IBM Security Systems

IBM QRadar Security Intelligence

Олег Бакшинский, IBM Россия/СНГ
obakshin@ru.ibm.com

©
1 2014 IBM Corporation © 2012 IBM Corporation
 IBM Security Systems

ОТ

Security Information Event Management

(SIEM)

Security Intelligence Platform

2 © 2014 IBM Corporation

 IBM Security Systems

SIEM первого поколения

и для чего они нужны

3 © 2014 IBM Corporation

 IBM Security Systems Каждое решение говорит на своем языке

4 © 2014 IBM Corporation

 IBM Security Systems Человек не способен анализировать млрд событий

5 © 2014 IBM Corporation

 IBM Security Systems

Специалисты ИБ видят шум

6 © 2014 IBM Corporation

 IBM Security Systems Появление SIEM

… SIEM
Инцидент

7 © 2014 IBM Corporation

 IBM Security Systems

Развитие архитектуры QRadar

8 © 2014 IBM Corporation

 IBM Security Systems
SIEM 1.0
Проблемы обычных SIEM:
1. “Вечное” внедрение (люди, $$$)
2. Много ложных срабатываний
3. Многое упускает

Logs
Case
Incident

9 © 2014 IBM Corporation

 IBM Security Systems QRadar – Полная видимость сети
Проблемы обычных SIEM:
1. “Вечное” внедрение (люди, $$$)
2. Много ложных срабатываний
3. Многое упускает

Logs
Case
Incident

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
… IP)
Flows
+
QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

10 © 2014 IBM Corporation

 IBM Security Systems QRadar – База Активов
1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
Asset DB 4) Guardium (DB) 3. Многое упускает
(База 5) Mainframe
активов) 6) IDM / AM
7) Сканеры уязвимостей
8) IP Reputation • Botnet
• Malware
• Anonym Proxy
• Сканеры IP
• SPAM sites
…

Logs
Case
Incident

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
… IP)
Flows
+
QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

11 © 2014 IBM Corporation

 IBM Security Systems QRadar – Risk Manager
1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
Asset DB 4) Guardium (DB) 3. Многое упускает
(База 5) Mainframe
активов) 6) IDM / AM
7) Сканеры уязвимостей
8) IP Reputation • Botnet
• Malware
• Anonym Proxy
• Сканеры IP
• SPAM sites
…

Logs
Case
Incident

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
Config Info … IP)
Risk Manager Flows
(Routers, +
FW …) QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

Симуляция Выявление
ошибок в
настройках

12 © 2014 IBM Corporation

 IBM Security Systems QRadar – Vulnerability Manager
Guardium
(DB) Scanners 1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
AppScan 3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
(Web)
Asset DB 4) Guardium (DB) 3. Многое упускает
Vulnerability (База 5) Mainframe
Trusteer Manager активов) 6) IDM / AM
7) Сканеры уязвимостей Risk
8) IP Reputation • Botnet Patched
(BigFix) (X-Force,
• Malware CVES)
Inactive
• Anonym Proxy
Встроенный Site Protector (Flows)
• Сканеры IP Blocked
сканер • SPAM sites (IPS/FW) Exploited
…
Появление нового устройства
Появление новой уязвимости
Logs
Изменения в топологии сети Case
Проверка подозрительного устройства Incident
Сканирование отдельных групп ресурсов
Сканирование снаружи
…

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
Config Info … IP)
Risk Manager Flows
(Routers, +
FW …) QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

Симуляция Выявление
ошибок в
настройках

13 © 2014 IBM Corporation

 IBM Security Systems QRadar – Выявление аномалий
Guardium
(DB) Scanners 1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
AppScan 3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
(Web)
Asset DB 4) Guardium (DB) 3. Многое упускает
Vulnerability (База 5) Mainframe
Trusteer Manager активов) 6) IDM / AM
7) Сканеры уязвимостей Risk
8) IP Reputation • Botnet Patched
(BigFix) (X-Force,
• Malware CVES)
Inactive
• Anonym Proxy
Встроенный Site Protector (Flows)
• Сканеры IP Blocked
сканер • SPAM sites (IPS/FW) Exploited
…
Появление нового устройства
Появление новой уязвимости
Logs
Изменения в топологии сети Case
Проверка подозрительного устройства Incident
Сканирование отдельных групп ресурсов
Сканирование снаружи
…

