`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

ИТ-безопасность — о чем нужно знать

+22
голоса

ИТ-безопасность продолжает оставаться в числе основных приоритетов компаний — такой вывод напрашивался, исходя из заполненного зала Учебного центра компании ERC, которая совместно с киевским представительством НРЕ организовала семинар на эту тему.

На нем эксперты и специалисты HPE Software поделились информацией о том, что происходит сегодня в сфере ИТ-безопасности, и дали рекомендации, какие меры необходимо предпринять и какие продукты НРЕ могут помочь защитить данные компаний от злоумышленников.

О чем важно знать в области безопасности на фоне последних вирусных атак, рассказал региональный менеджер по продажам продуктов корпоративной безопасности в СНГ Александр Сиротин. Он начал с напоминания о событиях пятилетней давности, связанных с Эдвардом Сноуденом. Тот начал работать на государственные организации и в какой-то момент стал консультантом ЦРУ, получив доступ в NSA. Там он без авторизации скопировал большой объем данных, указывающих на то, что за гражданами США и многих европейских стран ведется активное наблюдение, при котором используются многие компании из сферы ИТ и телекоммуникаций. Сноуден передал эти данные в WikiLeaks. С чем же мы имеем дело сегодня и насколько ситуация отличается от той, которая сложилась из-за действий Сноудена?

ИТ-безопасность — о чем нужно знать

Александр Сиротин: «По мнению специалистов, атака Petya была направлена против Украины, поскольку наиболее сильно пострадала именно украинская инфраструктура»

В августе 2016 г. впервые появилась так называемая организация The Shadow Brokers, которая сообщила в апреле 2017 г. о том, что у той же NSA выкрала информацию, связанную с подразделением Equation Group. По словам The Shadow Brokers, вначале она намеревалась продать эту информацию. Самым опасным участком кода, который они выставили, а впоследствии просто передали, был эксплойт для Windows, называемый EternalBlue, на базе которого позже были созданы две программы-вымогатели.

Это вызвало дебаты насчет того, насколько полно госструктуры должны собирать информацию не только о своих согражданах, но и об ошибках в коммерческих программах, и не должны ли они передавать информацию об этом самому разработчику, а не использовать в своих целях.

В начале мая 2017 г. программа-вымогатель, разработанная именно на базе EternalBlue под названием WannaCry, была разослана по миру. Были поражены сотни тысяч целей, и самая большая среди них — система здравоохранения Великобритании. Правда, это вредоносное ПО удалось довольно быстро остановить, используя ряд его слабостей, в том числе неработающую платежную систему. Американские специалисты заявили, что это была несколько недоработанная программа Северной Кореи, и ее целью был сбор денег. Ей удалось собрать только 52 биткойна и около 130 тыс. долл. Что интересно, в марте этого же года Microsoft выпустила заплатку MS17-010, и при ее установке WannaCry во многих случаях не сработала бы.

Программы-вымогатели семейства Petya были запущены примерно на один месяц позже, чем WannaCry, и также поразили множество целей во всем мире. Однако специалисты сообщили, что эта атака была направлена против Украины, поскольку наиболее сильно пострадала украинская инфраструктура. Эта программа также имела довольно слабую платежную систему, и специалисты были уверенны в том, что основной целью не был сбор денег.

В марте WikiLeaks заявила о том, что у нее имеется около 9 тыс. документов, которые она приобрела у ЦРУ, в том числе хакерские инструменты против iOS, Android и Windows, а также инструменты, которые позволяют удаленно включать некоторые телевизоры и превращать их в подслушивающие устройства.

Поэтому, довольно сложно судить о том, что можно ожидать в ближайшем будущем. По крайней мере ясно, что Windows — это не единственная система, которая будет подвергаться атакам.

Системы SIEM получают все большее распространение для управления событиями и информацией безопасности в режиме реального времени. ArcSight Enterprise Security Manager (ESM) является SIEM-платформой, служащей для комплексного обнаружения угроз, анализа, сортировки и контроля соответствия, которая значительно сокращает время для устранения угроз кибербезопасности. ArcSight позволяет командам безопасности использовать обогащенные данные о событиях для их корреляции в реальном времени, использовать управление рабочими процессами и согласование безопасности и сортировать целевые угрозы с целью их смягчения и решения. Систему HPE ArcSight представил архитектор решений информационной безопасности Евгений Афонин.

ИТ-безопасность — о чем нужно знать

Евгений Афонин: «ArcSight ESM является SIEM-платформой, служащей для комплексного обнаружения угроз, анализа, сортировки и контроля соответствия, которая значительно сокращает время для устранения угроз кибербезопасности»

В последние три года портфель ArcSight несколько преобразовался и содержит сегодня три компонента. Основанием является ArcSight Data Platform, который отвечает за сбор информации о событиях, их категоризацию и долговременное защищенное хранение. Это универсальное решение по централизованному сбору событий во всех ИТ-системах в единой точке и в едином формате с возможностью полнотекстового поиска. Доступный объем хранения в минимальной лицензии до 120 ТБ, а количество устройств и пользователей не ограничено.

ArcSight ESM предоставляет расширенные возможности сбора, консолидации и корреляции событий, готовые правила, отчеты и графики, обеспечивает реагирование в режиме реального времени. Наконец расследование инцидентов и аналитика осуществляется с помощью ArcSight Investigate. Этот компонент позволяет обрабатывать большие массивы данных и работать с исходными событиями посредством запросов JDBC.

