ARIC Network Defense System

Kliknij aby powiększyć

ARIC Network Defense System

SIEM – Security Information and Event Management SIEM w ekosystemie ARIC NDS powstał w roku 2003.

System za pomocą intuicyjnego interfejsu graficznego umożliwia bardzo szybkie rozpoczęcie pracy już zaraz po instalacji.

Zapytaj o Produkt

Skontaktuj się z nami

    Zagrożenia dla ciągłości działania pochodzą z wielu źródeł i skierowane są na różnorodne cele. Między innymi:

    Zagrożenia sieciowe

    Wymierzone w sieci i infrastrukturę sieciową.

    Zagrożenia hostów

    Wymierzone w poszczególne hosty.

    Zagrożenia zewnętrzne

    Pochodzące od zewnętrznych napastników.

    Zagrożenia wewnętrzne

    Pochodzące od napastników wewnętrznych.

    Chociaż celem rozwiązań bezpieczeństwa jest wykrywanie takich zagrożeń i zapobieganie im, żadnej sieci nie można całkowicie zabezpieczyć przed nimi wszystkimi. Z tego powodu sam SIEM koncentruje się na łagodzeniu ryzyka, identyfikowaniu podatności, wykrywaniu zagrożeń i ustalaniu priorytetów reakcji na zagrożenia i podatności o najwyższej istotności.

    Do środków ograniczających ryzyko, identyfikujących podatności i wykrywających zagrożenia zalicza się:

    Identyfikacja wzorców zdarzeń wskazujących na możliwe zagrożenie lub podatność.

    Określenie ryzyka potencjalnie szkodliwych ataków lub kompromisów.

    Wdrażanie kontroli w celu usunięcia zgłoszonych luk w zabezpieczeniach.

    Bieżące monitorowanie i raportowanie działań sieciowych i hostów.

    Podejmowanie działań w odpowiedzi na zidentyfikowane ataki.

    Ocena ryzyka

    Aby odpowiednio zabezpieczyć swoją infrastrukturę, najpierw przeprowadź ocenę ryzyka swoich aktywów. Ocena ryzyka pomaga określić względne znaczenie zasobów w sieci, podatności tych zasobów na konkretne zagrożenia związane z eksploatacją oraz prawdopodobieństwo wystąpienia zdarzeń związanych z bezpieczeństwem tych zasobów.

    Silne zasady bezpieczeństwa koncentrują się na tym, jak najlepiej chronić najważniejsze i najbardziej zagrożone zasoby. Na przykład, jeśli zasób sieciowy ma krytyczne znaczenie i prawdopodobieństwo ataku na niego jest wysokie, skoncentruj swoje wysiłki na stworzeniu zasad bezpieczeństwa monitorujących takie ataki i opracuj plany reagowania na nie.

    Po przeprowadzeniu tych analiz można zaprojektować zasady bezpieczeństwa w odpowiedzi na względną wartość zasobów i ryzyko wykorzystania, jakie stwarzają różne zagrożenia i luki w zabezpieczeniach. Szczególnym środowiskiem jest przemysł (OT) i systemy sterowania w tym AKPiA (ICS – Industrial Control System). Model odniesienia – IACS (Purdue Model) pokazuje warstwowe zależności i prawidłowo ułożoną architekturę środowiska przemysłowego.

    Niestety większość środowisk przemysłowych już na poziomie architektury ikompatybilności technologicznej poszczególnych produktów wpływa zasadniczo na autormtyczne materializowanie się ryzy, które obserwujemy w codziennej pracy i kwalifikujemy jes jako usterwi i awarie.

    Większość zagrożeń w OT pochodzi od samych dostawców i firmy eksploatujące dostarczone systemy przemysłowe. System SIEM (nieważne jakiego producenta) pomaga w identyfikacji zagrożeń, jednakże należy właściwie przygotować dane wejsciwoe i już na poziomie architektury zadbać o zwiększenie odporności poszczególnych komponentów i systemów z nich złożonych na anomalie.

