HP oznámilo rozšíření svého portfolia HP ArcSight, které nyní nabízí podnikům unifikovanou bezpečnostní analýzu velkoobjemových dat (Big data) s rozšířeným monitoringem identit urychlujícím detekci trvalých hrozeb.
Chtějí-li podniky úspěšně chránit svá cenná aktiva, potřebují proaktivně předcházet vniknutím do sítě a urychlit detekci napadení. K tomu, aby mohly úspěšně odhalovat případy dlouhodobých neoprávněných přístupů k síti – označovaných také jako pokročilé trvalé hrozby (advanced persistent threats, APT) – a zabraňovat jejich opakování, musí být schopny:
- Velmi rychle nakládat s velkým množstvím různorodých informací a zpracovávat je.
- Analyzovat strukturovaná i nestrukturovaná data v rámci své sítě i mimo ni.
- Monitorovat události v cloudových, mobilních i virtuálních prostředích.
- Automaticky provádět zásahy, jakmile dojde k detekci jednotlivých hrozeb.
„Analýzy velkoobjemových dat, zpracovávané typicky dávkově, umožňují podnikům organizovat a analyzovat velká množství strukturovaných i nestrukturovaných informací a snáze odhalovat úmysly nepoctivých zaměstnanců, obchodních partnerů a zločinných nebo podvodných skupin zaměřujících se na klamavé jednání nebo zneužití dat,“ řekl Avivah Litan, analytik společnosti Gartner. „Rozhodující složkou úspěchu je schopnost rychle a snadno integrovat všechny typy strukturovaných a nestrukturovaných informací napříč různými interními a externími informačními zdroji.“
HP nyní rozšířilo své stávající portfolio bezpečnostních řešení pro velké objemy dat: představilo řadu aktualizací včetně řešení HP ArcSight Threat Detector 2.0 s předpřipravenými profily hrozeb a nástrojem pro inteligentní profilování a HP ArcSight Threat Response Manager 5.5 s podporou cloudových prostředí a funkcemi zpětné vazby urychlujícími detekci hrozeb a jejich zneškodňování pro minimalizování dopadů APT útoků. Kromě toho byl nástroj HP ArcSight IdentityView 2.5 vylepšen o rozšířenou korelaci uživatelské identity, rolí a aktivit napříč událostmi a bezpečnostními incidenty.
Díky jednotné analýze aplikací, uživatelů, sítí i systémů může HP nabídnout jedinečné portfolio řešení integrujících informační bezpečnost a velké objemy dat. Tato řešení společně zpracovávají události v potřebném měřítku a poskytují hluboký vhled mimo obvyklý rámec uvažování, korelují kontext uživatele a nabízejí informace, na jejichž základě lze provádět potřebné procesy a minimalizovat rizika APT útoků.
„Naším posláním a cílem je poskytování vynikající zdravotní péče; je tudíž zásadní, abychom dokázali předejít narušení systému, které by mohlo ovlivnit bezpečnost pacientů nebo kvalitu poskytované zdravotní péče,” řekl Keith Duemling, ředitel pro informační bezpečnost ve společnosti Lake Health. „Díky automatizaci detekce hrozeb v celé síti nám technologie HP ArcSight umožnila zaujmout mnohem proaktivnější přístup k informační bezpečnosti. Naše schopnost detekovat rizika, jež by mohla ovlivnit celkový výkon systému, desetinásobně vzrostla.”
„Útočníkům stačí jediný průnik, aby organizaci způsobili závažné škody v privátních datech, narušili její schopnost poskytovat klíčové služby nebo poškodili její pověst,“ řekl Radovan Dršata, regionální ředitel HP Software pro Českou republiku a Slovensko. „Svými řešeními, která díky využití technologie pokročilé bezpečnostní analýzy velkoobjemových dat zvyšují úroveň detekce hrozeb, umožňujeme organizacím rychle identifikovat potenciální útočníky, proaktivně přistoupit k minimalizaci dopadu útoku na chod organizace a předejít narušení klíčových služeb poskytovaných zákazníkům.“
Nestrukturovaná analýza a detekce narušení
Řešení HP ArcSight Threat Detektor využívá k identifikaci opakujících se vzorců událostí – nezávadných i škodlivých – techniku ukládání zkušeností. Tímto způsobem vytváří pravidla, jež umožní v reálném čase detekovat tzv. útoky nultého dne (zero-day threat) a pomalé opakované útoky, které mají za cíl obejít identifikaci hrozeb, navrženou pouze pro zachycení typických signatur.
