IBM QRadar Security Intelligence Platform
QRSIP
Security QRadar SIEM

Продукт
Разработчики: IBM
Дата последнего релиза: 2015/12/11
Технологии: ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

IBM QRadar Security Intelligence Platform - ПО для обнаружения сетевых угроз безопасности и противодействия им. Продукты IBM QRadar Security Intelligence Platform предоставляют единую архитектуру для интегрирования информации о безопасности и управления событиями (SIEM), управления журналами, определения аномальных ситуаций, управления настройками и устранением уязвимостей. Эти продукты обладают расширенными возможностями обнаружения угроз, отличаются простотой использования и низкой стоимостью владения.

Основные возможности запланированные для реализации в платформе ИТ-безопасности

  • Единая архитектура для анализа журналов, потоков, уязвимостей, данных о пользователях и ресурсах.
  • Определение корреляции и аномальных событий практически в реальном времени для определения наиболее опасных угроз безопасности.
  • Высокоприоритетное определение инцидентов по результатам миллиардов анализируемых порций данных.
  • Полная прозрачность для анализа сетевой активности, работы приложений и действий пользователей.
  • Автоматическое обеспечение соответствия нормативным требованиям за счет возможностей сбора данных, определения их корреляции и составления отчетности.

  • Доступ к обобщенной информации об угрозах — запланировано обеспечить доступ к информации одного из крупнейших в мире хранилищ данных о выявленных ИТ-угрозах и уязвимостях. Эта информация базируется на поступающих по каналу IBM X-Force Threat Intelligence Feed результатах мониторинга, в рамках которого ежедневно отслеживается, в среднем, 13 млрд. событий безопасности. Доступ к обобщенной информации о существующих угрозах и уязвимостях позволяет идентифицировать поведение (или некую активность, состояние), которое можно связать с т.н. «постоянными угрозами повышенной сложности» (Advanced Persistent Threats, APT). Эти особо изощренные угрозы могут исходить от хорошо скоординированных и целенаправленно действующих групп атакующих, которые используют маскирующие методы для несанкционированного доступа к сетям.

  • Контроль активности в масштабе предприятия — платформа будет аккумулировать информацию о событиях безопасности, связанных с продуктами IBM и третьих фирм, которая охватывает четыре области организационного риска: инфраструктуру, людей, приложения и данные.

  • Детальный анализ в эру Больших данных — аналитическая платформа может оперировать на уровне базовых элементов данных, что позволяет анализировать широкий спектр событий, от информации о доступе к корпоративной сети на периферии организационной структуры до показателей активности запросов к базе данных в рамках основной деятельности предприятия.

Доступ к обобщенной информации об угрозах

Одной из наиболее важных интеграционных инициатив для платформы QRadar является информационный канал IBM X-Force Intelligence Threat Feed, который построен на базе глобальной системы оперативного мониторинга, ежедневно фиксирующей, в среднем, 13 млрд. событий безопасности для почти 4000 клиентов более чем в 130 странах. Платформа QRadar будет обладать полной информационной картиной о новейших мировых тенденциях безопасности, что поможет защитить предприятия от новых возникающих рисков. QRadar будет отображать текущие информационные ленты IBM X-Force с описанием ИТ-угроз и уязвимостей в инструментальных панелях (dashboard) для пользователей и сопоставлять события безопасности и сетевой активности в масштабе организации с этими угрозами и уязвимостями в режиме реального времени на основе автоматизированных политик.

Компоненты платформы

IBM Security QRadar Log Manager: Высокопроизводительная система для сбора, анализа, архивирования и сохранения больших объемов протоколов сетевых событий и событий безопасности.

IBM Security QRadar Network Anomaly Detection: Улучшение систем предотвращения вторжений IBM (IPS) за счет получения большего количества информации о ситуации в сети и ненормальных действиях для лучшего определения угроз безопасности.

IBM Security QRadar QFlow Collector: Сочетание с IBM Security QRadar SIEM и обработчиками потоков обеспечивает отображение приложений (уровень 7) и анализ потоков, чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.

IBM Security QRadar Risk Manager: Помогает автоматизировать управление устранением угроз безопасности в важнейших областях, укрепить защиту от атак и одновременно повысить соответствие нормативным требованиям.

IBM Security QRadar SIEM: Регистрация событий с тысяч конечных устройств и приложений, распределенных в сети. Эта система выполняет мгновенную нормализацию и выявляет связь между действиями над необработанными данными, чтобы отличить реальные угрозы от ложных срабатываний.

IBM Security QRadar VFlow Collector: Сочетание с IBM Security QRadar SIEM обеспечивает отображение потоков виртуальных сетей на уровне приложений (уровень 7), чтобы вы могли понимать, что происходит в сети и реагировать на сетевую активность.

Широкий охват

Запланированы также и другие интеграционные возможности, которые позволят платформе QRadar Security Intelligence Platform помочь клиентам более оперативно выявлять и идентифицировать ИТ-угрозы путем контекстуального связывания событий из следующих категорий:

  • Люди — Организации должны контролировать доступ к ключевым системам и информации. Несанкционированный доступ сотрудников к критически важным базам данных и информации о клиентах делает компанию уязвимой к взлому систем, краже данных и другим угрозам безопасности. С помощью специальных аналитических инструментов специалисты по ИТ-безопасности могут быстро определить, соответствует ли ролевая модель доступа, продемонстрированная конкретным пользователем, его должности, полномочиям и привилегиям в организации. Платформа QRadar будет интегрирована с программным обеспечением IBM Security Identity Manager и IBM Security Access Manager, что дополнит существующую поддержку QRadar служб корпоративных каталогов, таких как Microsoft Active Directory.

  • Данные — Данные являются основным «охраняемым объектом» в системе обеспечения безопасности; они служат основной целью для киберпреступников, поэтому на их защиту направлены все меры и средства безопасности. Используя программное обеспечение IBM Guardium Database Security, интегрированное с аналитической платформой безопасности, организации смогут лучше определять и сопоставлять несанкционированную или подозрительную активность на уровне базы данных – такую, например, как доступ администратора баз данных к таблицам с номерами кредитных карт в нерабочее время – с аномальной активностью, обнаруженной на сетевом уровне – когда, например, записи по кредитным картам отсылаются на неизвестные серверы в Интернете.

  • Приложения — Приложения необходимы для выполнения ежедневных операций, но они также могут привносить новые серьезные уязвимости в корпоративные сети. Приложения, в силу своей чувствительности к внешним воздействиям, должны регулярно обновляться. Организации, однако, зачастую не в состоянии немедленно устанавливать патчи в связи с корпоративными требованиями о тестировании и циклами управления изменениями. Аналитическая платформа может автоматически предупреждать персонал службы ИТ-безопасности о Web-приложениях, на которых не установлены свежие обновления. Такие приложения находятся под постоянным риском атак с применением известных «эксплоитов» (вредоносного кода, использующего конкретную уязвимость ПО), предварительно опознанных приложением IBM Security AppScan. Эта запланированная интеграция дополняет существующую поддержку платформой QRadar средств мониторинга приложений корпоративного класса, таких как IBM WebSphere и SAP ERP.

  • Инфраструктура — Сегодня организации прикладывают большие усилия для обеспечения безопасности тысяч физических устройств, таких как персональные компьютеры и мобильные телефоны, особенно на фоне роста популярности подхода "Bring Your Own Device", предполагающего возможность использования личных мобильных устройств на работе. По этой причине, компании должны принять дополнительные меры предосторожности, чтобы помочь своим сотрудникам строго соблюдать правила информационной безопасности при использовании таких устройств. Благодаря интеграции с IBM Endpoint Manager, аналитическая платформа безопасности может обеспечить организации усиленной защитой физических и виртуальных конечных вычислительных устройств – серверов, настольных компьютеров, ноутбуков, смартфонов и планшетов, а также такого специализированного оборудования, как расчетно-кассовые терминалы, банкоматы и интерактивные киоски.

Интеграционные модули платформы QRadar также запланированы для Symantec DLP, Websense Triton, Stonesoft Stonegate и других продуктов третьих фирм. Такая стратегия интеграции расширяет экосистему QRadar и поддерживает традиционный подход Q1 Labs к «мультивендорным» гетерогенным средам.

Решения для анализа Больших Данных

Платформа QRadar также расширена возможностями работы с Большими данными, в частности, в отношении хранения и поддержки запросов к больших объемам информации, связанной с безопасностью. Кроме того, добавлены функции обеспечения безопасности виртуализованных инфраструктур, расширен и улучшен визуальный контроль. Все это помогает клиентам снизить риски, связанные с безопасностью, и автоматизировать процессы соблюдения нормативных требований.

Укрепление безопасности в целом и защиты сетевых источников данных в частности дополнено расширенной функциональностью, ориентированной на экспоненциальный рост объемов данных. Среди новых возможностей:

  • Функция «мгновенного поиска» (Instant Search) для поддержки быстрых запросов свободной формы как для журналов регистрации событий, так и для потоков данных. Эта функция призвана распространить простоту и скорость поисковых механизмов Интернета на аналитическую платформу безопасности.

