спама, а также проверить сообщения электронной почты на предмет нежелательного содержания.

IBM Express Managed Security Services for Web security. Защита компании от Интернет-угроз с помощью круглосуточного сканирования, которое помогает остановить распространение вирусов и шпионских программ до того, как они нарушат безопасность сети. Простой в установке и управлении, этот продукт защищает сеть с помощью лучших технологий борьбы с вирусами и шпионскими программами, а также фильтрации URL-адресов.

Услуги безопасности на базе Virtual SOC

Услуги безопасности на базе платформы удаленного мониторинга сетей и сетевой безопасности Virtual Security Operations Center (Virtual SOC, или V-SOC), можно разделить на две категории.

Первая — это управление безопасностью и мониторинг, включая управление межсетевыми экранами (Checkpoint, Juniper, Cisco, ISS и т. д.), системами IDS/IPS (ISS, Cisco, 3Com/Tipping Point и т. д.), VPN, защитой серверов и рабочих станций. Вторая категория — вспомогательные услуги: управление сканированием и выявлением уязвимостей, анализ событий и логов безопасности, управление почтовым и Web-контентом.

Пользуясь услугами IBM ISS, заказчики получают доступ к информационной защите мирового класса, осуществляемой в рамках установленных правил и условий сервисного контракта и соглашения об уровне обслуживания (Service Level Agreement, SLA), четко прописанных правил и процедур, на основе фиксированной ежемесячной оплаты. Каждый вид услуги определен в документе Service Description (Описание сервиса), в котором в точности оговариваются задачи и функции сервиса. Соглашение об уровне обслуживания SLA дополняет описание сервиса и определяет договорные обязательства IBM ISS, а также штрафные санкции к компании в тех случаях, когда эти обязательства не выполняются. Для большей гибкости предлагаются три разных уровня обслуживания — Standard, Select и Premium.

При формировании своего портфеля услуг обеспечения безопасности IBM ISS использует два разных подхода.

Услуги управления безопасностью (Managed Security Services, MSS) относятся к проблемно-ориентированному виду услуг, в соответствии с чем в описании сервиса указываются все задачи, которые нужно выполнить, а в соглашении SLA перечисляются штрафные санкции, которые будут накладываться на поставщика услуг в случаях невыполнения этих задач в рамках установленных ограничений. Так, IBM ISS проводит настройку и конфигурирование оборудования, мониторинг событий ИБ и оперативное уведомление клиента в случае возникновения опасности. Сервисы MSS не «привязаны» к конкретному производителю оборудования и доступны на различных платформах (IBM ISS Proventia, Cisco, Tipping Point, CheckPoint и т.д.).

Услуги гарантированной защиты от угроз (Managed Protection Services, MPS) превосходят традиционные услуги MSS с точки зрения предоставляемых гарантий. Услуги защиты предусматривают те же самые задачи, однако в MPS-режиме IBM ISS гарантирует абсолютную защиту обслуживаемого сегмента. Сервисный контракт MPS подразумевает более жесткие ограничения для IBM ISS, а также возможность применения штрафных санкций, оговоренных в соглашении об уровне обслуживания, в случае пропуска инцидента информационной безопасности. Вследствие более строгих условий соглашения об уровне обслуживания MPS гарантируется только при использовании для защиты продуктов IBM ISS и требует постоянного применения режима «активной блокировки» (active blocking).

IBM ISS подразделяет процесс развертывания оборудования системы информационной безопасности на пять этапов: инициация, планирование, предварительная настройка (опционально), интеграция, завершение.

Руководствуясь требованиями к внедрению решения, которые оговариваются на этапе продажи, инженер группы Deployment Engineers инициирует процесс развертывания системы безопасности (сенсора) в ходе первого телефонного разговора с клиентом. В процессе разговора налаживается контакт с клиентом и обсуждается процесс развертывания решения, оговариваются график работ и возможные ограничения. На этапе планирования определяются и проверяются технические данные, такие как топология сети и критически важные серверы. Планируется дата начала работ. Результатом третьего (дополнительного) этапа процесса развертывания оборудования становится предварительная настройка и проверка инженером по развертыванию собственно клиентского оборудования перед отправкой пользователю. Четвертый этап (интеграция) начинается с телефонной поддержки пользователя в процессе установки устройства в рабочую среду. После настройки канала связи с центром IBM ISS SOC выполняется тестирование сервиса. При положительном результате тестирования контроль над сервисом передается в центр SOC. На пятом, заключительном этапе развертывания выполняется окончательная проверка и завершение всех операций процесса.

