Мы постоянно отслеживаем новые тенденции, мнения и публикации по информационной безопасности. Весь этот объем информации систематизируется и «раскладывается» по продуктовым нишам. В результате формируется единая картина того, как аналитики видят наше с вами будущее. Мы решили поделиться очередной сводкой по самым интересным и сильным трендам, о которых говорит в своих отчетах и презентациях Gartner. Кому-то эта информация пригодится для выступлений, кому-то – для обоснования бюджетов, а кому-то просто позволит «сверить часы» с индустрией и быть в курсе того, что сейчас считается самими «горячими» темами.

Итак, куда же, по мнению Gartner, движется отрасль?

В начале июня мы с моим другом и коллегой Андреем Данкевичем съездили на несколько дней в Лондон на Information Security Europe. Это крупнейшая выставка в Европе и «одна из» в мире. В этом году ее посетило более 15 000 человек, и проходила она уже в 22 раз.

Хотя на Information Security Europe и представлена довольно обширная программа докладов, но ехать стоит не за ними, а для того, чтобы набрать классной сувенирки пообщаться с производителями СЗИ, посмотреть их решения на стендах и самостоятельно (а не просто доверившись Gartner) сделать выводы о том, какие тренды сейчас на пике. Под катом — рассказ о том, какие технологии внедряют вендоры DLP, UEBA, GRC, IGA и MDR.

В 2017 году сетевое подразделение Aruba компании Hewlett Packard Enterprise анонсировало комплексное решение по обеспечению сетевой безопасности Aruba 360 Secure Fabric. Это решение обеспечивает защиту корпоративной сети на 360 градусов от угроз извне и внутри сети в условиях постоянно меняющегося периметра безопасности, с появлением беспроводных устройств и облачных сервисов.



Решение построено на базе нескольких ключевых компонентов. В первую очередь, это защищённая и доверяемая инфраструктура. Сетевое оборудование Aruba с самого начала разрабатывалось с точки зрения обеспечения максимальной безопасности. Современные контроллеры могут обеспечить высокоскоростную (до 100 Гбит/с) обработку межсетвого трафика с учётом функции Deep packet inspection (DPI). С этим связано и появление специализированного протокола Advanced Monitoring (AMON), который предназначен для передачи большого объёма разнообразной информации между контроллерами БЛВС и системой управления и служит дополнительным источником информации для систем безопасности.

Следующим компонентом фабрики Aruba 360 служит система контроля доступа к инфраструктуре Aruba ClearPass, которая относится к семейству программных продуктов с общим названием Network Access Control (NAC). Этот продукт заслуживает подробного рассмотрения и мы планируем посвятить ему отдельную серию статей. Начнем с рассмотрения того, почему в современных условиях невозможно полагаться исключительно на периметр безопасности сети и откуда возникает потребность в SIEM-системах.

Часть 2. Часть 1 по ссылке.

В нашем случае система аналитки поведения Introspect из класса продуктов User and Entity Behavior Analytics (сокращённо UEBA) является единой точкой входа для большого количества разнообразной машинной информации, собираемой с имеющейся инфраструктуры, в том числе и с SIEM систем, и на основе алгоритмов машинной аналитики и искусственного интеллека помогать сотрудникам отдела безопасности автоматизировать рутинный труд по анализу большого количества инцидентов.

Более того, система может быть интегрирована с имеющимися системами контроля доступа к инфраструктуре (NAC) для выполнения различных действий с источниками аномального поведения в сети – отключать, понижать скорость, перемещать в другой VLAN и т.п.

Организации, которые хотят добавить расширенные аналитические возможности или возможности машинного обучения в свой арсенал ИТ-безопасности, имеют в своем распоряжении относительно новое решение: систему аналитики поведения пользователей и сущностей – User and Entity Behavior Analytics (UEBA).