Ярослав Попов, архитектор решений по безопасности ПО из HPE Security в регионе ЦВЕ и СНГ, остановился на том, как с помощью платформы HPE Fortify контролировать риски киберугроз и повысить безопасность ПО.

ИТ-безопасность — о чем нужно знать

Ярослав Попов: «Ключевые системы с доступом через внутренние порталы представляют высокий риск, поэтому должны проходить контроль на безопасность»

Основными целями атак являются приложения, данные и пользователи. Атаки могут выполняться как изнутри организации, так и злоумышленниками извне. Основной угрозой в первом случае являются инсайдеры. По словам выступающего, ни одна серьезная атака не обходится без инсайдеров. Они имеют возможности доступа к данным, к журналам регистрации событий во внутренних системах, возможность выполнять инъекции кода в БД, который потом распространяется по всем пользователям БД.

Что касается атак извне, то большинство организаций имеют большой внешний периметр и при этом плохо контролируют количество веб-интерфейсов, к которым есть доступ. На практике организации контролируют лишь 1/5 часть внешнего периметра.

Для решения этой проблемы можно вначале проанализировать риски, а затем определить методы управления ими. Первым шагом в этом направлении является классификация ПО с точки зрения безопасности. Если есть внешние веб-интерфейсы и мобильные пользователи, то они, безусловно, является рисками. Если есть ключевые системы с доступом через внутренние порталы, скажем, SharePoint или другая платформа, то при большом количестве пользователей они также представляют высокий риск. После такой классификации те системы, которые являются критичными, должны проходить контроль на безопасность.

Контроль безопасности включает набор компонентов. Одним из вариантов, которые в этой области предлагает HPE, это платформа Fortify, которая объединяет разные типы компонентов.

Есть два основных метода анализа безопасности прикладных программ. Это превентивный метод и мониторинг безопасности во время исполнения. Превентивные методы предусматривают два базовых подхода — это динамическое тестирование, или имитация атак, и статическое тестирование, или сканирование выходного кода. Первое выполняется с помощью HPE Webinspect, а второе — с помощью HPE Fortify SCA.

Мониторинг безопасности осуществляется с помощью НРЕ Application Defender, который размещается на виртуальной машине. Он анализирует код в режиме реального времени. Если он видит отпечаток, который интерпретирует по логике алгоритма как атаку, он генерирует сигнал тревоги. Что касается моделей использования HPE Fortify, то это может быть облачный сервис по запросу или инсталляция в собственной ИТ-среде компании.

Как бы хорошо ни была выстроена защита, гарантий от взлома не существует. Поэтому резервное копирование является важным методом защиты данных. Решение HPE Data Protector позволяет заказчикам получить весь комплекс резервного копирования от одного разработчика. О нем рассказал руководитель направления управления информацией в регионе СНГ Алексей Серебряков.

ИТ-безопасность — о чем нужно знать

Алексей Серебряков: «Решение HPE Data Protector позволяет заказчикам получить весь комплекс резервного копирования от одного разработчика»

Система резервного копирования от HPE поддерживает большое количество сред, включая виртуальные, федеративную дедупликацию и интегрируется с большинством приложений в режиме онлайн. Резервирование может быть выполнено на диски, ленты, обеспечивается интеграция с мгновенными снимками продуктивных СХД. Допускается восстановление отдельных элементов из резервных копий.

В качестве аппаратной платформы НРЕ предлагает заказчикам современный модельный ряд дисковых устройств StoreOnce и семейство ленточных устройств StoreEver LTO-7. Спектр устройств обоих классов включает модели от начального уровня до высокоуровневых моделей для корпоративного сегмента и крупных ЦОД.

Заказчики, которые хотят разгрузить свои локальные устройства, могут выполнять резервирование в облако. Поддерживаются облака Helion, MS Azure и Amazon S3.

Система резервирования и восстановления, кроме непосредственно Data Protector, предусматривает еще два модуля. Это оптимизация и анализ. Оптимизация позволяет эффективнее использовать имеющийся объем СХД, поддерживать необходимый уровень SLA, снижать риски и затраты. Аналитический модуль HPE Backup Navigator выполняет анализ по итогам резервирования и строит отчетность, с помощью которой можно отследить тенденции, планировать ресурсы, находить и удалять узкие места. Этот подход называется HPE Adaptive Backup and Recovery.

При необходимости выполнить резервирование только виртуальных сред можно воспользоваться простым и недорогим решением VM Explorer, поддерживающим гипервизоры VMware и Hyper-V. С его помощью можно делать полное и инкрементальное резервирование, тестировать целостность копий, восстанавливаться до файлов. В числе поддерживаемых физических носителей диски, NAS, облачные среды, магнитные ленты.

Семинар завершился коротким выступлением технического консультанта ERC Егора Скринника, в котором он рассказал, чем компания может помочь своим партнерам и заказчикам в решении их задач. Поскольку ERC начала развивать направление HPE Software, то компания уже не ограничивается только функциями дистрибьютора. Она оказывает информационную поддержку и технические консультации в процессе реализации проектов, создает демонстрационные стенды и реализует пилотные проекты, предоставляет консультации в вопросах лицензирования и ценообразования, развивает и поддерживает компетентность партнеров, организует обучение.

ИТ-безопасность — о чем нужно знать

Егор Скринник: «Компания ERC готова оказать любую информационную и техническую поддержку своим партнерам в реализации проектов»

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT