Разработчики: | ArcSight, Micro Focus |
Дата последнего релиза: | 2014/12/02 |
Технологии: | ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации, ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
О продукте
Решение по управлению событиями информационной безопасности ArcSight ESM (Security Information and Event Management, SIEM). ArcSight ESM контролирует все события по всему предприятию, применяет мощные инструменты для анализа и корреляции с целью выявления деловых и технологических угроз. Решение ESM построено на гибкой масштабируемой платформе, обеспечивающей перемещение информации с одного аппаратного обеспечения на другое внутри организации.
Контекстное решение
ArcSight ESM предоставляет инфраструктуру корреляции, которая позволяет определить значение каждого конкретного события, помещая его в контекст, т.е. показывая кто, что, где, когда и почему обусловил появление данного события. Это помогает выявить влияние события на бизнес-риск.
Широкий спектр обработки
Инфраструктура сбора информации ESM обеспечивает расширенные возможности для получения данных из широкого набора источников — журналов более 275 устройств и источников событий, включая операционные системы, сетевые устройства (маршрутизаторы, коммутаторы), сетевые анализаторы (мониторы сети и анализаторы трафика, NAC, NBA), системы безопасности (системы обнаружения и предотвращения вторжений, межсетевые экраны, виртуальные частные сети, сканеры уязвимости), а также журналы аудита приложений, баз данных, решений для управления идентификацией, веб-серверов и Интернет-приложений. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
События из других устройств аналогичного семейства (например, маршрутизаторы) унифицируются с целью проведения сводного мониторинга и анализа.
Кто и что
ESM позволяет точно узнать кто находится в сети, какие данные ими просматриваются и какие действия предпринимаются. Сообщения, генерируемые в реальном времени, информируют администраторов о наиболее важных событиях, а также предоставляют всю необходимую сопутствующую информацию для дальнейшего анализа и устранения угрозы.
Отчетность
Решение ArcSight ESM предоставляет широкий спектр функций, которые обеспечивают быстрый и удобный доступ к необходимой информации. Настраиваемые панели управления с прекрасной графикой обеспечивают бизнес и технический обзор информации, необходимой конкретным сотрудникам организации. Консоль ESM обеспечивает единый обзор текущего уровня безопасности компании и предоставляет информацию о выявленных атаках и бизнес-рисках. Имеющиеся сетевые и географические карты позволяют пользователям выявить угрозы, которые находятся в их компетенции. Решение ArcSight ESM предоставляет комплексные технические, операционные и трендовые отчеты, в которых содержится информация о текущем уровне безопасности. Эти отчеты полностью удовлетворяют требованиям к подготовке контрольной отчетности. Система подготовки отчетов упрощает задачу подготовки отчетности на уровне бизнеса благодаря наличию стандартных и пользовательских шаблонов для отчетов о соответствии требованиям регуляторов, отчетов о бизнес-рисках и параметрах пользователей.
Дополнения
В дополнение к встроенным, система позволяет пользователям создавать собственные отчеты и шаблоны для формирования дополнительных отчетов и отчетов формируемых по расписанию. Система обеспечивает комплексный обзор актуальной коррелированной информации, позволяя заинтересованным сторонам выявить факторы риска, целесообразность и эффективность мероприятий по обеспечению безопасности, а также помогая найти ответы на ключевые вопросы бизнеса. Периодические отчеты позволяют проследить появление событий за определенный промежуток времени, а также определить их влияние на безопасность. Благодаря наличию технологии корреляции, трендовые отчеты могут также использоваться при анализе вероятностных сценариев, которые помогают прогнозировать влияние изменения той или иной политики на общую безопасность и риски.
2017
Открытие исходного кода России
В начале октября 2017 года стало известно о том, что Hewlett Packard Enterprise (HPE) позволила российскому Минобороны исследовать систему киберзащиты Пентагона, которая использует программное обеспечение компании. В Белом доме назвали это событие угрозой безопасности, интеллектуальной собственности и интернету.
Речь идет о программном обеспечении HPE ArcSight. Хотя исходный код этого софта тщательно охраняется, Москва получила доступ к нему во время сертификации системы для продажи ее российскому государственному сектору.
Разработчики ArcSight и сотрудники американских спецслужб рассказали агентству Reuters о том, что изучив код, российская сторона могла обнаружить уязвимости в программном обеспечении. При этом выявленные уязвимости могут помочь хакерам скрыть кибератаку от американских военных.
