ИТБ: Security Capsule

Security Capsule - SIEM-cистема регистрации событий безопасности.

Осенью 2016 года программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года.

28 сентября 2016 года компания "ИТБ" сообщила о выпуске релиза модернизированной версии ПАКАБ SIEM «Security Capsule».

ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет функции:

• регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях,
• разграничение доступа пользователей к информационным ресурсам SIEM,
• контроль доступа SIEM,
• контроль целостности файлов SIEM,
• корреляцию событий ИБ,
• реакцию на события ИБ.

Архитектура системы, (2015)

На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.

Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:

• доступ пользователя к приложению и завершение работы;
• разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
• сообщения, получаемые от сетевых устройств;
• действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken;
• обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.

Состав модулей программы (коннекторов) вариативен по согласованию с заказчиком.

Перечень разработанных коннекторов, накапливающих данные о событиях информационной безопасности:

• данные от сетевых устройств, использующих протокол syslog (например: оборудование Cisco, оборудование S-Terra, CheckPoint);
• данные в журналах СУБД, например, Oracle;
• данные в системном журнале ОС семейств Windows, Linux;
• данные при применении съемных носителей информации типа eToken, USB, LPT, COM. IEEE 1394, ZlocK, Device Lock;
• данные от СЗИ от НСД, например: Блок-Хост, Dallas Lock;
• данные от антивирусных средств, например: Доктор WEB, NOD32, Антивирус Касперского;
• данные из Active Direcory;
• данные реестра ОС Windows;
• данные от IDM-систем (Identity Management), например: Аванпост;
• данные от DLP-систем (Data Leak Prevention), например: Falcongaze.

SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в сфере информационной безопасности.

Система ориентирована на использование:

• администраторами безопасности;
• администраторами ИС, СУБД, ЛВС, СПД;
• руководителями служб безопасности;
• руководителями компаний, предприятий (организаций);
• разработчиками систем защиты конфиденциальной информации.

Использование

Для использования SIEM-системы должны выполняться условия: SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux. Для работоспособности программы необходимо окружение выполнения Microsoft .NET Framework 4.0. Программа работает в архитектуре клиент/сервер. Серверной часть - СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.

Архитектура

ПАКАБ «Security Capsule» действует на основе клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.

В составе ПАКАБ «Security Capsule» модули:

• модуль серверной части;
• модуль мониторинга и администрирования;
• центральный модуль;
• клиентские модули;
• коннекторы;
• модуль формирования отчетов.

Серверный компонент имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.

С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важный модуль системы - модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.

Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью.

Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».

С помощью SIEM «Security Capsule» возможно выявить:

• Сетевые атаки во внутреннем и внешнем периметрах.
• Минимальные требования к аппаратной среде.
• Вирусные заражения, бэкдоры и трояны.
• Попытки несанкционированного доступа к информации.
• Фрод и мошенничество.
• Ошибки в работе информационных систем.
• Уязвимости.
• Ошибки конфигураций в средствах защиты и информационных системах.

События, фиксируемые SIEM «Security Capsule»:

• связанные с попытками пользователей установления доступа.
• сообщения от сетевых устройств.
• вызванные действиями пользователей на рабочих станциях.
• получаемые от средств контроля съёмных носителей.
• прикладных информационных систем.
• связанные с AD.
• контроль операционной и программной сред.
• СУБД.
• ОС семейства Windows, Linux.
• получаемые от СЗИ от НСД.

Требования к аппаратному окружению

• процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
• не менее 256 Мб ОЗУ;
• для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
• ручной манипулятор типа «мышь»;
• устройство для работы со съемными носителями информации (дисковод для CD и DVD);
• видеокарта SVGA;
• сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
• компьютерная клавиатура;
• монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.

ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №2705 от 7 сентября 2012 года.