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
Config Info … IP)
Risk Manager Flows
(Routers, +
FW …) QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

Baseline analysis
Симуляция Выявление 24 часа
ошибок в
настройках 7 дней

14 © 2014 IBM Corporation

 IBM Security Systems QRadar – Offence
Guardium
(DB) Scanners 1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
AppScan 3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
(Web)
Asset DB 4) Guardium (DB) 3. Многое упускает
Vulnerability (База 5) Mainframe
Trusteer Manager активов) 6) IDM / AM
7) Сканеры уязвимостей Risk
8) IP Reputation • Botnet Patched
(BigFix) (X-Force,
• Malware CVES)
Inactive
• Anonym Proxy
Встроенный Site Protector (Flows)
• Сканеры IP Blocked
сканер • SPAM sites (IPS/FW) Exploited
Real-Time …
Появление нового устройства
Появление новой уязвимости
Logs
Изменения в топологии сети Case
Проверка подозрительного устройства Offence
Incident (нарушение
Сканирование отдельных групп ресурсов
в динамике)
Сканирование снаружи
…

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
Config Info … IP)
Risk Manager Flows
(Routers, +
FW …) QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

Baseline analysis
Симуляция Выявление 24 часа
ошибок в
настройках 7 дней

15 © 2014 IBM Corporation

 IBM Security Systems QRadar – Incident Forensics
Guardium
(DB) Scanners 1) Автораспознование активов Проблемы обычных SIEM:
(DNS, DHCP, Mail, FTP …)
2) User info (AD, Web Login)
1. “Вечное” внедрение (люди, $$$)
AppScan 3) IPS+IPFix+Application Info (Facebook) 2. Много ложных срабатываний
(Web)
Asset DB 4) Guardium (DB) 3. Многое упускает
Vulnerability (База 5) Mainframe
Trusteer Manager активов) 6) IDM / AM
7) Сканеры уязвимостей Risk
8) IP Reputation • Botnet Patched
(BigFix) (X-Force,
• Malware CVES)
Inactive
• Anonym Proxy
Встроенный Site Protector (Flows)
• Сканеры IP Blocked
сканер • SPAM sites (IPS/FW) Exploited
Real-Time …
Появление нового устройства
Появление новой уязвимости
Logs
Изменения в топологии сети Case Incident
Проверка подозрительного устройства Offence
Incident (нарушение Forensics
Сканирование отдельных групп ресурсов
в динамике)
Сканирование снаружи
…

NetFlow
JFlow IPFix 2,4 Layer
SFlow (MAC,
Config Info … IP)
Risk Manager Flows
(Routers, +
FW …) QFlow 7 Layer (Facebook, PDF,…)
VFlow 7 Layer VMware

Baseline analysis
Симуляция Выявление 24 часа
ошибок в
настройках 7 дней

16 © 2014 IBM Corporation

 IBM Security Systems

Глубокий интеллект QRadar, чтобы найти настоящее нарушение

Множество Источников …Подозрительные Инциденты

Устройства
безопасности

Серверное оборудование Глубокий Интеллект

Сетевая и виртуальная • Автоматический сбор данных, Нарушение
активность расследование нарушений и
профилирование
Активность баз данных (БД)
• Автоматизированная и
интегрированная аналитика в Авто
Активность приложений реальном времени Определение
Нарушений
• Уменьшение массивов данных
Конфигурация устройств
• Поведенческий анализ
и определение аномалий
Уязвимости и угрозы
• Правила и шаблоны из коробки
Пользователи и учетные
записи

Глобальная База Угроз

17 © 2014 IBM Corporation

 IBM Security Systems

Интеллект, интеграция и автоматизация против угроз

Выполнить
Определить угрозу требования
стандартов
Вооружитесь всесторонним
анализом событий систем Автоматизированный сбор данных
безопасности и подготовка отчетов для аудита

Консолидированное Найти
хранилище данных внутренние угрозы
Сбор, корреляция и отчеты Next-generation SIEM
в одном интегрированном с учетом идентификации
решении

Лучше предвидеть
деловые риски
Полный жизненный цикл
управления рисками для
сетевой инфраструктуры
и систем безопасности

