IBM Security QRadar: все как на ладони

Большую роль играет и регулятор, обозначая свои требования в вопросах кибербезопасности и для финансового сектора, и госкомпаниям, и другим участникам рынка. И хотя растет и уровень зрелости компаний в вопросах организации ИБ, угрозы растут опережающими темпами — от целевых атак до банальных вирусов-шифровальщиков.

IBM, оставаясь одним из ведущих поставщиков «железа» в мире ИТ, продолжает уделять большое внимание сфере информационной безопасности. Одно из востребованных решений компании — платформа управления информацией и событиями безопасности (SIEM) QRadar.

Платформа IBM Security QRadar помогает в масштабе всего предприятия выявлять угрозы, классифицировать их по степени важности и реагировать на них. Автоматический анализ и консолидация событий в журналах и потоков данных, поступающих в сеть с тысяч устройств, конечных точек и приложений из всей сети позволяет выдавать точечные предупреждения для ускорения анализа и устранения инцидентов. Продукт QRadar SIEM доступен как для локальных, так и для облачных сред.

«Безусловно, линейка security у IBM весьма востребована. Например, у вендора есть решение класса SIEM — IBM QRadar, у которого целый ряд преимуществ. В первую очередь, это очень легкая степень вхождения. Специалистам, которым предстоит работать с этой системой, легко понять основы написания правил, настройки подключения источников. Систему достаточно легко изучить и понять. Второй момент — у IBM очень большое комьюнити. Когда необходимо подключить какое-либо ПО, то требуемое приложение обычно можно найти в хранилище. То есть, ИБ-специалисту нет необходимости писать самостоятельно скрипт или какую-то программу, чтобы подключить нужное ему ПО. Большое сообщество пользователей IBM сгенерировало обширную базу, что очень облегчает работу. Получается, что процесс достаточно автоматизирован, и в меньшей степени требует от пользователя навыков программирования. В целом, решения IBM весьма популярны. В Казахстане уже реализовано около десяти проектов по внедрению QRadar. Это и госкомпании, и квазигоссектор, и частный бизнес», — делится своим мнением представитель казахстанской компании Prime Source — IBM Platinum Business Partner.

QRadar — это система сбора логов и событий ИБ, которая позволяет централизованно собирать все события, журналы. Благодаря настроенным правилам корреляции система позволяет выявлять определенные инциденты и помогает специалистам реагировать на них.

Простой пример. Любая информационная система записывает логи в журнал. Администратору тяжело заходить в каждую систему и просматривать эти журналы вручную. Между тем, журналы просматривать необходимо. Бывает, что пользователь несколько раз ввел неправильный пароль в течение короткого промежутка времени. Конечно, возможно, он просто забыл свой пароль. Но с другой стороны — это может быть потенциальная атака брутфорс, попытка перебора паролей. Соответственно, эту информацию можно увидеть в журнале логов, но постоянный их просмотр будет отнимать у администратора много времени. Как раз системы класса SIEM и помогают решить эту проблему. Они собирают журналы логов и в автоматическом режиме анализируют их, предупреждая администратора о событиях, которые требуют внимания.

Кроме того, при расследовании инцидентов, если они произошли некоторое время назад, в системе очень легко найти необходимые записи и понять картину, прояснить обстоятельства. Стоит также отметить, что у QRadar весьма быстрая интеграция. У Prime Source был кейс замены системы другого вендора на QRadar, которую удалось осуществить в течение месяца. Причем, это делалось в большой компании. То есть, скорость внедрения и удобство работы — отличительные особенности QRadar, благодаря которым многие заказчики выбирают именно это решение.

Был и другой интересный кейс, когда в одном из банков проводился аудит на предмет внедрения системы класса SIEM. Во время аудита было обнаружено подозрительное поведение в сети и предложено заказчику провести пилот системы. И буквально в течение трех дней QRadar выявил точку входа для удаленного пользователя. Банк приобретал по договору услуги у одной из зарубежных компаний, и эта компания не фильтровала списки своих работников. Так получилось, что давно уволившийся сотрудник имел VPN-сертификат, полномочия для подключения к ресурсам банка. Соответственно, неизвестно, кто подключался к инфраструктуре банка. Так с помощью QRadar был выявлен инцидент, благодаря чему несуществующие доступы были заблокированы. В итоге пилот прошел в боевом режиме. В данном случае это было вызвано необходимостью выявления аномальных действий в сети.

«Еще один кейс — миграция в большой телеком-компании. В ней порядка пяти лет использовался продукт SIEM от другого вендора, и было решено перейти на QRadar. Вообще, SIEM — это такая система, которую нужно постоянно оптимизировать, устанавливать правила, выявлять ложные срабатывания и т. д. То есть, это ежедневная работа. Но когда система SIEM имеет трудоемкий процесс настройки правил, это большая сложность в том плане, что нужно постоянно обучать сотрудников. И если система работает в компании достаточно долго, есть риск того, что человек, обладающий этой базой знаний, уходит из компании. В какой-то момент может возникнуть ситуация, когда профессионалы с высоким набором компетенций ушли, и остались молодые специалисты, не способные в полной мере работать с системой и поддерживать ее в актуальном состоянии. Именно такая ситуация сложилась в этой телеком-компании, почему и было решено осуществить миграцию на QRadar. Именно легкость вхождения и простота обучения специалистов стали решающим фактором. Мы достаточно быстро, в течение месяца-полутора, провели миграцию и затем донастраивали систему. Сам заказчик впоследствии признался, что в начале года, когда закладывали план мероприятий по миграции, предполагал, что переподключение SIEM займет около полугода. И когда это произошло всего за полтора месяца, они очень удивились», — поделились в Prime Source.