PT Reporting Portal: как увидеть главные угрозы безопасности

PT Reporting Portal: как увидеть главные угрозы безопасности

В рамках вебинара 18 сентября эксперты компании Positive Technologies расскажут об особенностях использования инструментов бизнес-аналитики в области информационной безопасности.


Анализ больших потоков данных стал в последние годы серьезной проблемой для самых разных средств безопасности. Сканеры уязвимостей и межсетевые экраны, системы управления инцидентами и DLP-модули — все они имеют дело с тысячами событий, которые агрегируются ежедневно, ежечасно или даже ежеминутно. Специалистам по безопасности очень непросто разбирать эти бесконечные логи вручную. Да и оперативность защиты страдает: даже если система обнаружила критическую уязвимость или атаку, нужно еще время, чтобы эту находку заметил человек среди множества других сообщений.

Летом мы провели небольшой конкурс под названием « Чего нам не хватает в SIEM ». Практически все ИБ-специалисты, приславшие нам свои отзывы о современных системах мониторинга безопасности, отметили необходимость «умного» интерфейса, который позволял бы автоматически сортировать и визуализировать данные, чтобы заострить внимание экспертов на самых важных результатах.

Аналогичные запросы возникли и у пользователей системы контроля защищенности и соответствия стандартам MaxPatrol . Данная система применяет одну из крупнейших в мире баз уязвимостей для сканирования инфраструктур крупнейших компаний, банков, телекомов и промышленных предприятий с десятками тысяч узлов. Можно себе представить, какими порядками описывается количество записей в результатах аудита!

Ранние версии сканера не предполагали таких потоков, поэтому интерфейс был довольно прост. Однако вместе с объемом данных росли и пожелания клиентов, которым хотелось реализовать различные аналитические функции, используя результаты сканирования. Какие из найденных уязвимостей наиболее опасны? Какое из подразделений компании является слабым звеном? Повысился ли уровень защищенности после внедрения новых хвалёных антивирусов?

В ответ на подобные вопросы наши разработчики пробовали различные подходы для создания системы построения аналитических отчетов по указанным клиентом критериям. Например, в некоторых случаях XML-отчеты системы MaxPatrol обрабатывали просто с помощью макросов в Excel. Позже для одного из клиентов был реализован модуль отчетности на основе Microsoft SQL Server Reporting Services и отдельной базы данных MS SQL Server. В конце концов стало понятно, что необходимо более универсальное решение класса Business Intelligence, отвечающее интересам всех заказчиков.

Технологии

Основные требования к решениям BI давно известны. С одной стороны, это возможность построения единой системы консолидированной отчетности из множества информационных систем. С другой стороны, сокращение скорости получения и обработки данных любого уровня. Эти два требования противоречат друг другу, являя собой классическую экстремальную задачу создания универсального и высокоинтерактивного интерфейса.

В результате сравнительного анализа в качестве технологической платформы для нашего портала аналитической отчетности Positive Technologies Reporting Portal (PT RP) была выбрана платформа QlikView. Ее отличают две ключевые технические особенности:

- Ассоциативная модель данных, которая представляет собой таблицы, связанные по ключевым полям. Данная модель создается динамически в момент загрузки данных, при этом поля с одинаковыми названиями ассоциируются друг с другом. При выборе пользователем значения в одной таблице автоматически выбираются все ассоциированные значения в других таблицах.

- Обработка запросов в оперативной памяти (in-memory) вместо использования реляционных СУБД. Благодаря этому обеспечивается сверхвысокая производительность и устраняются проблемы традиционных инструментов бизнес-анализа, которые работают медленно из-за постоянного обращения к источнику данных: такие системы способны выдавать лишь статичную, заранее подготовленную информацию.

Вкратце работу PT RP можно описать так. Система контроля защищенности MaxPatrol выдает отчеты по сканированию за указанный период в формате XML. При помощи специальных инструментов эти XML-отчеты импортируются в промежуточное хранилище — БД на базе MS SQL Server. В этой базе данные сканирования сопоставляются с организационными данными: структура предприятия, группировка и типизация узлов, график сканирования и т. д. Затем консолидированные данные из промежуточной базы анализируются BI-системой и отображаются на веб-портале в виде списков, индикаторов и графиков изменения заданных метрик и показателей KPI.