18 © 2014 IBM Corporation

 IBM Security Systems

QRadar - Автоматизация для упрощения и ускорения

Немедленное
расследование
сетевых угроз
Упрощенное
развертывание Проактивное сканирование
уязвимостей, сравнения
Автоматизированная сетевых конфигураций,
конфигурация проверки соответствия
источников логов и баз политике
угроз

Правила и
отчеты из
Автоматические
коробки
обновления
Уменьшение затрат
Будьте в курсе на расследование
последних угроз, инцидентов и
уязвимостей и соответствие
протоколов стандартам

19 © 2014 IBM Corporation

 IBM Security Systems

Решения для полного цикла

Защищает ли Что
Каковы внешние и текущая происходит Каков
внутренние угрозы? конфигурация от прямо результат?
этих угроз? сейчас?

Прогнозирование и
предотвращение
Risk Management. Vulnerability Management.
Configuration Monitoring. Patch Management.
X-Force Research and Threat Intelligence.
Compliance Management. Reporting and Scorecards.
Реакция и исправление
SIEM. Log Management. Incident Response.
Network and Host Intrusion Prevention.
Network Anomaly Detection. Packet Forensics.
Database Activity Monitoring. Data Loss Prevention.

20 © 2014 IBM Corporation

 IBM Security Systems

Расширяемая масштабируемая платформа решений QRadar

• Log management и отчеты, без
Log настройки из коробки
Management • От СМБ до масштаба предприятия
• Расширяется до SIEM

• Корреляция журналов, потоков,

уязвимостей, учета пользователей
SIEM • Передовое профилирование активов
• Управление нарушениями

• Мониторинг приложений на Уровне 7

Видимость
• Захват контента для глубокого анализа и
сети и расследований
приложений • Физические и виртуальные среды

• Мониторинг конфигурации средств

Управление сетевой безопасности
рисками и • Приоритезация уязвимостей
уязвимостями • Прогнозирующее моделирование угроз
и симуляция

• Процессоры Событий и Потоков

Масштабируе • Отказоустойчивость и
мость Катастрофоустойчивость
• Горизонтальное масштабирование Data Node

Расследованиe • Восстановление сетевых сессий из PCAPs

инцидентов • Инструменты визуализации оборота данных
Incident Forensics
в сети • Ясное представление Кто, Что, Когда?

21 © 2014 IBM Corporation

 IBM Security Systems

Полностью интегрированная архитектура и интерфейс

Единая консоль управления безопасностью

Панель управления

Нарушения

Журналирование

Сетевая активность

Угрозы

Расследования

Отчеты

Администрирование

22 © 2014 IBM Corporation

 IBM Security Systems

Решая реальные задачи клиентов

Крупная • Обнаружено 500 хостов, зараженных
электро Обнаружение угроз вирусом “Here You Have”, до появления
компания антивирусной сигнатуры

Крупная • 2 миллиарда событий в день

нефтяная Консолидация
сокращается до 25 приоритетных
компания массивов данных нарушений

Производитель
модных Обнаружение • Инсайдер воровал конфиденциальную
инсайдерской угрозы информацию
товаров

Международный Прогнозирование рисков • Автоматизирован мониторинг изменений

холдинг и оценка воздействия изменений
для бизнеса конфигурации сетевой инфраструктуры

Промышленный Исполнение требований • Выполнение обязательных требований

дистрибьютор PCI и мониторинг сетевой активности
регуляторов в реальном времени

23 © 2014 IBM Corporation

 IBM Security Systems

Вызов 1: Обнаружение угроз

Потенциальный ботнет?
Больше информации, чем дает
обычный SIEM

IRC через порт 80?

IBM Security QRadar QFlow
обнаруживает скрытые каналы
коммуникаций

Неопровержимое доказательство
связи с ботсетью
Информация о потоках Уровня 7
содержит команды Command &
Control ботсети

Анализ потоков на уровне приложений позволяет

обнаруживать угрозы, которые другие решения пропускают
24 © 2014 IBM Corporation
 IBM Security Systems

Вызов 2: Консолидация массивов данных Анализ и потоков, и

событий одновременно.
Только IBM Security QRadar
полностью использует
информацию из потоков
Уровня 7.