  • Устройства серий XX24, предназначенные для увеличения производительности и масштабируемости – преимуществ, за которые решения QRadar получили широкую известность. С выпуском устройств QRadar 3124 SIEM, блока обработки событий QRadar 1624 Event Processor и блока обработки потоков данных QRadar 1724 Flow Processor – все из которых содержат 16 ТБ памяти хранения и 64 ГБ оперативной памяти – организации могут поддерживать больше пользователей, добиваться более высокой производительности и сохранять данные более длительное время.

  • Система интеллектуального управления политиками хранения данных, которая позволяет организациям определять, какую часть информации они хотят сохранить, и на какое время. Менее важные данные могут удаляться раньше, чтобы иметь возможность дольше хранить более важные данные.

  • Виртуальные устройства, которые позволяют клиентам-конечным пользователям и поставщикам услуг с выгодой применять созданные ими виртуальные инфраструктуры и, в то же время, использовать преимущества менее дорогих и полнофункциональных аналитических решений для обеспечения безопасности.

Запланированные интеграционные модули (модули сопряжения или модули поддержки устройств) будут поставляться совместно с QRadar Security Information Event Management (SIEM) и QRadar Log Manager без дополнительной оплаты и через автоматические обновления.

IBM Security QRadar SIEM

IBM Security QRadar SIEM - система регистрации событий на конечных устройствах и приложениях, распределенных в сети.

IBM Security QRadar SIEM регистрирует события с тысяч конечных устройств и приложений, распределенных в сети. Эта система выполняет мгновенную нормализацию и выявляет связь между действиями над необработанными данными, чтобы отличить реальные угрозы от ложных срабатываний. В одном из вариантов это ПО включает в себя ПО IBM Security X-Force Threat Intelligence, которое создает список потенциально вредоносных IP-адресов, включая адреса компьютеров с вредоносным ПО, источников спама и других угроз. IBM Security QRadar SIEM может также сопоставлять угрозы для систем с событиями и данными из сети, чтобы определять приоритеты инцидентов безопасности.

Скриншот окна приложения

Функционал

  • Отображение событий практически в режиме реального времени для обнаружения угроз и определения приоритетов, что позволяет наблюдать за всей ИТ-инфраструктурой.
  • Уменьшение сигналов тревоги и определение приоритетов для них, чтобы сосредоточиться на исследовании списка действий по отношению к подозрительным событиям.
  • Более эффективное управление угрозами и создание подробных отчетов по доступу к данным и действиям пользователей.
  • Поддержка простой и быстрой установки и наличие средств и функций, экономящих время.
  • Создание отчетов по доступу к данным и активности пользователей для управления соответствием стандартам.
  • Обнаружение неправильного использование приложений, внутреннего мошенничества и современных небольших угроз, которые можно не заметить среди миллионов событий.
  • Сбор журналов и событий с разных ресурсов, включая устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией.
  • Сбор данных сетевых потоков, включая данные уровня 7 (уровень приложений) от коммутаторов и маршрутизаторов.
  • Получение информации от систем управления доступом и идентификацией и таких служб инфраструктуры, как протокол динамической настройки узла (DHCP) и получение информации от сканеров уязвимости в сети и приложениях.
  • Выполнение мгновенной нормализации событий и сопоставление их с другими данными, полученными в результате обнаружения угроз, создания отчетов о соответствии требованиям и проведения аудита.
  • Сокращение числа событий и потоков с миллиардов до небольшого количества реальных нарушений и определение приоритетов для них в соответствии с угрозой для бизнеса.
  • Определение базовых характеристик и обнаружение аномалий для определения изменений в поведении, связанного с приложениями, компьютерам, пользователями и сегментами сети.
  • Использование опционального ПО IBM Security X-Force Threat Intelligence для определения действий, связанных с подозрительными IP-адресами, например, при подозрении во вредоносной активности.
  • Отслеживание серьезных инцидентов и угроз и предоставление ссылок на все требуемые данные и сопутствующую ситуацию для лучшего проведения анализа.
  • Выполнение поиска в событиях и потоках данных в режиме потока, близком к реальному времени, или поиска по сохраненным данным для улучшения аналитики.
  • Дополнение в виде устройств IBM Security QRadar QFlow и IBM Security QRadar VFlow Collector для получения глубокого понимания и лучшего отображения приложений (например, приложений, управляющих ресурсами предприятия), баз данных, продуктов для совместной работы и социальных сетей с помощью анализа сетевых потоков на уровне 7.
  • Обнаружение действий в нерабочее время или обнаружение необычного использования приложений или облачных сервисов, а также сетевой активности, которая не соответствует сохраненным шаблонам использования.
  • Выполнение объединенного поиска в больших распределенных средах.
  • Автоматическое обнаружение большинства источников предоставляющих журналы и мониторинг сетевых потоков для поиска и классификации компьютеров и серверов, отслеживание приложений, протоколов, служб и портов, которые они используют для существенной экономии времени.
  • Использование централизованного пользовательского интерфейса с доступом к функциям в зависимости от роли и единый вид для доступа к аналитике в режиме, близком к реальному времени, управлению инцидентами и отчетности.
  • Группировка записей о сетевых потоков в течение краткого времени в виде одной записи, чтобы уменьшить использование места на дисках и соответствовать лицензионным требованиям.
  • Отслеживание всего доступа к данным клиентам по имени и IP-адресу, для гарантии соблюдения политик конфиденциальности.
  • Использование интуитивно понятного модуля отчетов, который не требует особых баз данных и специальных навыков написания отчетов.
  • Обеспечение прозрачности, возможности учета и измеримости для соответствия нормативным требованиям и составления отчетов по соответствию.