Nejnovější verze HP ArcSight Threat Detektor byla rozšířena o předpřipravené profily vzorců chování, které využívají heuristickou analýzu obvyklých oblastí hrozeb například na vzorce procházení sítí, detekci distribuovaných útoků a raných fází útoků či profilování činnosti. Podniky bez IT oddělení vyhrazených pro zabezpečení provozu mohou toto řešení využít k okamžité detekci APT hrozeb.
Začněte s monitoringem interních hrozeb dříve, než bude pozdě
K mnoha útokům dochází zevnitř organizací, proto je nutné, aby se podniky zaměřily na odhalování zlých úmyslů v rámci stávající uživatelské základny. HP ArcSight IdentityView kombinuje rozsáhlý sběr informací o uživatelských aktivitách napříč všemi účty, aplikacemi a systémy s daty o uživateli a jeho roli. Všechna tato data jsou definována pomocí technologií správy identit a přístupu (identity and access management, IAM) a HP ArcSight IdentityView na jejich základě vytváří unikátní řešení pro prevenci interního ohrožení firem. Zároveň obohacuje protokol událostí o informace o uživateli a jeho roli, čímž vytváří ucelený obraz činnosti uživatelů, a to včetně sdílených, rizikových i privilegovaných účtů. Výsledkem je snížená míra rizika interního ohrožení, lepší přístup k řízení a rychlejší vyšetřování útoku.
V rámci uvedení nové verze byl také desetinásobně zvýšen počet uživatelů sledovatelných prostřednictvím nástroje HP ArcSight IdentityView 2.5, což podnikům pomůže korelovat data bezpečnostních incidentů a událostí napříč rozsáhlou uživatelskou základnou a dosáhnout tak nižšího rizika interního ohrožení.
Pokud aktivity uživatele v síti neodpovídají oblastem, do nichž má povolen přístup, nebo základnímu modelu chování založenému na historicky korelovaných datech, nástroj HP ArcSight IdentityView 2.5 označí takový uživatelský profil pro další vyšetřování. Na základě toho může bezpečnostní tým identifikovat, zda jde o úmyslné či neúmyslné jednání a v reálném čase minimalizovat riziko potenciálního ohrožení.
Rychlá reakce snižuje rizika úniku dat
Poté, co dojde k detekci hrozby, musí organizace útočníka izolovat a vyřešit průnik dříve, než dojde ke krádeži cenných dat ze sítě. Špičkové end-to-end řešení HP ArcSight Threat Response Manager (TRM) 5.5 nabízí zpětnou vazbu pro zabezpečení a monitoring sítě, a dokáže spolehlivě vyřešit otázku rychlejší detekce hrozeb prostřednictvím proaktivní reakce na podněty. HP TRM doplňuje a rozšiřuje špičkovou platformu HP ArcSight Security Information and Event Management (SIEM).
Řešení HP TRM posouvá proces reakce na útok na novou úroveň – díky možnostem řízení a automatizace reakce přispívá ke zkrácení reakční doby na útok bez generování dalších nákladů. HP TRM také umožňuje celý proces odezvy na ohrožení zautomatizovat, čímž snižuje potřebu reakcí dalších bezpečnostních pracovníků. Není nutné čekat, až bezpečnostní tým ručně zakáže podezřelé účty nebo jim zamezí v přístupu k síti – řešení HP TRM přístup vypne automaticky a okamžitě.
HP rovněž rozšířilo možnosti využití řešení HP TRM z datových center i na cloudová prostředí. Řešení HP TRM je nabízeno jako virtualizované zařízení pro VMware, což organizacím přináší vyšší flexibilitu při zavádění HP TRM a zároveň pomáhá řešit jejich specifické potřeby zabezpečení.
Řešení HP ArcSight Identify View v2.5, HP ArcSight Threat Response Manager a HP ArcSight Threat Detector v2.0 jsou již celosvětově dostupná.