Границы корпоративных сетей расширяются, количество пользователей растет, во многих компаниях наряду со стационарным используется мобильный доступ к данным. Вследствие этого увеличивается число средств, применяемых для защиты информации. Даже в небольшой фирме есть межсетевые экраны, антивирусное ПО, системы обнаружения и предотвращения вторжений, комплексы для недопущения утечек данных, многочисленные шлюзы и др. Понятно, что на приобретение этих решений и эксплуатацию системы ИБ уходят немалые деньги. Но всегда ли они расходуются эффективно, можно ли утверждать, что наличие всех необходимых устройств и программ гарантирует безопасность сети и данных?
Специалисты знают, что в процессе работы систем информационной безопасности (ИБ) генерируются большие объемы полезной информации, которая хранится в файлах регистрации логов и журналах событий. Необходимо регулярно проводить анализ накопленной информации, что позволит выполнять более тонкую настройку средств защиты, оценивать общее состояние защищенности корпоративной инфраструктуры, но главное, выявлять и расследовать инциденты ИБ. Проблема заключается в том, что анализ данных из журналов событий и файлов разных форматов и разнородных систем связан с большими трудозатратами. Особенно сложно оценивать работу там, где по определению возможно большое количество ложных срабатываний, например в системах обнаружения и предотвращения вторжений, проактивных антивирусных программах, системах предотвращения утечек данных. Другой важной задачей является установление корреляционной связи данных, полученных из разных источников. Возникновение инцидента безопасности, как правило, отображается одновременно в журналах нескольких систем защиты, и для правильного реагирования нужно обладать детальной информацией об инциденте.
Кроме того, в каждой организации имеется множество активных сетевых устройств, таких как коммутаторы, маршрутизаторы, беспроводные точки доступа, средства удаленного доступа. Эти устройства собирают статистические данные о сетевом трафике, которые также представляют большой интерес для сотрудников служб безопасности.
Наконец, в журналы событий информацию помещают серверные и клиентские ОС, а также многочисленные приложения (базы данных, системы ERP и CRM, бухгалтерские программы, почтовые и Web-серверы). Фиксируются такие события, как аутентификация пользователей, попытки доступа, авторизация, выполнение каких-либо критичных действий.
Таким образом, в любой, даже небольшой организации существует множество источников данных, ежедневно генерирующих огромные массивы информации, которую необходимо обобщать и анализировать и которая нуждается в безопасном хранении.
Для решения указанных задач применяются решения типа Security Information Event Management (SIEM). Они могут не только собирать и анализировать разнородную информацию, но и оповещать об инцидентах. Основная задача систем SIEM — мониторинг в реальном времени, автоматизированный аудит и реагирование на инциденты ИБ. Помимо указанных функций современные SIEM-решения позволяют проверять соответствие систем ИБ требованиям различных стандартов и регламентов по безопасности.
Один из разработчиков SIEM-решений — американская компания Q1Labs занимается созданием средств защиты информации с 2001 г. Q1Labs имеет представительства и центры технической поддержки в Северной Америке и Европе.
Первоначально Q1 специализировалась на продуктах класса Log Management (централизованное хранение и управление данными, полученными из журналов регистрации событий). По мере возникновения новых потребностей Q1 сосредоточила усилия на продуктах, выявляющих инциденты в области ИБ, а также проверяющих соответствие систем ИБ требованиям международных стандартов. Сегодня флагманский продукт QRadar SIEM занимает лидирующие позиции в сегменте управления событиями безопасности. Согласно аналитическому отчету компании Gartner, в текущем году QRadar вошел в тройку лучших SIEM-решений в мире.
«Мы гордимся тем, что вошли в квадрант лидеров Gartner, — отметил генеральный директор Q1Labs Шон МакКоннон. — Мы за довольно короткий срок стали крупнейшим независимым разработчиком SIEM-решений. Сейчас в списке наших заказчиков более 1,7 тыс. компаний во всем мире, а средний темп роста прибыли за последние пять лет превышает 70%».
Авторизованный дистрибьютор продуктов Q1Labs в России — компания headtechnology RU, специализирующаяся на поставках систем ИБ. Соглашение с вендором было подписано в феврале этого года. Группа компаний headtechnology будет продвигать решения Q1Labs в страны Восточной Европы, СНГ и Центральной Азии.
«Появление продукции Q1Labs в нашем портфеле решений предоставит нам дополнительные возможности по расширению сотрудничества с крупными системными интеграторами и даст выход на новые рынки, — заявил Гаральд Шиллинг, член совета директоров headtechnology Group. — С помощью SIEM-решения мы сможем проанализировать инфраструктуру на предмет наличия инцидентов безопасности, найти способы уменьшения рисков и в связке с другими решениями нашей линейки обеспечить комплексную безопасность инфраструктуры предприятия».
Олег Бакшинский, директор headtechnology RU, член совета директоров группы компаний headtechnology, сказал: «Уже сегодня продукты Q1Labs используются в пилотных проектах и тестируются в крупных российских компаниях. QRadar SIEM является самым интеллектуальным, интегрированным и автоматизированным решением в своем классе. Этот продукт обеспечивает полную видимость внутри сети, отслеживая активность всех пользователей и приложений, что позволяет обнаруживать существующие и потенциальные угрозы для сетевой инфраструктуры и вовремя помогать предотвращать или останавливать нежелательную или вредоносную активность».
Глава headtechnology RU добавил, что системы класса SIEM обычно требуют много времени для внедрения и наличия большого опыта. Основные конкурентные преимущества продуктов Q1Labs — это простота внедрения и невысокая стоимость решений. «Вы можете начать с внедрения на предприятии простой системы Log Management с последующим ее усовершенствованием до полнофункционального SIEM, — пояснил Бакшинский. — По статистике внедрений полнофункциональных решений SIEM, значительная часть затрат в проекте приходится на интеграцию в существующие ИТ- и ИБ-инфраструктуры предприятия. А значит, простота интеграции отражается на окончательной стоимости решения».
Компания headtechnology RU начала свою работу в России в 2005 г. За прошедшие годы фирме удалось построить разветвленную сеть представительств и партнеров по всей России. Центральный офис компании находится в Москве, региональные представительства открыты в Санкт-Петербурге и Екатеринбурге. Свою работу в качестве Value Added Distributor компания headtechnology RU строит через специализированных VAR-партнеров и интеграторов. Все программные и аппаратные продукты, представленные в портфеле headtechnology RU, проходят полнофункциональное тестирование. Технические специалисты компании помогают партнерам устанавливать и настраивать любой продукт, первая линия поддержки осуществляется на русском языке. На базе московского офиса в 2010 г. открыт авторизованный Тренинг-центр с предоставлением сертификатов от производителей.