Как сообщает CNBC со ссылкой на координатора по кибербезопасности администрации президента США Роба Джойса (Rob Joyce), позволение другим странам видеть исходные коды программного обеспечения, которое строго защищается внутренними службами безопасности, в качестве условия для использования этого продукта на рынке является протекционистской мерой определенных режимов, которая угрожает «свободному и открытому интернету», и может препятствовать развитию функций безопасности и конфиденциальности в продукте.
Есть некоторые аспекты безопасности подобных раскрытий данных, и они проблемные… Если вы дадите свой исходный код Китаю, выполняя тем самым условие выхода продукта на этот рынок, вам стоит задуматься над тем, будут ли конкуренты тогда начинать внедрять эти функции. Ряд таких примеров мы видели в прошлом, и это действительно беспокоит нас, — заявил Джойс на мероприятии, организованном HPE. |
Несмотря на потенциальные риски для Пентагона, как отмечает Reuters, никто из собеседников агентства не указал на какие-либо утечки или случаи кибершпионажа после анализа Минобороны России системы киберзащиты американского ведомства.[1]
Попадание в реестр российского ПО
24 августа 2017 года стало известно о вхождении «русской» версии HP ArcSight в реестр российского программного обеспечения, в результате чего продукт смогут закупать государственные органы. Об этом, как пишет РБК, компания Hewlett-Packard Enterprise (HPE) рассказала своим клиентам и контрагентам в России.
В письме HPE, с которым ознакомилось издание, дана ссылка на программу Ankey SIEM, которая была зарегистрирована в реестре 23 июля 2017 года. Система Ankey SIEM, как сказано в сопроводительной документации, разработана компанией «Газинформсервис», выполняющей в основном заказы «Газпрома».
На сайте «Газинформсервиса» говорится, что Ankey SIEM используется для выявления атак и киберинцидентов, анализа и управления событиями информационной безопасности ИТ-инфраструктуры. При этом нет каких-либо упоминаний о том, что продукт основан на HP ArcSight.
Ранее директор по продажам HPE Security Russia Артем Медведев упомянул изданию CRN о «локализованном ОЕМ-производстве Ankey SIEM на базе технологий HPE Arcsight».
Как заявила РБК представитель «Газинформсервиса» Анастасия Тунык, компания является разработчиком продукта Ankey SIEM, который полностью соответствует требованиям для размещения в реестре отечественного ПО. Она также рассказала, что отчисления в пользу HPE от продаж Ankey SIEM не превышают 30%.
По мнению исполнительного директора ассоциации «Отечественный софт» и члена экспертного совета по российскому ПО (рассматривает заявки на включение в реестр Минкомсвязи) Евгении Василенко, если иностранная компания, которой является HPE, заявляет о включении «русской» версии своего продукта в реестр, то это повод для повторной проверки этого ПО.
Представитель Минкомсвязи после публикации РБК заявил, что ведомство запросило у «Газинформсервиса» дополнительные пояснения.[2]
2016: ArcSight ESM завершила сертификацию ФСТЭК
19 августа 2016 года компания IT Guard сообщила о сертификации ФСТЭК платформы ArcSight ESM от компании Hewlett Packard Enterprise (HPE).
Сертификат свидетельствует о соответствии ПО ArcSight ESM требованиям руководящего документа «Защита от несанкционированного доступа к информации части 1 - Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий АГРД.509001-03 ТУ при выполнении ограничений по применению, указанных в формуляре АГРД.509001-03 ФО[3].
Сертификат выдан на основании результатов сертификационных испытаний, проведенных испытательной лабораторией научно-производственного объединения «Эшелон» (аттестат аккредитации от 03.06.2009 №СЗИ RU.2321.Б011.033) — техническое заключение от 23.06.2016, и экспертного заключения органа по сертификации ФАУ Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России от 04.07.2016 (аттестат аккредитации от 05.05.2016 № СЗИ RU.0001.01БИ00.А002).
2014
HP ArcSight ESM 6.8c
2 декабря 2014 года HP представила новую версию HP ArcSight ESM.
В составе данной версии несколько инноваций, улучшающих быстродействие решения. HP Application Defender, первое в отрасли средство самозащиты приложений, предлагаемое в виде сервиса SaaS, использует возможности HP Haven для эффективной защиты производственных приложений от атак.