Портал Virtual SOC

Ключевую роль в обеспечении управляемых сервисов играет портал для пользователей услуг MSS (рис. 1). Все события, регистрационные журналы, данные о безопасности, а также другие данные, включая заявки на обслуживание, данные об инцидентах безопасности и прочая информация из системы безопасности сохраняются в базе данных центра SOC. Каждый авторизованный пользователь получает онлайновый доступ через MSS-портал ко всей информации инфраструктуры безопасности. Гибкая настройка правил доступа к порталу позволяет предоставить сотрудникам отдельных распределенных подразделений заказчика доступ только к информации их площадок, тогда как ИТ-персонал центрального офиса заказчика будет иметь доступ к информации по безопасности всех своих филиалов. Большой выбор стандартных отчетов и удобный инструмент создания индивидуальных отчетов предоставляют ИТ-персоналу все необходимые данные для полноценного управления сервисом.

Всем пользователям услуг MSS предоставляется доступ к так называемой системе раннего оповещения (Early Warning System) — аналитической информации, постоянно обновляемой группой X-Force. В нее входит полная база данных всех известных уязвимостей, последние обнаруженные вирусы, троянские программы, описание известных атак, принципов защиты от них и многое другое. Для каждой уязвимости указывается перечень ПО, в котором она обнаружена, и рекомендации по ее устранению. С помощью фильтров (например, почтовый сервер/Microsoft Corporation/Exchange/5.0 SP2) можно выбрать только те уязвимости, которые отвечают заданному критерию, и автоматически получать уведомления по электронной почте в случае их выявления. Эта система раннего оповещения дает пользователям большие преимущества, поскольку позволяет принимать превентивные меры для защиты систем, непосредственно не охваченных сервисом.

Портал также используется для визуализации, управления инфраструктурой безопасности и сетью заказчика и их обновления, что включает авторизацию новых пользователей с определением их ролей или объединение различных серверов и систем безопасности в логические группы.

Наряду с использованием средств портала для описания организационной структуры и сетевой среды еще одна его задача состоит, несомненно, в управлении событиями безопасности и устройствами (рис. 2, 3) и подготовке отчетов. К важнейшей функции портала можно отнести возможность доступа к одной и той же информации, представленной в различной форме. Таким образом, можно отслеживать заявки на расследование, связанные с определенным инцидентом безопасности. Выбрав щелчком мыши инцидент, можно увидеть во всплывающей строке соответствующее событие. Выбор события покажет все данные, зафиксированные соответствующим сенсором системы безопасности. Доступен ряд отчетов, содержащих суммарные сведения о событиях, например, все атаки, зарегистрированные за последние семь суток, в виде диаграммы или списка.

С помощью средств портала можно создавать множество предварительно определенных, но гибко настраиваемых отчетов. Все отчеты просматриваются непосредственно на экране либо сохраняются в виде документов формата PDF, HTML, XML. Данные из каждого отчета можно экспортировать в CSV-формате (табличный текст, разделенный запятыми) в различные внешние системы.

Все действия и задачи, выполненные специалистами центра SOC, регистрируются во внутренней базе данных системы документооборота SOC с обязательным указанием даты и времени. Таким образом, автоматически генерируемые ежемесячные отчеты наглядно показывают, выполняются ли со стороны IBM ISS требования соглашений об уровне обслуживания соответствующих сервисных контрактов.

В портале также реализована возможность онлайнового общения со специалистами SOC в виде чата, где всегда можно задать любой вопрос и получить быстрый исчерпывающий ответ о работе систем безопасности, узнать подробности того или иного события, провести расследование инцидента и т.д.

Мнение эксперта

За дополнительными сведениями о предложениях IBM в области услуг обеспечения безопасности мы обратились к консультанту подразделения IBM Internet Security Systems Алексею Ивлеву.

«BYTE/Россия»: Давайте сначала уточним, о каком круге вопросов информационной безопасности идет речь, когда мы говорим об услугах IBM ISS.