Эта статья является частью серии «Fileless Malware». Все остальные части серии:

• Приключения неуловимой малвари, часть I
• Приключения неуловимой малвари, часть II: скрытные VBA-скрипты
• Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли
• Приключения неуловимой малвари, часть IV: DDE и поля документа Word
• Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов
• Приключения неуловимой малвари: многосторонняя оборона (заключительные
  мысли) — мы тут

Думаю, все мы можем согласиться с тем, что у хакеров есть много трюков и методов, чтобы скрытно войти в вашу ИТ-инфраструктуру и остаться там незамеченными, пока они крадут ваши цифровые активы. Ключевой вывод этой серии заключается в том, что обнаружение вредоносных программ на основе сигнатур легко обходится даже несложными подходами, некоторые из которых я представил в этой серии.

Сегодня мы сделаем для вас обзор ежедневных обязанностей аналитика информационной безопасности. Его работа – это, по сути, постоянный анализ необработанных данных из
разнородных источников событий (информационной и сетевой) безопасности для поддержания (и желательно) повышения уровня безопасности организации. Это не всегда конкретные практические действия, но, как правило, они включают в себя агрегацию данных из многих возможных источников: журналы событий операционных систем, брандмауэров, маршрутизаторов, антивирусных сканеров и многое другое. Затем ему требуется объединить
или сопоставить их для получения набора данных, который может быть обработан с помощью соответствующих алгоритмов.

Сегодня мы представим краткий обзор рынка систем поведенческой аналитики пользователей и сущностей (UEBA) на основе последнего исследования Gartner. Рынок UEBA находится в нижней точке «стадии разочарования» по Gartner Hype Cycle for Threat-Facing Technologies, что указывает на зрелость данной технологии. Но парадокс ситуации заключается в одновременном общем росте инвестиций в UEBA-технологии и исчезающим рынком самостоятельных UEBA решений. Gartner прогнозирует, что UEBA станет частью функционала смежных решений в области информационной безопасности. Термин «UEBA», скорее всего, выйдет из обихода и будет заменен на другой акроним, сфокусированный на более узкой области применения (например, «аналитика поведения пользователей»), на схожей области применения (например, «использование данных») или просто превратится в какое-то новое модное слово (например, термин «искусственный интеллект» [ИИ] выглядит интересным, хотя он и не несет никакого смысла для современных производителей UEBA).

Привет, на связи Алексей Филатов (aka afilatov123). В 2017 году меня пригласили в команду «СёрчИнформ» для запуска нового программного решения. Точнее так – для наращивания возможностей флагманского продукта – DLP-системы. Рынку мало того, что софт уже умеет (предотвращать утечки информации и корпоративное мошенничество). Заказчики хотят, чтобы программа умела предсказывать пользовательское поведение: «вот этот сотрудник готовится к увольнению, а значит может...» или «человек испытывает стресс и вероятно совершит ошибку». И предсказания эти должны быть сделаны с высокой точностью и в автоматизированном формате.

Для решения этой задачи вендоры как правило идут по пути UEBA (или UBA). Но мы пошли своим и начали создавать автоматизированный профайлинг.



Под катом – история того, какой путь мы проделали, чтобы продукт состоялся.

Мир IT разнообразен донельзя. Кто каких только технологий и решений не создает, что только не разрабатывает! Компании творят продукты каждая по-своему, но многие процессы схожи, а потому могут оказаться полезным опытом для заимствования. Вот мы и подумали: а почему бы не рассказать вам о том, как мы создаем наш флагманский продукт Solar Dozor? Команда у нас очень опытная и энергичная. Каждый день нам приходится решать нетривиальные задачи, искать киллер фичи и увязывать пожелания заказчиков с собственным роудмапом. Вдруг наш опыт кому-то пригодится?

В общем, решили – запускаем серию статей о том, как, где и при каких обстоятельствах рождается наша DLP-система. Все откровенно, по-честному, с фото и, может, даже видеопруфами. А сегодня вы узнаете, с чего начинается создание нашего продукта. Знакомьтесь – discovery-лаборатория Dozor Research Lab.