Продукты

agileSI от компании iT-Cube Systems

Решение agileSI™ предназначено для непрерывного мониторинга и анализа безопасности систем SAP® с помощью продуктов класса SIEM (Security Information and Event Management).

Системы SAP® являются центром обработки бизнес-процессов в большинстве крупных организаций и имеют наивысшую важность для предприятия. В них хранится финансовая информация, контактные данные сотрудников, данные о клиентах и поставщиках, коммерческая тайна и пр. Именно поэтому системы SAP® представляют наивысший интерес для злоумышленников с точки зрения злонамеренного воздействия. Кража конфиденциальной информации или остановка критичных бизнес-процессов может привести к существенным финансовым и репутационным потерям для компании.

Несмотря на это, системы SAP® все еще остаются «белым пятном» в сфере мониторинга информационной безопасности. Они чаще всего не интегрированы с SIEM-системами и полагаются только на собственные возможности по защите информации, которых явно недостаточно по нескольким причинам. Прежде всего, решения SAP® обладают весьма сложной архитектурой, объединяющей в себе различные технологии, такие как серверы приложений, базы данных, межплатформенное программное обеспечение, веб-сервер, операционные системы, системы управления идентификаторами и пр. Такая сложность создает дополнительные угрозы с точки зрения информационной безопасности. На рисунке представлен обзор возможных векторов атак на системы SAP®.

Векторы атак на системы SAP

Из данного перечня видно, что существует целый ряд событий в системах SAP® и связанных системах, которые происходят при непрерывной работе, но потенциально представляют серьёзную угрозу и требуют постоянного контроля.
Таким образом, единственным решением для управления возникающими рисками является комплексный мониторинг и анализ событий, происходящих в системах SAP® и их окружении средствами SIEM-систем.

Основной проблемой обработки информации о событиях из SAP®-систем в системах SIEM является отсутствие унифицированного интерфейса. Источники информации о событиях в SAP® находятся разрозненно и используют различные форматы и интерфейсы. В результате SIEM-продукты в состоянии читать только SAL (Security Audit Log), который, к сожалению, не содержит сведений, достаточных для полной оценки события. Например, можно обнаружить изменения в правах доступа пользователя, но невозможно проследить, что именно было изменено.

Решение agileSI™ решает данную проблему, обеспечивая сбор, управление и анализ событий SAP® в системах класса SIEM.

Модель архитектуры решения agilesl

Благодаря специально разработанным агентам, в качестве источников информации для анализа выступают не только Security Audit Log, но и параметры системы SAP®, сведения, хранящиеся в таблицах базы данных, журналы транспорта данных (Transport log), конфигурации и журнал Шлюза (Gateway Config. & Log), контроль доступа (Access Controls) и пр. Агенты, которые конфигурируются и управляются централизованно, непрерывно извлекают всю необходимую информацию из систем SAP®, которая проходит предварительную обработку и передается в стандартизированном формате в систему SIEM. Администрирование ядра и агентов agileSI™ осуществляется централизованно через веб-интерфейс Web-(Dynpro)-Frontend.

В SIEM системе происходит категоризация, корреляция, оценка критичности, событий, а также визуализация, оповещение и предупреждение об опасности и подготовка отчетов. Корреляция событий системы SAP® с событиями прочих элементов IТ-инфраструктуры позволяет получить полную картину происходящего, выявить атаки на различных уровнях архитектуры и сократить количество ошибочных срабатываний.

Информация для пользователя представляется на панели инструментов системы SIEM в виде графиков, таблиц и уведомлений, и отражает общепринятые метрики информационной безопасности, такие как критичность, уровень риска и пр. Поэтому она может быть правильно интерпретируемой специалистами в области информационной безопасности даже без экспертных знаний в сфере SAP®.

Пример панелей визуализации в HP ArcSight

Пример панелей визуализации в HP ArcSight
Пример панелей визуализации в HP ArcSight