02.09.2013

Интеграция RedSeal Networks с системой HP ArcSight ESM

Платформа RedSeal — это решение для управления рисками информационной безопасности, позволяющее осуществлять непрерывный мониторинг заданных сетевых путей доступа в корпоративных сетях компаний и государственных учреждений. Ежедневно решение получает данные о конфигурации всех сетевых устройств: брандмауэров, маршрутизаторов и балансировщиков нагрузки — и строит виртуальную модель сети, анализируя, позволяет ли совместная работа правил на этих устройствах защитить коммерческие информационные активы. Кроме того, решение позволяет проверить настроенные правила доступа на соответствие отраслевым и государственным нормативным требованиям, а также определяемым внутри организации политикам безопасности. Результат — точное сопоставление путей сетевого доступа и уязвимостей сети в целом, позволяющее ИТ-специалистам выявлять слабые места и устранять угрозы, не дожидаясь последующей атаки.

Основные преимущества

  • Полное комплексное представление сетевой топологии
  • Автоматизация аудита и проверки правильности конфигурации устройств
  • Выявление нарушений правил доступа между критически важными зонами сетевой безопасности с использованием HP ArcSight ESM
  • Получение уведомлений о нарушении правил конфигурирования сетевых устройств
  • Выбор приоритетов реагирования на инциденты информационной безопасности с учетом архитектуры сети, уровней доступа и имеющихся уязвимостях
  • Выявление проблем в работе сети, напрямую влияющих на безопасность
  • Превентивное моделирование атак без реального воздействия на сеть
  • Веб-портал реагирования на инциденты, позволяющий выявлять угрозы, возможные при входящей и исходящей передаче данных
  • Сертификат HP CEF

ОПРЕДЕЛЕНИЕ ПРИОРИТЕТНОСТИ СОБЫТИЙ С УЧЕТОМ ОСОБЕННОСТЕЙ СЕТИ ДЛЯ HP ARCSIGHT ESM

Платформа RedSeal сертифицирована на соответствие стандарту ArcSight CEF и позволяет сопоставлять нарушения политик доступа к сетевой инфраструктуре, нарушения требований передовых практик, данные об опасности имеющихся уязвимостей системы с учетом топологии со сведениями о событиях информационной безопасности. События могут быть направлены непосредственно в систему ArcSight ESM в стандартном формате обмена CEF или в виде оповещений в формате Syslog. Это позволяет более точно расставить приоритеты для инцидентов с учетом расположения сетевых устройств или хост-систем, понять степень опасности нарушения и узнать, защищен ли узел дополнительными средствами защиты, такими как брандмауэр.

Платформа RedSeal может отправлять в систему ArcSight ESM события с данными о нарушениях политик сетевого доступа, сведения о подверженности узлов риску, статусе доступа и состоянии уязвимости; информацию о нарушениях проверки конфигурации устройств на соответствие лучшим практикам и о проблемах в сети, которые могут негативно сказаться на информационной безопасности организации.

НАРУШЕНИЕ ПОЛИТИК СЕТЕВОГО ДОСТУПА

Оповещения о событиях также направляются в систему HP ArcSight ESM в случаях, когда, согласно результатам выполненного с помощью RedSeal анализа, доступ осуществляется между двумя заранее определенными зонами сетевой безопасности, доступ между которыми явно запрещен политикой. Событие оповещает о нарушении политики и содержит сведения об исходной и конечной зонах, а также сведения об устройстве, на котором обнаружено нарушение, и нарушенном правиле доступа. Это помогает быстро выявить и устранить нарушения доступа к зонам сети, содержащим конфиденциальную информацию, например зонам данных о владельцах пластиковых карт или критически важным активам.

УЗЛЫ: ПОДВЕРЖЕННОСТЬ РИСКУ, ДОСТУП И СТАТУС УЯЗВИМОСТИ

Данные об уязвимости узлов, доступе и статусе уязвимости предоставляют системе ArcSight ESM информацию о доступности узлов из недоверенных источников и о возможности доступа к критически важным активам с этого узла. При обнаружении уязвимостей в указанных узлах система RedSeal также указывает, являются ли узлы уязвимыми и имеются ли в них уязвимости, которые можно использовать в атаке типа leapfrog. Затем ArcSight ESM может сопоставить сведения платформы RedSeal с другими событиями от систем предотвращения вторжений (IPS), антивирусной защиты и систем предотвращение утечек конфиденциальных данных (DLP), а также с событиями узла с целью более точного определения приоритетности реагирования на события.

ПРОВЕРКА КОНФИГУРАЦИИ НА СООТВЕТСТВИЕ ЛУЧШИМ ПРАКТИКАМ

Если конфигурация сетевого устройства или элемента управления информационной безопасностью не проходит проверку на соответствие лучшим практикам RedSeal, в систему ArcSight ESM отправляется событие с указанием имени сетевого устройства, его IP-адреса, сведений о непрохождении проверки, а также с датой и временем обнаружения нарушения. Это позволяет системе ArcSight ESM получать сведения о нарушениях базовой политики безопасности и состоянии сетевых устройств третьего уровня, развернутых в сети.

СЕТЕВЫЕ ПРОБЛЕМЫ

Можно настроить платформу RedSeal на отправку событий в систему ArcSight ESM при обнаружении сетевых проблем в визуальной модели, построенной RedSeal. Такие события могут быть результатом неправильной настройки или фактических сетевых проблем, обнаруженных в модели.

Эти события указывают на следующее:

  • Несопоставленные узлы (узлы, которые отсутствуют в модели RedSeal)
  • Оборванные связи (неизвестные окончания VPN туннеля или подсети отдельного устройства)
  • Несканированные подсети (ненумерованные интерфейсы с отключенной маршрутизацией IP-адресов или неназначенными IP-адресами)
  • Устаревшие устройства (конфигурации сетевых устройств, которые не были импортированы в заданный пользователем период времени)
  • Устаревшие узлы (не импортированные в заданный пользователем период времени данные об уязвимости узловых устройств)
  • Неразмещенные прозрачные брандмауэры (в системе обнаружены устройства второго уровня без поддержки маршрутизации, которые не были включены в модель RedSeal)
  • Дублирующиеся номера виртуальной локальной сети (использование одного и того же ИД виртуальной локальной сети в нескольких конфигурациях устройств)
  • Конфликтующие IP-адреса (слияние двух сетей или повторное назначение внутреннего пространства адресов)
  • Перекрывающиеся подсети (указывает на серьезную ошибку в конфигурации сети, делающую узлы в той или иной подсети недоступными из других частей сети)

БЫСТРОЕ РЕАГИРОВАНИЕ НА КРИТИЧЕСКИЕ РИСКИ

Интеграция RedSeal с HP ArcSight ESM оптимизирует процесс управления инцидентами, а также позволяет организациям сконцентрировать ресурсы на наиболее важных факторах риска и в самые сжатые сроки устранить выявленное нарушение. Для этого RedSeal создала простой веб-интерфейс, позволяющий пользователям ArcSight выявлять области сети, которые могут оказаться в зоне риска из-за указанных нарушений на узле, не осуществляя доступ к клиенту RedSeal. Пользователь ArcSight ESM может быстро определить, какие недоверенные подсети имеют доступ к узлу с нарушениями, выявить уязвимые узлы, имеющие доступ к узлу с нарушениями, и определить, к каким критически важным ресурсам имеется доступ с узла с нарушениями.