    Poprawna architektura sieci zasadniczo zmniejsza ilość podatności środowiska i ogranicza zagrożenia. Z tego powodu z systemem SIEM zintegrowane są urządzenia sieciowe serii DNC (przełączniki, routery , ZBFW, IDS/IPS, Sondy danych, diody danych, TAPy, itd.). Wykorzystanie całego ekosystemu wprowadza poziom zabezpieczeń na niespotykany dotychczas poziom ochrony płaszczowej, gdzie nie ma wolnych od monitorowania obsaarów a funkcje reakcyjne (defensywne i ofensywne) są w stanie zabezpieczyć każdy segment i komponent w sieci.

    Jak ARIC SIEM pomaga w ocenie i ograniczaniu ryzyka

    SIEM ARIC wraz z urządzeniami DNC umożliwiają identyfikację kluczowych zasobów i ustawienie zasad ostrzegających Cię, gdy zasoby te mają luki w zabezpieczeniach lub są przedmiotem ataków. SIEM ARIC będzie generować alarmy w oparciu o ryzyko związane z dowolnym zdarzeniem związanym z bezpieczeństwem zarejestrowanym w urządzeniu DNC .

    Znaczenie danego zdarzenia związanego z bezpieczeństwem zależy od trzech czynników:
    01

    Wartość zasobu powiązanego ze zdarzeniem

    02

    Zagrożenie reprezentowane przez wydarzenie

    03

    Prawdopodobieństwo wystąpienia zdarzenia

    Jak SIEM pomaga wykrywać zagrożenia i ustalać priorytety dla reakcji

    Na poniższej ilustracji przedstawiono możliwości i powiązane narzędzia, które zapewnia SIEM ARIC , aby pomóc Ci w wykonywaniu zadań związanych z zarządzaniem bezpieczeństwem we własnym środowisku.

    Asset Discovery

    — łączy w sobie podstawowe technologie wykrywania i inwentaryzacji, zapewniając wgląd w urządzenia znajdujące się w Twojej sieci. Dodatki zawarte:

    • Aktywne i pasywne skanowanie sieciowe
    • Inwentarz aktywów
    • Inwentarz usług

    Wykrywanie i inwentaryzacja zasobów to pierwsze istotne kroki, aby dowiedzieć się, jakie systemy i urządzenia znajdują się w Twojej sieci. SIEM ARIC łączy podstawowe technologie wykrywania i inwentaryzacji, aby zapewnić wgląd w urządzenia, które chcesz monitorować.

    Wykrywanie włamań

    — koordynuje reakcję na incydenty i zarządzanie zagrożeniami w całej sieci dzięki wbudowanym technologiom monitorowania bezpieczeństwa, informacjom o pojawiających się zagrożeniach otrzymywanych z AT&T oraz płynnemu przepływowi pracy w zamkniętej pętli umożliwiającemu szybkie usuwanie skutków.

    Dodatki w systemie SIEM:

    • Sieciowy IDS (NIDS)
    • IDS oparty na hoście (HIDS)
    • Monitorowanie integralności plików (FIM)

    Wbudowane monitorowanie integralności plików w agentach zainstalowanych na serwerach i innych urządzeniach końcowych, ostrzega o nieautoryzowanych modyfikacjach plików systemowych, plików konfiguracyjnych lub zawartości. Monitorowanie dostępu do sieci za pomocą systemów wykrywania opartych na agentach w hoście i danych z sieci pozwala zidentyfikować, kto próbował uzyskać dostęp do tych systemów, plików i treści.

    Zarządzanie informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM)

    — Identyfikuj, powstrzymuj i eliminuj zagrożenia w sieci, ustalając priorytety ryzyka i reakcji.

    Dodatki w SIEM:

    • Zarządzanie logami
    • Zintegrowane dane o zagrożeniach OTX
    • Korelacja zdarzeń SIEM
    • Reagowania na incydenty

    Możesz automatycznie korelować dane dziennika z praktycznymi analizami bezpieczeństwa, aby identyfikować naruszenia zasad i otrzymywać odpowiednie kontekstowo i oparte na przepływie pracy procedury reakcji. Możesz także przeprowadzić analizę kryminalistyczną zdarzeń, korzystając z surowych dzienników podpisanych cyfrowo. Surowe kłody można również wykorzystać w celu spełnienia wymagań dotyczących przechowywania dowodów.

