Mar 29, 2017

Статья: Oracle Identity SOC - что это такое?

Short intro: here you can find an article about Oracle Identity SOC concept...

Часто в последнее время приходится отвечать на вопросы по появляющимся новым продуктам и обозначениям. Поэтому размещаю под катом статью "Oracle Identity SOC - что это такое?". Картинка для привлечения внимания - источники и направления атак ("карта атак") по данным Norse Group (http://map.norsecorp.com). Любопытно, что Россия на ней - практически серое пятно.




В последнее время устоявшийся ландшафт информационных систем, применяемых в области информационной безопасности, быстро меняется. В традиционных системах защиты информации (в том числе и Identity & Access Management) появляются новые игроки, зачастую регионального уровня, но эффективно занимающие ниши, традиционно принадлежащие крупным игрокам рынка. При этом каждый вендор стремится предложить что-нибудь в облаке, пытаясь урвать что-нибудь из облачного пирога, пышность которого прогнозируют ведущие мировые аналитики (как тут не задуматься, кто был первый - объективная потребность или мнения аналитиков?). 

Поэтому буквально на глазах образуются новые категории систем защиты информации, которая сама (информация) стремительными темпами под давлением облачных провайдеров и аналитических агентств растекается из ЦОД корпораций. Буквально каждый месяц мы видим какое-нибудь новое обозначение - CASB, SMA, UEBA, CCCS, IDCS, это лишь малая доля от того, с чем приходится сталкиваться в последнее время. Кто-то пытается закрыть этим преобразованиям дверь - "-Наш отдел №1 не позволит хранить данные вне территории предприятия", "-Для нас это не актуально", предпочитая политику страуса, который закапывает голову в песок перед лицом опасности, чтобы не видеть ее. Другие же, наоборот, пытаются перенять все новое, при этом не всегда понимая, что есть что.

В этой статье я рассмотрю, что же такое Oracle Identity SOC и как он соотносится с облачными сервисами безопасности, которые предлагаются Oracle (и, в той или иной степени, предлагаются или будут предлагаться в ближайшем будущем всеми другими вендорами). Данная статья основывается на текущем положении дел на вторую половину марта 2017 (и на том, что есть и доступно сейчас для заказа, а не на теоретических планах на будущее) и если вы ее прочитали, скажем, спустя несколько месяцев, то что-то могло и поменяться, и основана на открытых и внутренних материалах. И еще раз подчеркиваю написанное в левой части блога, что содержание этой статьи является частным мнением и не обязательно должно отражать мнение корпорации.

Disclaimer: кроме того, считаю важным донести, что Oracle Identity SOC как концепция является достаточно новой и со временем может изменяться, статья предназначена для общего образования.


Итак, Identity SOC = Identity Security Operations Center. В отличие от традиционных SOC, