Cybels

Cybels

CYBELS (CYBer Expertise for Leading Security) - исчерпывающее, модульное, гибкое и бессрочное решение для активной кибер-защиты критически-важных информационных систем, предприятий и организаций.

 Основные модули на текущий момент:

Системастандартноготипа: IDS (Intrusion Detection System)

 

♦ CYBELS Scan: Система Выявления Уязвимостей

Методологический подход, ПО и сервис THALES

♦ CYBELS Decision: Система Поддержки Принятия Решений

Агрегация и анализ данных в интерфейсах понятных бизнесу

♦ CYBELS Map: Система Анализа СетевойТопологии

Наглядное отображение сетевой инфраструктуры и ретроспективы событий

♦ CYBELS Intelligence: Система Анализа Сетевых Медиа и Социальных Сетей

Технологии Big Data для предупреждения возникновения угроз

 

Рисунок 1. Использование CYBELS в кризисной ситуации.

Согласно методологии THALES, модули CYBELS обеспечивают поддержку офицеров информационной безопасности на всех этапах возникновения угроз:

  ♦ В момент, когда нападение можно предупредить

  ♦ В процессе обнаружения атаки

  ♦ При решении задач по устранению вредоносного воздействия

Подход к созданию и внедрению CYBELS базируется на инновационных разработках и исследованиях, проводимых в лабораториях THALES в течение многих лет.

 

Рисунок 2. Структура внедрения решений CYBELS

На Рисунке 2 изображены точки приложения и области использования программных модулей CYBELS и сервисов THALES, предлагаемых в процессе внедрения.

 

 CYBELS Decision - внедряется в технических подразделениях, подразделениях бизнеса и управления компании для наглядного отображения данных о состоянии безопасности систем и происходящих в них процессах.

 CYBELS Map, CYBELS Scan и CYBELS Intelligence внедряются на уровне технических подразделений информационной безопасности для наглядного отображения и анализа сложных данных. Они позволяют обнаружить или предотвратить вредоносное воздействие на информационные системы предприятия.

 CYBELS Sensor - внедряется на уровне подразделений эксплуатации информационных систем и оборудования.

 CYBELS Consulting, CYBELS Risk Management, CYBELS Practice и CYBELS Rapid Reaction Team - сервисные услуги THALES, предлагаемые в процессе внедрения технических решений CYBELS, которые позволяют соответственно:

   ♦ Провести комплексный анализ и оказать консультационные услуги по стратегии обеспечения информационной безопасности предприятия;

  ♦ Построить систему оценки и управления рисками в ключе кибер-угроз;

  ♦ Организовать регулярный практический тренинг и построить модельную систему;

  ♦ Организовать службу быстрого реагирования на случай возникновения кризиса, с привлечением опытных специалистов THALES в особо трудных случаях.

 

Рассмотрим подробнее функционал и интерфейсы основных модулей CYBELS:

CYBELS Sensor - специализированное стандартизованное решение мониторинга вторжений типа IDS (Intrusion Detection System) с поддержкой жизненного цикла тревожных сообщений. Оно обеспечивает удобный контроль информационной системы, осуществляемый путем установки датчиков на входных и выходных точках сети для всестороннего анализа трафика.

CYBELS Sensor обнаруживает вредоносную деятельность, идентифицирует источники проблемы, генерирует тревожные сообщения и собирает доказательства цифровой криминалистики.

Функции CYBELSSensor:

  ♦ Собственные функции IDS и интеграция IDS сторонних производителей.

  ♦ Обнаружение аномалий поведения сети с использованием протокола Netflow

  ♦ Глубокий и разнообразный анализ пакетов данных и логов.

  ♦ Агрегация, корреляция и глобальное представление инцидентов безопасности.

  ♦ Сопровождение отслеживания тревожных сообщений.

  ♦ Средства гибкой настройки правил сбора информации и предусмотренных реакций.

 

Рисунок 3. Интерфейс CYBELS Sensor демонстрационной версиисистемы.

Методологический подход, ПО и сервис THALES

В процессе жизненного цикла информационной системы, безопасность должна рассматриваться с разных углов зрения: перспективы бизнес-процессов, география, топология системы и персонал. CYBELS Scan - это программный продукт и сервис, разработанные для контекстуального развития и управления уровнями уязвимости.

CYBELS Scan фокусируется на определении уязвимостей, влияющих на активы, которые заказчик хочет защитить. Он объединяет эти уязвимости с уровнями безопасности информационной системы (патчи, антивирусные системы, и другие средства безопасности).