    Internetowy interfejs użytkownika zapewnia dostęp do wszystkich funkcji zarządzania bezpieczeństwem zapewnianych przez SIEM ARIC . Podręcznik użytkownika SIEM ARIC zawiera informacje na temat uzyskiwania dostępu i korzystania ze wszystkich narzędzi SIEM oraz wykonywania określonych operacji zarządzania bezpieczeństwem z poziomu tego interfejsu użytkownika.

    Laboratoria

    DYNACON Labs to wewnętrzny zespół badawczy ds. bezpieczeństwa w DYNACON a Alien Labs do analogiczny zespół badawczy w AT&T Cybersecurity, składający się z ekspertów ds. bezpieczeństwa, którzy na bieżąco przeprowadzają badania i analizy pojawiających się globalnych zagrożeń i luk w zabezpieczeniach. Zespół ten stale monitoruje, analizuje, dokonuje inżynierii wstecznej i raportuje wyrafinowane zagrożenia dnia zerowego, w tym złośliwe oprogramowanie, botnety i kampanie phishingowe.

    Zespół regularnie publikuje aktualizacje analizy zagrożeń na platformie SIEM ARIC w formie dyrektyw korelacji, sygnatur IDS, sygnatur podatności, sygnatur wykrywania zasobów, danych o reputacji IP, wtyczek źródeł danych i szablonów raportów. Zespół zapewnia także aktualne wskazówki dotyczące pojawiających się zagrożeń oraz kontekstowe wskazówki dotyczące środków zaradczych, które przyspieszają i upraszczają wykrywanie zagrożeń i reagowanie na nie.

    Zespół DYNACON wykorzystuje również zbiorowe zasoby OTX, największego na świecie repozytorium danych o zagrożeniach pozyskiwanych z crowdsourcingu, aby zapewnić globalny wgląd w trendy ataków i złośliwych aktorów. Eksperci ds. bezpieczeństwa w AT&T i DYNACON analizują, weryfikują i przeglądają dane dotyczące globalnych zagrożeń zebrane przez społeczność OTX .
    Zespół ds. badań nad bezpieczeństwem poprawia efektywność każdego programu monitorowania bezpieczeństwa, dostarczając informacje o zagrożeniach niezbędne do zrozumienia i rozwiązania najbardziej krytycznych problemów w sieciach. Wykonują analizę, dzięki czemu możesz poświęcić swój ograniczony czas na naprawianie i łagodzenie zagrożeń, zamiast je badać.

    Ocena podatności

    — identyfikuje zasoby i urządzenia z niezałatanym oprogramowaniem,
    niepewnymi konfiguracjami i innymi lukami w zabezpieczeniach sieci. Dodatki zawarte:

    • Ciągłe monitorowanie podatności
    • Uwierzytelnione / nieuwierzytelnione aktywne skanowanie
    • Weryfikacja naprawy

    Zintegrowane wewnętrzne skanowanie pod kątem luk w zabezpieczeniach informuje Cię o lukach w zabezpieczeniach Twojej sieci, dzięki czemu możesz ustalić priorytety wdrażania poprawek i ich naprawiania. Ciągła korelacja dynamicznego spisu zasobów z naszą bazą danych luk w zabezpieczeniach zapewnia aktualne informacje na temat luk w zabezpieczeniach Twojej sieci pomiędzy zaplanowanymi skanowaniami.

    Monitorowanie behawioralne

    — identyfikuje anomalie i inne wzorce sygnalizujące nowe, nieznane zagrożenia w Twojej sieci, a także podejrzane zachowania i naruszenia zasad przez autoryzowanych użytkowników i urządzenia.