Ключевые обновления HP ArcSight ESM 6.8c включают в себя:
- Углубленный анализ, позволяющий аналитикам быстрее и эффективнее выявлять и изучать угрозы
- Увеличенный объем хранилища, позволяющий кластерно анализировать безопасность до 600 Тбайт онлайн-данных 1
- Улучшенная скорость поиска, возросшая в 1000 раз по сравнению с предыдущей версией1
- Инструменты анализа Больших Данных платформы HP Haven, обеспечивающие улучшение корреляции и обнаружения угроз в режиме реального времени
ArcSight ESM 5.2
Компания IT Guard («АйТи Гард»), специализирующаяся на дистрибьюции решений в области информационной безопасности, объявила летом 2014 года о том, что решение HP ArcSight ESM успешно прошло сертификацию ФСТЭК России.
Проведенная сертификация подтвердила, что система мониторинга и корреляции событий информационной безопасности HP ArcSight ESM (версия 5.2) компании Hewlett-Packard является средством сбора и анализа событий безопасности, реализующим функции мониторинга (просмотра, анализа) результатов регистрации событий безопасности и реагирования на них, идентификации и аутентификации пользователей, управления доступом пользователей к информационным ресурсам, и соответствует требованиям технических условий АГРД.509000-02 ТУ.
Сертификат выдан на основании результатов сертификационных испытаний, которые были проведены НПО «Эшелон» (аккредитованной в качестве испытательной лаборатории Минобороны России, ФСБ России и ФСТЭК России) по заказу «АйТи Гард».
2013
ArcSight ESM 6.5
16 декабря 2013 года компания Hewlett-Packard сообщила о выходе новой версии ArcSight ESM 6.5.
Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe.
Поиск в ESM как в Logger
- Быстрое
расследование
- Текстовый поиск
как в Logger
Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe
- Эффективное хранение логов
- Интеграция с open source
- 5 поколение CORRe – в 30 раз быстрее
- Упрощенная веб-консоль
- Поиск, отчетность, администрирование и оценка рисков из одной консоли
- Централизованное управление настройками и правилами
- Импорт и экспорт контента
- Контент для контроля приложений AppView
Смотрите также
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Банк Санкт-Петербург | Солар (ранее Ростелеком-Солар), Инфосистемы Джет | 2016.12 | |
- Северсталь | Инфосистемы Джет | 2015.08 | |
- Ростелеком | ДиалогНаука | 2015.06 | |
- Мобильные ТелеСистемы (МТС) | ДиалогНаука | 2015.04 | |
- Банк Российский кредит | ЛАНИТ | 2015.02 | |
- Промсвязьбанк (ПСБ) | HP Россия | 2014.04 | |
- Банк Петрокоммерц | Softline (Софтлайн) | 2013.01 | |
- Московский Индустриальный банк (МИнБанк) | NVision Group (Энвижн Груп) | 2012.07 | |
- Волго-Вятский банк Сбербанка России | NVision Group (Энвижн Груп) | 2011.02 | |
- Газкардсервис | ДиалогНаука | 2010.12 | |
- Абсолют Банк | NVision Group (Энвижн Груп) | 2010.09 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1191)
Смарт-Софт (Smart-Soft) (5)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Аксофт (Axoft) (2)
Deiteriy (Дейтерий) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (714, 494)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
ТрансТелеКом (ТТК) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 2)
CloudLinux (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
Eastwind (Восточный Ветер) (1, 1)
Сбербанк-Технологии (СберТех) (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 666
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
MaxPatrol SIEM - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (56)
SearchInform (СёрчИнформ) (52)
ДиалогНаука (44)
Информзащита (39)
Другие (918)
Инфосистемы Джет (5)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
А-Реал Консалтинг (3)
Информзащита (3)
Softscore UG (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 56)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (406, 309)
R-Vision (Р-Вижн) (1, 4)
Солар (ранее Ростелеком-Солар) (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Makves (Маквес) (1, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Makves (Маквес) (1, 2)
Softscore UG (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Инфосекьюрити (Infosecurity) (1, 1)
Киберполигон (1, 1)
ARinteg (АРинтег) (1, 1)
Cloud4Y (ООО Флекс) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 14)
Перспективный мониторинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Makves (Маквес) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 50
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 345
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Kickidler Система учета рабочего времени - 2
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
Другие 12
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar Dozor DLP-система - 4
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar JSOC - 3
SearchInform FileAuditor - 2
Другие 10