 

CYBELS Scan устанавливается в непрерывный цикл развития информационной системы и предоставляет следующее:

  ♦ Моментальный снимок (Snapshot) уровней уязвимости для локальной инфраструктуры и глобальной информационной системы в конкретное время.

  ♦ Уровень уязвимости агрегированный за день, сопровождаемый "дорожной картой" безопасности в сопоставлении с бизнес-рисками.

  ♦ Персонализацию уязвимостей в соответствии с Системой Менеджмента Информационной Безопасности (ISMS, ISO 27001/ISO27002) и требованиям Политики Безопасности (Security Poliсy).

  ♦ Интеграцию с инструментами оценки уязвимостей, такими, как коммерческий Tenable's Nessus (© 2002 – 2011, Tenable Network Security ®) и свободное ПО с лицензией GPL (OpenVAS, Nikto, SkipFish и др.).

  ♦ Интеграцию с Sekimia (© 2008 – 2011) - коммерческий продукт (Классификация активов и карта бизнес-процессов) для точной локализации и оценки влияния на бизнес возможных атак.

  ♦ Сопоставление уровня уязвимости с анализом рисков, тестами на проникновение, техническим аудитом и отчетами консультантов.

 

Рисунок 4. Пример интерфейсов CYBELS Scan.

Сбор и анализ данных в интерфейсах для бизнеса

CYBELS Decision - средство помощи для принятия решений, позволяющее поднять систему реакций на инциденты информационной безопасности на самый высокий уровень операционной организации в соответствии с рабочей концепцией (CONOPS). Это позволяет получить общую картину кибер-защиты в различных ситуациях с динамической оценкой рисков и управлением этими рисками. Масштабируемый интерфейс CYBELS Decision представляет вершину оперативных возможностей управления для Центра Безопасности и отображает реальные угрозы на разных уровнях: 

  ♦ Бизнес-представление и генерация различных отчетов.

  ♦ Операционное представление и генерация различных отчетов.

  ♦ Техническое представление информационной системы.

  ♦ Техническое представление технологического слоя - АСУ (ICS: SCADA, DCS, PLS).

  ♦ Список инцидентов информационной безопасности, наборы стандартных процедур реагирования (SOP) и средства оценки рисков.

 

Рисунок 5. Интерфейсы CYBELS Decision на разных уровнях.

 

Защищаемая организация получает следующие возможности:

  ♦ Отчеты по информационной безопасности.

  ♦ Поиск решений для обнаружения новых атак в киберпространстве.

  ♦ Обнаружение распределенных и временных и слабо выраженных атак.

  ♦ Глобальное представление сложных интегрированных промышленных систем.

  ♦ Уменьшение потерь информации между слоем принятия решений на техническом и организационном уровне.

  ♦ Сокращение времени принятия решений.

  ♦ Гарантии, что техническая реакция соответствует решению.

 

Решение CYBELS Decision разработано на основе международных стандартов NIST ( National Institute of Standards and Technology) и рекомендовано NIST к использованию (См. документ NIST от 12.02.2014 - “Framework for Improving Critical Infrastructure Cybersecurity”).

 

Рисунок 6. Архитектура CYBELS Decision

 

В действительности CYBELS Decision предоставляет многофункциональный доступ к консолидированным данным ИБ из различных источников:

  ♦ Сообщения об инцидентах и связанных с ними событиях.

  ♦ Результаты инвентаризации компьютерного оборудования, ПО и топологии сети.

  ♦ Доступ к системам, ключам и паролям.

  ♦ Обнаружение уязвимостей.

  ♦ Анализ отношений между подразделениями и партнерами (SLA) и т.д.

Возможность динамической оценки рисков определяет приоритеты тревожных сообщений, рисует зависимость бизнеса предприятия от ИТ активов и вычисляет уровни угроз. Жизненный цикл тревожных сообщений (Alarms) CYBELS Decision представлен на схеме:

 

Рисунок 7. Жизненный цикл тревожных сообщений

Он опирается на процедуры обнаружения, уточнения, классификации, контекстуализации. Интерфейс системы обеспечивает конфигурацию новых типов реакций и настраиваемых представлений информации. Для этого используются: базы знаний (текст, wiki, и т.д.), пиктограммы, карты и геоинформационные системы, синоптический анализ и шкала времени. Наиболее общая оперативная картина дает:

  ♦ Комплексный обзор тревожных сигналов от разных объектов и о разных событиях.