Сокращение объема
данных до управляемых
Data Reduction Ratio 1153571 : 1 значений

Передовые методы
корреляции между
массивами данных

Обширный
Глубокий Исключительно точные и практически
перечень + =
интеллект применимые выводы
источников
25 © 2014 IBM Corporation
 IBM Security Systems

Вызов 3: Обнаружение инсайдерской угрозы

Потенциальная
утечка данных
Кто? Что? Куда?

Кто?
Внутренний пользователь

Что?
Данные из БД Oracle

Куда?
Gmail

Обнаружение угроз в постпериметральном мире

Обнаружение аномалий на уровне пользователей и видимость на уровне
приложений критически необходимы для определения инсайдерских угроз
26 © 2014 IBM Corporation
 IBM Security Systems

Вызов 4: Точное прогнозирование рисков для Вашего бизнеса

Определить активы с уязвимостями, позволяющими выполнить произвольный
код, и с высокой степенью риска
Какие активы затронуты?
Как расставить приоритеты?

Подробности?
Информация об уязвимостях,
ранжированных по степени
риска

Как устранить
уязвимость?

Превентивный Security Intelligence (до атаки)

Обеспечить мониторинг конфигурации сети, выявление несоответствия
требованиям, рисков, приоритезацию рисков для последующего устранения
27 © 2014 IBM Corporation
 IBM Security Systems

Вызов 5: Исполнение требований регуляторов

Риск нарушения
требований PCI?
Обнаружение
возможных нарушений в
реальном времени

Незашифрованный трафик
IBM Security QRadar QFlow обнаружил службу на сервере Accounting,
передающую данные в открытом виде.
PCI Требование 4 гласит: Шифровать данные владельцев карт при передаче по
открытым, публичным сетям

Обеспечение соответствия становится проще

Поддержка основных стандартов и требований «из коробки»
Автоматизированные отчеты, предопределенные правила корреляции и
информационные панели
28 © 2014 IBM Corporation
 IBM Security Systems

Предложения QRadar Security Intelligence Platform

Продукт Описание
QRadar SIEM обеспечивает полную видимость происходящего и предоставляет выводы,
которые имеют практический смысл, чтобы защитить сети и ИТ-активы от широкого спектра
SIEM
опасных угроз. Он помогает быстрее обнаруживать и устранять, исполнять требования и
повышать эффективность управления информационной безопасностью.

QRadar Log Manager собирает, архивирует, анализирует и генерирует отчеты по событиям в

Log Manager распределенной сети. Он помогает исполнять требования регуляторов и внутренних
корпоративных политик, снижая объем ручной работы.

QRadar QFlow дополняет QRadar SIEM, обеспечивая глубокий анализ контента. Он собирает
данные потоков Уровня 7 при помощи технологии deep packet inspection, предоставляя
QFlow
возможность обнаруживать самые современные угрозы путем анализа содержимого пакетов,
как в физической так и в виртуальной среде.
QRadar Risk Manager идентифицирует и снижает риски безопасности при помощи мониторинга
конфигурации устройств, приоритезации уязвимостей, симуляции и визуализации угроз.
Risk Manager
Помогает предотвращать инциденты ИБ, повышая операционную эффективность и уровень
соответствия требованиям.
QRadar Vulnerability Manager сканирует сеть и потоки на предмет наличия и использования
уязвимостей. Интегрированное с QRadar SIEM решение помогает приоретизировать
Vulnerability Manager
уязвимости по их влиянию на общей уровень безопасности корпоративной сети и критично
важные объекты инфраструктуры.

QRadar Incident Forensics сохраняет архив сетевых сессий для последующего детального
Incident Forensics расследования произошедших инцидентов, предоставляя визуализацию и доказательную
базу.

29 © 2014 IBM Corporation

 IBM Security Systems

Risk Manager - Анализ конфигураций сетевых устройств

Найти устройства с
опасными настройками
Использовать знания о сетевом
трафике и уязвимостях

Быстро оценить и
проанализировать
опасный трафик

Найти бреши, прежде чем это сделает

Ваш оппонент
Постоянная видимость и мониторинг на все 360º
30 © 2014 IBM Corporation
 IBM Security Systems

QRadar Vulnerability Manager

Характеристики
New
 Уникальное решение Log
SIEM
Network
Activity
Risk Vulnerability
Manager
интегрированное в SIEM Manager
Monitor
Manager

 Предоставляет
унифицированный вид на всю
информацию об уязвимостях

 Значительно улучшает
информацию к действию через
богатый контекст

 Снижает общие затраты на

владение через консолидацию и
операционную эффективность
нескольких решений

Security Intelligence расширяет и изменяет управление уязвимостями

– также как и при работе с логами, событиями, потоками и управлением рисками.

