Решения Tenable

Система мониторинга информационной безопасности предприятия Tenable Security Center

Введение в продукт

Всем известен хорошо зарекомендовавший себя продукт программный сканер безопасности Tenable Security Scanner который решает задачи обнаружения и анализа уязвимостей в корпоративной сети. Существует и уникальный продукт на рынке средств обеспечения безопасности который позволяет решить задачи мониторинга, обнаружения уязвимостей, анализа сетевого трафика, обнаружения атак, корреляции и сбора событий в автоматическом режиме и при этом имеет возможность проведения аудита систем в режиме оценки их соответствия стандартам PCI DSS, FDDC и собственным стандартам безопасной настройки систем предприятия.
Система Tenable Security Scanner – продукт который хорошо зарекомендовал себя для решения задач построения полноценной системы мониторинга масштаба предприятия и соответствует требованиям стандартов и федеральных законов при развертывании. В настоящее время с помощью этого продукта успешно решаются вопросы прохождения сертификационного аудита PCI DSS, выполняются требования по СТОБР 1.0 в Банках и на предприятиях.

История внедрения продукта

История появления данного продукта в России начинается в 2006 году, когда возникла необходимость в развертывании полноценной системы мониторинга предприятия и стоял выбор о покупке системы которая удовлетворяла требованиям действующей политики информационной безопасности предприятия и система укладывалась в бюджет не более 1 000 000 рублей что было немаловажно. После того как выяснилось, что продление лицензий на продукт ISS Proventia составляет сумму в два раза большую чем выделенный бюджет то было принято решение о покупке Tenable Network Security. Развертывание системы производилось силами работников отдела информационной безопасности совместно с управлением информационной безопасности от каждого подразделения было выделено по одному человеку и в итоге система была развернута за два месяца включая создание исполнительной и рабочей документации описывающее взаимодействие подразделений ИТ и информационной безопасности.

В результате внедрения была построена система масштаба предприятия выполняющая следующие задачи и позволившая пройти сертификационный тест PCI DSS в 2007 году как удовлетворяющая требованиям регуляторов в т.ч. и ЦБ РФ на первом этапе внедления:

оценка систем на соответствие требованиям PCI DSS
проведение теста на проникновение в ИТ структуре по требованиям PCI DSS
создание системы оповещения пользователей о события ИБ
подсистема обработки событий атак на сервисы Банка (замена ISS Proventia)
подсистема сканирования и обнаружения уязвимостей (замена XSpyder)
круглосуточный мониторинг сетевого оборудования и сервисов Банка
настройка системы отчетности для подразделений Банка
система анализа рисков ИБ
отслеживание активности в сетевом трафике
контроль за исправлением уязвимостей со стороны ИТ подразделений
контроль за правильностью настроек конфигурации сервисов
созданы собственные шаблоны сканирования и оценки соответствия

На втором этапе внедрения были развернуты следующие подсистемы:

подсистема обработки и корреляции логов событий (замена GFI Monitor)
настроена система мониторинга трафика на предмет утечки конф. Информации
настроена обработка аномальных событий ИБ по сервисам Банка
произведена настройка отчетности для управления анализа рисков
настроена инвентаризация оборудования по всему предприятию
заменены агенты Syslog на агенты LCE (замена syslog сервера ИБ)
назначены ответственные за реагирование на события ИБ в системе
выполнена инвентаризация всех ИТ ресурсов на предприятии

Удобство развертывания системы заключалось в том что инсталляция агентов сбора событий LCE производилась только на контроллерах доменов как центрах авторизации и выделенных UNIX серверах где необходимо было собирать логи событий ИБ по требованиям PCI DSS. Выполнение второго этапа внедрения позволило выполнить требования ЦБ РФ предъявляемым к системе обеспечения информационной безопасности.

Возможности системы

В данную систему входят несколько модулей который выполняют следующие задачи:

Tenable Security Center – центральная система ИБ
LCE – log correlation engine – система обработки и корреляции логов ИБ от сервисов и сенсоров которыми могут быть как агенты LCE так и сетевое оборудование или системы обнаружения атак (Snort, Dragon, ISS, Cisco Mars, CheckPoint)
Tenable Security Scanner – сканер информационной безопасности Tenable который выполняет сканирование по профилям и сигнатурам ИБ от Security Center
PVS – пассивный сканнер выполняющий прослушивание трафика на предмет утечки конфиденциальной информации (номера паспортов, кредитных карточек, счетов клиентов)
агенты LCE (агенты устанавливающиеся на все операционные системы – более 10 поддерживаемых систем для сбора логов событий ИБ)

Система позволяет настроить оповещение событий ИБ по конкретным случаям и конкретным признакам события, имеет встроенную систему отслеживания проблем включая открытие заявки на исправление уязвимости и назначения ответственных и поддерживает гибкую ролевую модель доступа в систему ИБ.