Возможности

Несколько слов о том, как мы выбирали, что отображать на портале. Можно, конечно, сказать просто: то, что желает клиент. Однако на практике сам клиент не всегда понимает, какие именно показатели безопасности можно получить и как их лучше отобразить. Это одна из причин, почему далеко не все клиенты готовы самостоятельно разбирать данные сканирования, хотя интеграционная шина в формате XML дает им такую возможность.

Именно поэтому портал отчетности сочетает набор форматов и сценариев, которые выработаны нашими специалистами в результате многолетнего опыта, с возможностями пользовательской кастомизации и формирования произвольных отторгаемых отчетов.

В чем состоят «наши» форматы и сценарии? Это, например, высокоуровневое представление данных, которое можно проецировать на практические реалии клиента с точки зрения разных групп пользователей — будь то высшие руководители, специалисты по безопасности или сотрудники IT-отдела. Обычно все эти люди вынуждены перебрасываться огромными отчетами с очевидной избыточностью информации и плохой контролируемостью процесса. Нам хотелось дать им общий инструмент, с помощью которого они могли бы совместно исследовать данные, обмениваться срезами сугубо необходимых данных и наглядно видеть прогресс работы — как собственной, так и других.


Теперь посмотрим, как это выглядит. В зависимости от заданных пороговых значений, состояния показателей безопасности кодируются цветом: норма — зеленый, превышение — желтый, критическое превышение — красный, неопределенный статус — серый. Центральный элемент на главной странице портала отображает суммарный показатель состояния безопасности. А вот какие могут быть показатели:

- Контроль защищенности: процентное отношение найденных уязвимостей разного уровня и количества узлов с найденными уязвимостями, а также изменение этих показателей по сравнению с предыдущим отчетным периодом.

- Контроль эффективности ИБ: процент устраненных уязвимостей, соблюдение плана сканирования и ввода в эксплуатацию компонентов MP, а также изменение количества просканированных узлов.

- Соответствие стандартам: текущее состояние и динамика прохождения аудитов на соответствие государственным, отраслевым и корпоративным стандартам безопасности.

- Управление активами: инвентаризация и контроль установленного ПО: различаем обязательное, запрещенное и поддерживаемое программное обеспечение — и все остальное ПО, которое подлежит проверке.

Выбор отчетного периода можно использовать для ретроспективного анализа по любому показателю.

Портал может отображать выбранные ИБ-показатели как по всей инфраструктуре, так и по отдельным подразделениям и регионам, по типу узлов или операционных систем. При этом данные можно визуализировать на карте или любой другой схеме, подходящей для конкретного клиента: это может быть схема здания или офиса, схема сети или организационная диаграмма со списком ответственных сотрудников. К слову сказать, практическая консолидация подобных данных в сильно распределенных инфраструктурах — давняя головная боль ИБ-специалистов. Доставка данных из регионов, а затем «возвращение» рекомендаций специалистов и контроль исполнения этих рекомендаций могут занять приличное время без должной автоматизации.

Найденные уязвимости можно отфильтровать по любым метрикам стандарта CVSS (например, выбрать самые критические) и посмотреть динамику распространения и устранения уязвимостей по всей инфраструктуре, а также по отдельным подразделениям и регионам.

 Помимо этого, у портала есть еще целый ряд возможностей, которые достигаются гибкими настройками и применением различных сценариев работы.

Практика внедрения и другие детали

Впервые портал аналитической отчетности PT Reporting Portal был представлен экспертному сообществу весной 2013 года на форуме по практической безопасности Positive Hack Days III. В настоящее время уже есть несколько клиентов, включая один из крупнейших российских банков, которые используют данное решение.

Если вам интересны практические детали этой работы, а также другие особенности использования инструментов бизнес-аналитики в области информационной безопасности, вы можете задать свои вопросы экспертам Positive Technologies на вебинаре в ближайший четверг, 18 сентября, в 14:00 на сайте нашей компании. Вебинар бесплатный, но нужно предварительно зарегистрироваться:

http://www.ptsecurity.ru/lab/webinars/

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!