• Звонок по России бесплатный 8 800 200-59-60
  • Москва +7 (495) 232-92-30
  • Санкт-Петербург +7 (812) 327-59-60
  • Екатеринбург +7 (343) 378-41-50

IBM Tivoli Security Operations Manager

IBM Tivoli Security Operations Manager функционально дополняет Tivoli Security Insight Manager, образуя мощное комплексное решение IBM по управлению событиями информационной безопасности. Если Tivoli Compliance Insight Manager обеспечивает контроль за внутренними угрозами, исходящими от пользователей, то Tivoli Security Operations Manager предназначен преимущественно для снижения рисков и угроз, исходящих от внешних нарушителей и технологий.

Tivoli Security Operations Manager (TSOM) - это набор программных модулей для построения системы сбора и корреляции сообщений от различных устройств и программ обеспечения информационной безопасности.

TSOM предназначен для служб эксплуатации систем информационной безопасности, он позволяет автоматизировать часто повторяющиеся и трудоёмкие операции, применяемые специалистами для своевременного обнаружения угроз. Примерами таких операций могут быть: сопоставление сообщений от сетевых устройств безопасности по всему пути прохождения атаки, оценка интенсивности (частоты) этих попыток, анализ журналов систем и сообщений узловых приложений обнаружения вторжений (HIDS), соотнесение этих данных с учётными данными по уязвимости конкретных систем и сообщениями антивирусного ПО и т.п. Исходные и обработанные данные предоставляются специалистам в виде инструментальных панелей (диаграммы, таблицы сообщений, географические карты) и исторических отчётов. Отчёты могут создаваться как по запросу, так и по расписанию; поддерживаемые форматы отчётов - HTML, PDF и XML. Все оперативные данные и отчёты доступны через Web-интерфейс. поддерживает более ста устройств и программ информационной безопасности от различных производителей: межсетевые экраны, узловые и сетевые системы обнаружения и предотвращения вторжений, сканеры на наличие уязвимых мест, антивирусное программное обеспечение. Источниками сообщений могут быть журналы операционных систем и прикладного ПО, сетевые устройства (SNMP Traps/Syslog), ПО служб каталогов и систем аутентификации и авторизации.

Благодаря тому, что TSOM - модульная система, её архитектура позволяет получить требуемую производительность для обработки и сохранения потоков сообщений очень большой интенсивности (500 и более сообщений в секунду на один агрегационный модуль). ЕАМ (Event Aggregation Module) выполняет функции сбора сообщений. Он поддерживает следующие способы получения данных: Syslog, SNMP, SMTP, XML, журналы Windows, ASCII File and Directory Tailer, JDBC, а также интерфейсы прикладного программирования OPSEC, Cisco Secure POP, EStreamer.

Для подключения объектов, к которым нет готового интерфейса, используется так называемый Универсальный Агент (Universal Collection Module). Логика унификации и обработки сообщений в ЕАМ задаётся текстовыми файлами правил, написанными на языке Perl. Производительность и масштабируемость системы обеспечиваются за счёт увеличения количества ЕАМ. Все собранные и приведённые к единому виду данные предаются на центральную станцию управления CMS (Central Management System). CMS - это ядро решения. В ней происходит корреляция, анализ угроз, хранение данных и создание отчётов. Анализ и приоритезация данных производится при помощи четырёх дополняющих друг друга корреляционных техник.

  • Корреляция на основе правил (Rule-based Correlation) - позволяет выявить известные атаки и нарушения политики безопасности.
  • Корреляция с учётом уязвимости цели (Vulnerability Correlation) - сопоставляет известные атаки с извес тными слабыми местами на атакуемой системе (данные по уязвимости могут экспортироваться из сканеров, напр, из Nessus).
  • Статистическая корреляция (Statistical Correlation) - запатентованный алгоритм этой корреляции позволяет выявлять неизвестные ранее атаки и ненормальные, потенциально опасные, действия. Оценка степени угрозы производится на основе приоритета сообщения, его частоты и весовых коэффициентов (степени критичности) источника атаки и атакуемого хоста. В среднем, одна только статистическая корреляция может выявлять до 70% всех инцидентов. Особенно хорошо данная техника показала себя в борьбе с "червями" и другими связанными с Интернет угрозами.
  • Корреляции с учётом восприимчивости (Susceptibility Correlation) - определяет вероятность нанесения повреждения атакуемому объекту.

 

Примеры решаемых вопросов: существует ли атакуемый сервер, открыты ли на нём "атакуемые" ТСР-порты, уязвима ли для такой атаки его операционная система, есть ли вообще на этом сервере приложение, которое пытаются взломать. В дополнение к этим корреляциям TSOM, при оценке угроз, может принимать во внимание бизнес-значимость ресурса.

После корреляции информация становится доступна генератору отчётов, а также может использоваться сервером приложений для инициации различных автоматизированных действий. Например, сервер может отправить уведомление по электронной почте, SNMP trap, сгенерировать синтетическое сообщение, изменить настройку межсетевого экрана и т.д. Специальные инструментальные панели реального времени также создаются в результате работы этого сервера приложений.

Для обеспечения высокой производительности системы CMS может устанавливаться на отдельном сервере.

Система Orphus