31 © 2014 IBM Corporation

 IBM Security Systems

Представляем Incident Forensics

Множество Источников …Расследование Инцидентов

Устройства
безопасности Расследование инцидента
и доказательства
Серверное Глубокий
оборудование
Интеллект Нарушение
Сетевая и
• Автоматический сбор данных,
виртуальная
расследование нарушений и
активность профилирование
Активность баз • Полное PCAP
данных (БД) • Автоматизированная и
интегрированная аналитика в Расследование
реальном времени Авто
Активность Определение • Детальные
приложений • Уменьшение массивов данных Нарушений доказательства
Конфигурация • Поведенческий анализ по инциденту
устройств и определение аномалий
• Восстановление
• Правила и шаблоны из деталей включая
Уязвимости и коробки
угрозы активность
пользователей
Пользователи и
учетные записи

Глобальная База
Угроз

32 © 2014 IBM Corporation

 IBM Security Systems Одно решение на замену множеству

Сетевый потоки

Пакеты

Уязвимости

Конфигурации

Логи
IBM QRadar
Security Intelligence
События

Security Intelligence – All-In-One

33 © 2014 IBM Corporation
 IBM Security Systems

Уникальные преимущества QRadar

 Корреляция в реальном времени и обнаружение аномалий на основе
широчайшего спектра данных, с учетом контекста
 Эффект: Более точное обнаружение угроз в реальном времени

 Интегрированный анализ потоков, включая контент Уровня 7 (приложений)

 Эффект: Превосходная ситуационная информированность и
идентификация угроз

 Интеллектуальная автоматизация сбора данных, обнаружения активов,

профилирования активов и т.д.
 Эффект: Сокращение ручного труда, быстрый time to value, низкая
стоимость эксплуатации

 Гибкость и простота использования, позволяющая «простым смертным»

создавать и редактировать правила корреляции, отчеты, информационные
панели
 Эффект: Максимальная эффективность, низкая стоимость владения

 Масштабируемость для самых больших внедрений благодаря встроенной БД и

унифицированной архитектуре данных
 Эффект: QRadar поддерживает потребности Вашего бизнеса любого
масштаба
34 © 2014 IBM Corporation
 IBM Security Systems

Развитие Qradar глазами Gartner

35 © 2014 IBM Corporation

 IBM Security Systems Gartner 2014

36 © 2014 IBM Corporation

 IBM Security Systems Некоторые Европейские заказчики

37 © 2014 IBM Corporation

 IBM Security Systems Некоторые заказчики в R/CIS

38
IBM AND BP Internal Use Only © 2014 IBM Corporation
 IBM Security Systems Еще заказчики

39 © 2014 IBM Corporation

 IBM Security Systems

Почему IBM Security: Широта, глубокая экспертиза, интеграция

Лидерство
 Лидер в “Magic Quadrant for Security Information and Event Management”, Gartner,
2009, 2010, 2011, 2012, 2013, 2014.
 #1 по Гартнеру во всех use cases ("Critical Capabilities for Security Information and
Event Management Technology," Gartner, 2013)

Интеграция
 Интегрирован с более, чем 400 продуктами
 SIEM, Log Management, обнаружение поведенческих
аномалий, мониторинг конфигурации, управление
уязвимостями, все это в единой консоли

Экспертиза
 Интегрированные сторонние источники информации,
включая IBM X-Force Threat Intelligence
 Интеграция с IBM InfoSphere Guardium, IBM
Security Network Protection, IBM Security AppScan
и IBM Identity & Access Manager для оптимизации ИБ

40 © 2014 IBM Corporation

 IBM Security Systems

ibm.com/security

© Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is
provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to,
these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its
suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials
to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities
referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a
commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International
Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of
others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper
access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to
or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure
can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will
41 necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT © 2014 IBM Corporation
WARRANT
THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.