Алексей Ивлев: Мы имеем в виду в первую очередь различные угрозы, распространяющиеся сетевым путем (вирусы, атаки, сканирования, черви, трояны, руткиты, другой вредоносный код). В большинстве случаев требуется защита именно внешнего периметра, но нередко случается, что необходимо остановить распространение внутренней вирусной эпидемии, действие троянских программ, ботнетов и т. п., а также деятельность слишком умных и любопытных внутренних пользователей. Другое направление услуг — контроль уязвимостей на всех сетевых ресурсах компании. Регулярно, с некоторой периодичностью все внешние и внутренние ресурсы сканируются и выявляются уязвимости.

«BYTE/Россия»: Как изменилась проблематика ИБ за последние годы?

А. И.: Коротко можно сказать так: острота проблемы постоянно возрастает. Этому вопросу посвящено очень много публикаций, в том числе и корпорации IBM. Одна из наиболее острых тем — это защита от атак zero-day, направленных на только что найденные уязвимости, для которых нет ни патчей, ни сигнатур. Ни одно из решений — будь то IPS, межсетевой экран, антивирус и т. д. — не может на 100% гарантировать защиту от таких угроз. В таких случаях именно MSS выходит на первый план. Атака редко происходит мгновенно, обычно это хорошо спланированная акция, включающая ряд подготовительных действий. Услуга MSS позволит вести круглосуточный мониторинг, и в случае выявления подозрительных действий уже на подготовительной фазе их можно будет заблокировать.

«BYTE/Россия»: Обычно, говоря об MSS, имеют в виду аутсорсинг услуг обеспечения информационной безопасности. Что такое аутсорсинг в понимании IBM?

А. И.: Все компании по-разному понимают данные понятия, но в общем случае это некоторое удаленное действие (настройка и конфигурирование) и мониторинг (уведомление клиента о каких-либо событиях). IBM помимо этого еще предлагает услугу гарантированной защиты: в договоре прописывается, что IBM на 100% защищает от угроз и в случае пропуска атаки выплачивает компенсацию в размере 50 тыс. долл. Общий перечень наших услуг ИБ таков:

  • управление защитой — обеспечивает гарантированную защиту сетей, серверов, рабочих станций от угроз с выплатой компенсации в случае пропуска угрозы;
  • управление и мониторинг широкого спектра межсетевых экранов различных производителей;
  • управление системами IDS/IPS — мониторинг, обнаружение и предотвращение атак, включая реагирование на инциденты в сети и на серверах;
  • управление уязвимостями — автоматическое сканирование внутренних и внешних устройств на предмет выявления известных на данный момент уязвимостей;
  • управление событиями безопасности и логами — централизованный сбор, хранение, корреляция, мониторинг и подробный анализ событий безопасности, зафиксированных любыми решениями любых производителей;
  • управление безопасностью электронной почты и Web — защита почтовой инфраструктуры от вирусов и спама и контроль нежелательного контента внутри сообщений и Web-трафика.

«BYTE/Россия»: Вы используете ПО на площадке заказчика или размещаете его у себя?

А. И.: Все решения ИБ установлены на площадке заказчика и обеспечивают защиту его ресурсов (периметра, ядра сети, серверов, рабочих станций). Это может быть программное или аппаратное решение. Все события ИБ, которые фиксируются на этих решениях, передаются в наш Security Operation Center (SOC), где специалисты компании круглосуточно их анализируют, выявляют потенциально опасные и проводят расследование, если необходимо. Помимо этого клиент освобождается от необходимости настраивать решения. Наши специалисты удаленно настроят оборудование, сконфигурируют все необходимые сервисы и службы, внесут необходимые изменения по запросу клиента. Поэтому услуга состоит из двух частей — мониторинг и управление решениями.

«BYTE/Россия»: Как бы вы могли объяснить заказчикам, зачем им нужен аутсорсинг ИБ?

А. И.: Аутсорсинг управления решениями ИБ и мониторинга — это в первую очередь более высокая степень защиты. Редкая компания, особенно в дни кризиса, может себе позволить содержать штат специалистов по ИБ, которые будут вести круглосуточный мониторинг своих решений безопасности. Как правило, эти же сотрудники имеют и другие обязанности по работе с пользователями, управлению правами и доступом к ресурсам, разработке политик безопасности, установке и настройке новых решений и т. п. В большинстве случаев времени им хватает только на разбор критичных событий, причем уже постфактум, когда инцидент случился. А наши консультанты занимаются исключительно мониторингом.