По каждый объекту анализа может быть построено множество отчетов включающие в себя классификацию по следующим признакам:

• IP address watch lists
• Tenable scan results
• Passive Vulnerability Scanner discovered nodes
• Log Correlation Engine IP address queries
Manual IP list upload
API IP list upload
Regular Expressions
Classification by OS
Classification by App
Classification by Domain
DNS and Name patterns
IP addresses
Ports
Protocols
Event type and name
Asset
User
Date or time range
Inbound, outbound, external events
Plugin family
Scan Policy
Plugin ID
Severity
Active, Passive or Compliance plugins
Matching text searches
Days since vulnerability was observed
Days since vulnerability was found
Reoccurring vulnerabilities
Re-casted severity adjustments
Risk Accepted vulnerabilities
Specific SecurityCenter repository

Надо сказать что система Security Center (далее СМИБ) позволяет выполнять авторизацию в разных средах что позволяет провести полную инвентаризацию ИТ ресурсов предприятия и не требует административных прав как на сканируемые ресурсы так и там где развернуты агенты. Аутентификация обеспечивается следующими способами и протоколами:

• Role based access to stored credentials
• Kerberos
• SNMP
• SSH
• SU/SUDO
• Telnet
• Windows Domain
• Web Authentication

Архитектура системы предоставлена ниже на Рисунке 1.

Рисунок 1

Помимо инвентаризации ресурсов (обнаружение новых подключенных устройств, поддержка более 3000 типов устройств включая включая рабочие станции, сервера, маршрутизаторы, коммутаторы) обеспечивается и оценка защищенности ИТ систем предприятия как по собственным критериям оценки так и по более 10 готовым сертификационным тестам от вендоров (IBM, Cisco, Checkpoint, Microsoft, SAP, Oracle, Sun и других).

Обширная база сигнатур информационной безопасности позволяет выполнять построение отчетов сертифицированных регуляторами в частности подразделения ИБ могут использовать следующие шаблоны построение отчетов:

CIS
FISMA
FDCC
Common IT audits
Common network monitoring reports
OWASP 2010
SANS CAG
PCI
Missing Patches
Tenable Plugin Families
Построение отчетов выводится в следующих форматах
PDF
Password protected PDF
Watermark for PDF reports
RTF
CSV
3D Visualization
Log search text results
Footer, Header and Table of Contents management
Multiple landscape and letter layouts

Данная система мониторинга ИБ масштаба предприятия достаточно гибко лицензируется по количеству обрабатываемых IP адресов. Фактически если система куплена из расчета 500 IP адресов то это количество адресов возможно одновременно сканировать и собирать с этого адресного блока логи событий ИБ тем самым разбивая сегменты сети предприятия на разные участки сканируемые в разное время с динамически меняемыми адреса. Лицензирование производится на выделенное DNS имя сервера с установленной системой Tenable Security Center что дает определенные преимущества при развертывании СМИБ.

Преимущества Tenable Security Center

Оптимизация бюджета предприятия в зависимости от количества рессурсов
Обнаружение потенциальных угроз безопасности в различных сегментах сети и систем
Система оценки рисков и встроенная система HelpDesk позволяет планировать работы по устранению узявимостей и назначать приоритеты на выполнение работ
Отчеты настраиваются в соответствие с действующей моделью угроз предприятия
Единая консоль управления всеми подсистемами Security Center
Встроенная система корреляции событий по всем источникам данных
Обширная база уязвимостей от вендоров и аналитиков ИБ (более 10 источников)
Распределенная архитектура системы масштаба предприятия (до 250 000 IP адресов на 1 Security Center)
Сканирование систем в активном и пассивном режиме – единая система корреляции как результатов сканирования так и поступающих логов событий ИБ

Использование Security Center позволяет автоматизировать процесс мониторинга и оценки состояния информационной безопасности предприятия с использованием сертифицированных сигнатур (более 20 000) непосредственно от вендоров и сертифицированная по ISO 27000. Данный продукт является достаточно удобным в использовании и выпускается как в аппаратном исполнении, так и в образе виртуальной машины для среды VMWare.

По данным Security Magazine данный продукт признан лучшим продуктом в мире среди систем информационной безопасности, а руководитель Tenable Network Security Рон Гула вошел в двадцатку успешных CEO за 2010 год по предприятиям в сфере безопасности. По данному продукту на территории России производится обеспечение технической поддержки русскоязычных пользователей. Если у вас возникнут вопросы по функционалу и приобретению данного продукта обращайтесь к партнеру Tenable Network Security на территории РФ компании Weta Group по адресу support@weta.ru. Данный продукт может быть использован для выполнения задач по следующим стандартам и ФЗ:

PCI DSS
СТО БР ИББС-1.0-2008
ISO 27001
Закон "О персональных данных"
Закон "О коммерческой тайне"
Лицензионные требования ФСТЭК и ФСБ

Подробнее о компании Tenable на сайте www.tenable.com