    Dodatki w systemie SIEM:

    • Analiza NetFlow
    • Monitorowanie dostępności usług
    • Analiza protokołu sieciowego / przechwytywanie pakietów

    Zintegrowane monitorowanie behawioralne gromadzi dane, które pomagają zrozumieć „normalną” aktywność systemu i sieci, co upraszcza reakcję na incydenty podczas badania podejrzanego problemu operacyjnego lub potencjalnego incydentu bezpieczeństwa. Pełne przechwytywanie pakietów umożliwia pełną analizę protokołów ruchu sieciowego, zapewniając kompleksowe odtworzenie zdarzenia, które miało miejsce podczas potencjalnego naruszenia.

    Zarządzanie zgodnością z przepisami w SIEM ARIC

    Oprócz zwykłych operacji zarządzania bezpieczeństwem, SIEM ARIC zapewnia również niezbędne funkcje bezpieczeństwa, które pomogą Ci osiągnąć zgodność z przepisami. Dzięki wbudowanemu wykrywaniu zasobów, ocenie podatności, wykrywaniu włamań, monitorowaniu zachowań, zarządzaniu logami i monitorowaniu integralności plików, SIEM ARIC może pomóc organizacjom osiągnąć zgodność z przepisami, takimi jak PCI DSS, GLBA, ISO/IEC 27001, FISMA, NERC CIP , FERPA i SOX.

    SIEM ARIC generuje również wbudowane raporty specjalnie dla HIPAA, PCI, GLBA, ISO 27001, FISMA, NERC CIP, GPG13 i SOX.
    Ponadto, sekcja „Korzystanie z SIEM ARIC w celu zapewnienia zgodności z PCI” zawiera szczegółowe informacje na temat korzystania z SIEM ARIC w celu osiągnięcia zgodności z PCI DSS. Informacje te mogą być również przydatne przy przestrzeganiu przepisów dotyczących zgodności z innymi normami.

    Informacje na temat analizy zagrożeń

    Threat Intelligence, zintegrowany z SIEM ARIC w ramach subskrypcji Threat Intelligence, zapewnia funkcje, które odróżniają je od większości innych rozwiązań do zarządzania bezpieczeństwem dostępnych obecnie na rynku. Threat Intelligence, opracowany przez zespół badawczy AT&T Security Research Team i zasilany przez AT&T Open Threat Exchange® ( OTX™ ), to przydatne informacje na temat zagrożeń stojących przed Twoją siecią, w tym złośliwych aktorów, ich narzędzi, ich infrastrukturę i jej metody. Analiza zagrożeń informuje Cię, czym jest zagrożenie, skąd pochodzi, które zasoby w Twoim środowisku są zagrożone i jak zareagować.

    OTX

    Open Threat Exchange (OTX) to najbardziej wiarygodna na świecie otwarta sieć wymiany i analizy informacji o zagrożeniach. OTX zapewnia otwarty dostęp do globalnej społeczności badaczy zagrożeń i specjalistów ds. bezpieczeństwa. Obecnie uczestniczy w nim ponad 100 000 uczestników na całym świecie, którzy codziennie przekazują ponad 19 milionów wskaźników zagrożeń. Dostarcza generowane przez społeczność dane o zagrożeniach i impulsy OTX , umożliwia wspólne badania i automatyzuje proces aktualizacji infrastruktury bezpieczeństwa danymi o zagrożeniach z dowolnego źródła. OTX umożliwia każdemu członkowi społeczności zajmującej się bezpieczeństwem aktywne omawianie, badanie, sprawdzanie i udostępnianie najnowszych danych, trendów i technik dotyczących zagrożeń, wzmacniając Twoje zabezpieczenia, jednocześnie pomagając innym w tym samym.

    Społeczność OTX i powiązane dane o zagrożeniach to jedno z kluczowych źródeł danych wykorzystywanych przez zespół DYNACON do generowania analizy zagrożeń. DYNACON wykorzystuje zbiorowe zasoby OTX poprzez analizę, weryfikację i selekcję danych o globalnych zagrożeniach dostarczonych przez społeczność OTX .