  ♦ Генерациею различных отчетов.

  ♦ Применение стандартных рабочих процедур (SOP).

  ♦ Трансформацию технических представлений в представления для бизнеса.

  ♦ Сортировку инцидентов в соответствии с приоритетами бизнеса.

  ♦ Оценку влияния инцидентов информационной безопасности на бизнес-среду.

Без использования конфигурационной базы данных (CMDB), бизнес-ориентированное управление инцидентами выполняется шаг за шагом в порядке категоризации, маркировки и квалификации. При использовании конфигурационной базы данных изменяющийся процесс управления внедряется в соответствии с подходом ITIL. В этом случае анализ, влияющий на бизнес, способствует обогащению базы.

 

Рисунок 8. Функциональные возможности CYBELS Decision.

Интерфейсы CYBELS Decision масштабируемы, конфигурируемы и гибко настраиваемые. Пользователи легко могут:

  ♦ Создать и моделировать собственное кибер-окружение.

  ♦ Настроить собственные стандартные операционные процедуры (SOP).

  ♦ Разработать собственные представления (виджеты, окна и т.п.).

  ♦ Создать собственные типы действий или использовать существующие.

  ♦ Динамически добавлять новые свойства.

Решение также обеспечивает аутентификацию (AuthN), авторизацию (AuthZ), технологию единого входа (SSO) и высокую доступность через кластеризацию. И, наконец, решение базируется на фреймворке, который балансирует нагрузки на процессоры и способствует применению архитектуры normal/standby.

 

Примеры интерфейсов CYBELS Decision для бизнеса:

 

 

Рисунок 9. Контрольная панель с диаграммой событий.

 

Рисунок 10. Контрольная панель с графиком трафика пассажиров в аэропорту.

Примеры интерфейсов CYBELS Decision оперативного управления:

 

Рисунок 11. Карта активов с диаграммой событий.

 

Рисунок 12. Панель управления со списком аварийных сигналов и статистикой.

 

Рисунок 13.Структура технологического объекта.

Примеры интерфейсов CYBELS Decision для технических служб: Рисунок

 

Рисунок 14.Структура IT-системы, верхний уровень со списком алармов.

 

Рисунок 15.Структура IT-системы, уровень подсистем со списком алармов.

 

Рисунок 16.Структура подсистемы SCADA, со списком алармов.

 

Рисунок 17. Граф уязвимостей в случае атаки.

Наглядное отображение сетевой инфраструктуры и ретроспективы событий CYBELS Map - инновационное средство позволяющее лучше представить и понять топологию сети комплексной и разнородной информационной системы. При помощи графического интерфейса система помогает получить точное представление об IT-архитектуре и информационной системе в динамике. Базируясь на данных от разнородных источников разнородной структуры (защитные сетевые экраны, антивирусное ПО, системы обнаружения вторжений (IDS) и т. д.), оно позволяет обеспечить мониторинг развития топологии сети, и, как средство активной защиты, позволяет определить и предотвратить потенциальные вторжения.

 

 

Рисунок 18. Интерфейсы CYBELS Map.

Технологии Big Data для предупреждения возникновения угроз CYBELS Intelligence предлагается как средство обработки большого объема данных, позволяющее предугадать деструктивную активность в отношении организации или внутри неё. Основная идея состоит в том, что направления кибер-атак и активность злоумышленников в отношении организаций или используемых ими информационных технологий можно оценить на основе анализа внешних открытых источников и внутренних данных организации.

Однако, огромный объем информации и необходимость ее оценки по разным критериям требуют особого подхода, состоящего из следующих основных пунктов:

  ♦ Формирование стратегии прогнозов деструктивной активности.

  ♦ Определение внешних и внутренних источников данных для анализа.

  ♦ Семантический анализ больших данных и выявление структур.

 

Рисунок 19. Интерфейсы CYBELS Intelligence. Представление данных.

При формировании стратегии прогноза деструктивной активности следует оценить следующие возможности:

  ♦ Мониторинг сообщений о компании, ее деятельности и ключевых лицах.

  ♦ Мониторинг различной активности в отношении компании.

  ♦ Мониторинг сообщений о технологиях, используемых в компании.

  ♦ Мониторинг информации в файлах, документах и сообщениях внутри компании.

  ♦ Другие возможности.

