Система обнаружения и предотвращения вторжений
Цели создания
- Защита критичных информационных ресурсов компании от внешних и внутренних злоумышленников.
- Обнаружение и предотвращение злонамеренной активности в корпоративной сети.
Задачи, которые решает система
- Круглосуточный мониторинг и автоматическая активная реакция на сетевые атаки ресурсов корпоративной сети со стороны внешних и внутренних злоумышленников в режиме реального времени.
- Сбор статистики вредоносной активности, направленной на критичные информационные ресурсы компании, наглядная визуализация состояния информационной безопасности корпоративной сети.
- Контроль взаимодействия сотрудников компании с Интернетом, блокирование вновь возникающих угроз на границе сети.
- Обеспечение соответствия требованиям международных и российских нормативных документов и стандартов в области информационной безопасности (ФЗ-152, СТО БР, PCI DSS, КСИИ).
Сетевые атаки («сетевая разведка», парольные атаки, атаки типа Man-in-the-Middle, атаки на приложения по известным портам, вредоносные программы и т.д.), применение злоумышленниками комплексных целенаправленных атак (Advanced Persistent Threats, ATP) требуют включения в состав систем обеспечения безопасности информации (СОБИ) специализированных систем/подсистем защиты сетевого уровня.
Согласно исследованию компании Verizon «2013 Data Breach Investigation report» 92% атак на корпоративные информационные ресурсы осуществляются извне организации злоумышленниками, которые изначально не имеют никаких привилегий в информационных системах жертвы.
Не меньшую угрозу для безопасности критичных информационных ресурсов представляют и сотрудники компании, которые в процессе работы в Интернете могут даже незаметно для себя сделать свое рабочее место частью хакерских сетей (ботнетов). Взлом компьютеров сотрудников во внутренней сети является вдвойне опасным, поскольку злоумышленник сразу получает практически неограниченный сетевой доступ к критичным информационным системам компании.
Одним из возможных эффективных решений является система обнаружения и предотвращения вторжений (Intrusion Prevention System, IPS).
ЭЛВИС-ПЛЮС предлагает системы обнаружения и предотвращения вторжений на основе решений и продуктов лидеров мирового рынка в этой области (по оценкам Gartner) — HP TippingPoint, Intel Security (McAfee) и Cisco.
Наша компания имеет многолетний успешный опыт проектирования и внедрения систем обнаружения и предотвращения вторжений. Среди наших заказчиков: Федеральная налоговая служба (ФНС) России, ОАО «Ростелеком», ОАО «ФСК ЕЭС», Банк России, ОАО «Газпром нефть», Международный Аэропорт Шереметьево, Государственная корпорация «Российская корпорация нанотехнологий» (ОАО «РОСНАНО»), Российский союз автостраховщиков.
Ключевые возможности
- Контроль сетевого трафика в режиме реального времени на предмет обнаружения злонамеренной активности.
- Обнаружение вирусов, троянов, сетевых червей, ботнетов, фишинговых сайтов.
- Использование различных механизмов обнаружения злонамеренной активности.
- Оперативное уведомление администраторов информационной безопасности о произошедших атаках
Архитектура и основные функции
Уровень сенсоров обнаружения и предотвращения вторжений — устройства подключаются к существующей сетевой инфраструктуре для контроля трафика в наиболее критичных точках.
Уровень подсистемы централизованного управления позволяет осуществлять управление и мониторинг событий информационной безопасности с помощью различных консолей.
Уровень автоматизированного рабочего места администратора информационной безопасности позволяет управлять всеми сенсорами обнаружения и предотвращения вторжений в корпоративной сети.
Администратор информационной безопасности на своем автоматизированном рабочем месте анализирует все происходящие события с помощью консоли управления и мониторинга системы. В процессе функционирования системы производится анализ событий и настройка/корректировка сигнатур и параметров системы.
Преимущества от внедрения
- Снижение затрат на восстановление работоспособности взломанных информационных систем и компьютеров корпоративной сети.
- Повышение эффективности работы подразделения, ответственного за обеспечение информационной безопасности компании.
- Снижение времени реакции на внешние и внутренние сетевые атаки, направленные на критичные для бизнеса информационные ресурсы компании.