Архитектура RSA SA: сбор, обработка, хранение, индексация, анализ и представление данных. |
RSA, подразделение по безопасности компании EMC, представило решение RSA Security Analytics — платформу нового поколения для мониторинга и расследования инцидентов информационной безопасности — с целью помочь организациям защитить свои информационные активы от самых современных и изощренных внутренних и внешних угроз. По существу в этой платформе объединены система управления событиями и инцидентами ИБ (SIEM) и система сбора и анализа сетевого трафика на базе продукта мониторинга безопасности сети RSA NetWitness. Для быстрого исследования целевых атак в RSA SA применяется аналитика Больших Данных. Такая система позволяет глубоко вникать во все, что происходит в инфраструктуре ИТ, осуществлять оперативный и долгосрочный анализ. Как заметили специалисты RSA, платформа Security Analytics «не ищет иголку в стоге сена, а удаляет этот стог». Она позволяет установить, на что нужно обратить внимание в первую очередь. Для этого предусмотрена развитая система отчетов.
Физически RSA Security Analytics Unified Platform — это сервер в корпусе 1U и подключаемые к нему дисковые полки (хранилище данных на базе Hadoop). Система предусматривает API и может интегрироваться с другими продуктами — как RSA, так и сторонних вендоров, например с системами DLP. Все данные, имеющие отношение к информационной безопасности, включая полные сетевые пакеты (трафик за несколько дней), журналы и информацию об угрозах, собираются и сразу же анализируются для ускорения обнаружения потенциальных угроз. Время, требуемое для расследования инцидента информационной безопасности, сокращается с нескольких дней до нескольких минут.
Как подчеркивают в RSA, при этом применяются новые методы аналитики, более мощные по сравнению с традиционными подходами к SIEM. В частности, с помощью различных методик многомерного анализа и многоуровневой обработки данных это решение способно выявить широкий спектр атак, при проведении которых используется вредоносное ПО. Оно позволяет обнаруживать и блокировать целенаправленные, динамичные, высокотехнологичные атаки, против которых традиционные методы малоэффективны. Благодаря интеграции с системами RSA Archer GRC Platform и RSA Data Loss Prevention (DLP) Suite, а также за счет использования данных, предоставляемых другими решениями, аналитики имеют возможность привлечь бизнес-контекст, чтобы расставить приоритеты и перераспределить ресурсы для борьбы с наиболее опасными угрозами.
RSA Security Analytics можно использовать как часть эшелонированной системы безопасности в крупных организациях, например в банковском секторе (это традиционные клиенты RSA), что становится особенно актуальным с развитием электронных платежей. Внедрение качественных методик обеспечения безопасности поможет поддерживать соответствие регулятивным требованиям.
По словам Александра Вологдина, директора по развитию бизнеса RSA в России и СНГ, RSA Security Analytics планируется предлагать и как облачный сервис (такая работа уже идет), благодаря чему решением, которое значительно дороже традиционных систем SIEM, смогут воспользоваться и организации среднего размера. RSA Security Analytics уже полгода тестируется заказчиками, а официальный анонс платформы ожидается в конце I квартала.