История

2018: В платформе IBM QRadar обнаружены опасные уязвимости

Исследователь безопасности Педро Рибейро (Pedro Ribeiro) обнаружил[1] в платформе IBM QRadar 3 опасные уязвимости, которые при совместной эксплуатации позволяют удаленному неаутентифицированному злоумышленнику выполнять произвольные команды с привилегиями суперпользователя[2].

Уязвимостям присвоен общий идентификатор CVE-2018-1418. По словам специалистов, в QRadar есть встроенное приложение для проведения анализа файлов. Приложение отключено в версии Community Edition, однако его код полностью не удален, и часть его все еще работает.

Приложение имеет два компонента: сервлет Java и основной PHP-компонент. В первом компоненте присутствует уязвимость, которая может быть использована для обхода аутентификации, а во втором - проблема, позволяющая выполнять произвольные команды. Помимо этого, Рибейро обнаружил третью уязвимость, которая может быть проэксплуатирована для повышения привилегий.

По данным IBM, уязвимости затрагивают версии QRadar SIEM 7.3.0 - 7.3.1 Patch 2 и QRadar SIEM 7.2.0 - 7.2.8 Patch 11. Соответствующие исправления включены в версии 7.3.1 Patch 3 и 7.2.8 Patch 12.

2017: Cisco и IBM объединяют силы в борьбе с киберпреступностью

Компании Cisco и IBM Security объединили усилия для совместного противостояния нарастающей угрозе глобальной киберпреступности. Согласно подписанному в июне 2017 года соглашению, Cisco и IBM Security будут в интересах заказчиков тесно сотрудничать в области интеграции продуктов и услуг, а также анализа угроз.

В целях защиты организаций на уровне сетей, оконечных точек и облаков решения информационной безопасности Cisco будут интегрированы с платформой IBM QRadar. Еще один важный для заказчиков аспект сотрудничества — широкомасштабная поддержка сервисным подразделением IBM Global Services продуктов Cisco в рамках предложений для поставщиков услуг информационной безопасности (Managed Security Service Provider, MSSP). Соглашение предусматривает также новые принципы взаимодействия исследовательских подразделений IBM X-Force и Cisco Talos, которые начнут сотрудничать в области анализа угроз и координировать действия по крупным инцидентам безопасности.


Предложения Cisco по обеспечению информационной безопасности, объединенные архитектурным подходом, в сочетании с платформой IBM Cognitive Security Operations повысят эффективность защиты заказчиков на всех участках — от сети до оконечных точек и облака. В ходе сотрудничества Cisco разработает ряд приложений для аналитической платформы безопасности IBM QRadar. В число первоочередных новых приложений вошли два, которые помогут службам безопасности распознавать и отражать продвинутые угрозы. Они будут доступны в системе IBM Security App Exchange. Таким образом, пользователи, работающие с решениями и технологиями Cisco Next-Generation Firewall (NGFW), Next-Generation Intrusion Protection System (NGIPS), Advanced Malware Protection (AMP) Threat Grid, смогут быстрее идентифицировать инциденты и более эффективно устранять их последствия.

Кроме того, будет осуществлена интеграция платформы IBM Resilient Incident Response Platform (IRP) и решения Cisco Threat Grid, что позволит предоставлять службам безопасности аналитические данные, необходимые для ускорения реакции на инциденты. Так, аналитики IRP смогут осуществлять поиски индикаторов компрометации с помощью Cisco Threat Grid и приводить в действие подозрительное ПО в изолированной программной среде («песочнице»). В момент срабатывания, специалисты получат важные данные по угрозе.