Кроме того, нужны сложные и дорогостоящие решения для мониторинга и управления. В случае многовендорной инфраструктуры требуется множество различных решений или сложные интеграционные платформы управления. А в нашем SOC это уже все построено и доступно клиенту в виде Web-портала. Мы поддерживаем работу с большинством производителей решений в области ИБ, так что нет необходимости закупать оборудование только одного вендора. Все решения прекрасно коррелируют свою работу в ядре нашего SOC. Наши специалисты имеют многолетний опыт работы, проходят регулярное обучение и сертификацию по продукции различных вендоров.

Во время финансового кризиса особенно актуальными становятся вопросы зарплаты сотрудников, их мотивации, удержания в компании. Стоимость наших услуг в несколько раз ниже, чем стоимость хорошего специалиста. Поэтому такие услуги в некоторой степени позволят сэкономить без потери качества. Многие компании при планировании затрат на следующий год отдают предпочтение небольшим регулярным и фиксированным затратам; их проще прогнозировать и проще найти бюджет. Долгосрочные инвестиции в дорогие решения сейчас почти во всех компаниях заморожены.

Другой пример: в требованиях SOX один из пунктов — это система мониторинга событий ИБ. Наши услуги полностью соответствуют этим требованиям. Аналогичная ситуация и с требованиями стандарта PCI DSS — недостаточно просто собирать данные о событиях и складывать их в архив. Как минимум ежедневно они должны анализироваться на предмет различных угроз.

«BYTE/Россия»: Каким предприятиям — по размерам, по характеру деятельности — вы бы порекомендовали переходить на аутсорсинг?

А. И.: В большинстве случаев это компании малого и среднего бизнеса (SMB). Для них содержать отдельный штат специалистов по ИБ — очень дорогое удовольствие. При этом они четко осознают возможные угрозы и их последствия, поэтому готовы отдать защиту своих ресурсов внешнему провайдеру. Крупные компании, как правило, имеют выделенный департамент ИБ, который решает все необходимые задачи. Однако ввиду их сильной занятости или сокращений у нас есть прецеденты, когда мы обеспечиваем безопасность внешнего периметра или DMZ-зоны крупных компаний. Эти ресурсы в большей степени подвержены внешним угрозам и нуждаются в круглосуточном мониторинге и защите.

Еще один сегмент — крупные телеком-провайдеры, которые расценивают эти услуги как B2B и перепродают их своим конечным клиентам, обеспечивая их защитой от атак, вирусов, спама и других угроз. Все оборудование устанавливается и управляется на площадке провайдера, а клиент получает «чистый» канал, и ему не требуется покупать собственное оборудование. На мой взгляд, сейчас в мире очень сложная финансовая ситуация, многие компании вынуждены сокращать штат и, как это ни плачевно, часто сокращают сотрудников отделов ИТ и ИБ. Наши услуги помогут многим компаниям сохранить и поддерживать необходимый уровень защиты без больших финансовых затрат.

«BYTE/Россия»: Что вы можете сказать о работе IBM ISS в России?

А. И.: В России данные услуги впервые появились в 2005 г. и сразу нашли применение в нескольких крупных компаниях. Никаких различий в оказании таких сервисов в России и в других странах нет. Принцип работы IBM — любой продукт или услуга, в том числе новые, должны быть доступны клиентам в любой точке мира, где присутствует IBM.

В России люди традиционно скептически относятся к аутсорсингу, не доверяя никому свою конфиденциальную информацию, поскольку мы знаем, что любую информацию можно купить за деньги. Безусловно, уровень зрелости аутсорсинга в РФ пока намного ниже мировой практики, однако прогресс есть, ежегодный прирост аутсорсинга в стране составляет 20—30%. IBM всегда очень внимательно подходит к заключению договора на услуги аутсорсинга и договора о конфиденциальности, а также очень тщательно соблюдает все эти условия.

Для многих компаний типичный случай использования наших услуг — защита периметра сети и DMZ. На этих ресурсах обрабатывается и хранится общедоступная информация, нет никаких конфиденциальных данных, и поэтому заказчики готовы отдать их защиту на аутсорсинг. Защитой внутренних ресурсов в нашей стране все занимаются самостоятельно, хотя в США и Европе аутсорсинг в этой сфере также распространен.

«BYTE/Россия»: Спасибо вам за беседу.