Анализ данных проводимый на постоянной основе позволяет формировать и постоянно обновлять целевое семантическое ядро (ключевые слова, критерии поиска, запросы), а также определять целевые источники данных.

  ♦ Внешние открытые источники информации:

     ♦ Социальные сети.

     ♦ Новостные порталы.

     ♦ Новостные группы.

     ♦ Профессиональные форумы и конференции.

     ♦ Блоги и чаты, например, IRC (Internet Relay Chat), твиттер.

     ♦ Любой другой web-контент.

  ♦ Внутренние источники информации:

     ♦ Документы в файловых системах организации.

     ♦ Документы и материалы в базах данных организации.

     ♦ Служебная переписка сотрудников.

Анализ внешних данных:

Группы хакеров используют анонимные чаты для общения и синхронизации действий в отношении атакуемых объектов. В демо-версии CYBELS предлагается индекс данных построенный на основе сообщений Твиттера за 6 месяцев. Поисковый отчет предполагает достаточно большое количество информации, однако средства CYBELS Int позволяют представить ее в синтетическом виде. Система сконфигурирована так, что данные представляются в виде связного графа, доступного в трех рабочих панелях. На левой панели мы имеем все тексты сообщений, в центральной панели всех пользователей, которые создали эти сообщения, а на правой панели - ключевые слова по которым происходит фильтрация и группировка сообщений.

 

Рисунок 20. Интерфейсы CYBELS Intelligence. Обнаружение данных.

В нашем примере:

  ♦ Поиск упоминаний названия компании "Pertovia" и тематики сектора "Oil & Gas" выявляет сообщения и группу лиц, ищущих способы воздействия на информационные системы предприятия.

  ♦ Поиск упоминания систем типа, "SCADA" и "ICS" (Industrial Control System), использующихся на предприятии, определяет, что эта же группа лиц интересуется уязвимостями систем данного типа и информацией о том какие именно из систем данного типа используются на предприятии.

  ♦ Упоминание SCADA-системы "Legend", использующейся на предприятии, выявляет, что некоторый специалист-энтузиаст, участвующий в конференции "Blackhat", обнаружил уязвимость данного ПО и выложил информацию об этом в сеть с описанием идеи, как данная система может быть атакована.

 

Рисунок 21. Интерфейсы CYBELS Intelligence. Семантический анализ.

Если учесть, что данная уязвимость выявлена до того, как о ней стало известно производителю ПО, и до того, как ошибка устранена, можно предложить, что системы предприятия в скором времени могут быть атакованы с использованием данной информации.

 

Рисунок 22. Интерфейсы CYBELS Intelligence. Синтетический анализ.

Сила инструмента не только в том, что он позволяет справиться с большим объемом информации, но и в том, что это средство помогает оператору провести семантический анализ. Учитывая смысл сообщений и ранжируя их по темам и пользователям, можно получить интересные связи и соответствия, выявить наиболее активных игроков и отношения меду ними. Инструмент так же позволяет оценить частотность сообщений, отвечающих критериям поиска, размещая их на шкале времени за которое сделана выборка данных. Вообще, количество панелей и критериев, по которым возможна оценка информации, зависит от ее структуры и источника и может отличаться от представленной. Также структура представления и технология анализа будет усложняться при использовании нескольких источников. Однако связи и зависимости, которые можно получить при использовании разных источников могут быть еще интереснее. Так же семантическая часть зависит от языка, который используется. В примере реализован английский язык, но есть решения на французском и арабском языках. Подключение языков заключается в использовании соответствующих лингвистических библиотек для анализаторов, таких какие используют в своих решениях поисковые машины в Интернет.

Анализ внутренних данных: Стоит отметить, что этот продукт можно использовать и для контроля внутренних данных организации. Так, в качестве частной задачи можно рассматривать индексацию и анализ информации сосредоточенной в файловых системах (хранилищах) и базах данных предприятия. Соотнесение семантического анализа документов с проектами и направлениями деятельности, с сотрудниками и их уровнем доступа к информации и частотой использования документов может вскрыть интересные структуры и отношения. В простейшем случае это позволяет просто навести порядок в неструктурированном массиве данных. В более сложных случаях позволяет избежать утечек информации и несанкционированного доступа к документам, информационным системам и даже технологическим объектам предприятия.

 

Рисунок 23. Интерфейсы CYBELS Intelligence. Статистический анализ.

 

Рисунок 24. Цикл обеспечения безопасности с CYBELS

Рисунок 25. Демо-платформа CYBELS.