Анализ угроз и управляемые услуги

Целью совместных исследований, к которым будут привлечены ведущие специалисты подразделений IBM X-Force и Cisco Talos, станут самые насущные проблемы кибербезопасности, стоящие перед общими заказчиками обеих компаний. Для таких заказчиков IBM обеспечит интеграцию X-Force Exchange и Cisco Threat Grid, что существенно расширит исторический и оперативный горизонты анализа угроз, при этом специалисты смогут сопоставлять получаемые данные для углубленного анализа.

Так, Cisco и IBM обменивались аналитическими данными в ходе недавнего отражения атак вируса-вымогателя WannaCry. Службы обеих компаний координировали свои ответные действия и передавали друг другу информацию о распространении вируса. Сотрудничество будет продолжено, с тем чтобы общие заказчики и вся отрасль получали самые новейшие данные.

В ходе расширения сотрудничества подразделение IBM Managed Security Services, которое управляет услугами безопасности для 3700 заказчиков во всем мире, будет совместно с Cisco предлагать новые сервисы, нацеленные на дальнейшее упрощение систем защиты. Одно из первых решений предназначается для растущего рынка гибридных облаков. С учетом того, что корпоративные заказчики передают инфраструктуру информационной безопасности провайдерам публичных и частных облаков, IBM Security предоставит управляемые услуги безопасности с поддержкой платформ безопасности Cisco ведущим публичным облачным сервисам.

2015

Открыт доступ к IBM Security QRadar

11 декабря 2015 года IBM заявила об открытом доступе к платформе анализа безопасности IBM Security QRadar. Одновременно начала работу онлайн-площадка IBM Security Exchange, ориентированная на сообщество специалистов по безопасности, где они могут разрабатывать и делиться приложениями на основе технологий IBM.

Предоставление доступа к аналитической платформе безопасности - второй шаг IBM в 2015 году, направленный на стимулирование сотрудничества представителей индустрии и продвижение инноваций для борьбы с киберпреступностью. Ранее компания опубликовала 700 ТБ данных об угрозах на платформе IBM X-Force Exchange. С момента запуска в апреле 2015 года к платформе присоединились более 2 тыс. организаций. С помощью открытого доступа к аналитической платформе безопасности и архиву данных об угрозах компании смогут делиться друг с другом информацией и опытом, что позволит им быть на шаг впереди киберпреступников.

IBM и партнеры, в том числе Bit9 + Carbon Black, BrightPoint Security, Exabeam и Resilient Systems, уже загрузили в IBM Security App Exchange десятки разработанных «под клиента» приложений. Они помогают дополнить аналитические данные, содержащиеся в IBM Security QRadar, за счет инструментов оценки пользовательского поведения, информации с конечных устройств и моделирования атаки. Новые приложения используют преимущества открытых интерфейсов программирования (API) для IBM QRadar. Анализ данных и доступная на платформе информация об угрозах помогает обнаружить нарушения в системе защиты в тысячах центрах обеспечения безопасности по всему миру, в число которых входит половина компаний из списка Fortune 100.

Релиз IBM Security QRadar

11 декабря 2015 года IBM объявила о выпуске версии IBM Security QRadar, который анализирует данные ИТ-инфраструктуры компании и выявляет потенциальные угрозы для безопасности.

Панель информации QRadar (2013)
Панель информации QRadar (2013)

QRadar поможет пользователям в создании алгоритмов, которые автоматически выполнят необходимые действия, при обнаружении конкретных угроз. Например, созданный с помощью QRadar алгоритм может автоматически запустить блокировку IP-адресов и контролировать доступ пользователя на основе профиля рисков. Приложения, разработанные с помощью схемы QRadar, могут использовать персонализированные алгоритмы для автоматического реагирования на угрозы.

IBM продолжила интеграцию QRadar с IBM BigFix, чтобы помочь пользователям более эффективно противодействовать угрозам в порядке приоритетности и исправлять уязвимости на своих устройствах. Теперь QRadar может определить незащищенные конечные устройства, в которых не установлен BigFix, и помочь пользователям быстрее найти взломщиков или неуправляемые ресурсы.



ПРОЕКТЫ (4) ИНТЕГРАТОРЫ (4) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (13)


Подрядчики-лидеры по количеству проектов

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

  FPS.Bio - 4 (4, 0)
  Solar JSOC - 4 (4, 0)
  FraudNet - 3 (3, 0)
  FICO Fraud Score - 3 (3, 0)
  НБКИ-AFS (Anti-Fraud Service) - 3 (3, 0)
  Другие 17

Подрядчики-лидеры по количеству проектов

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год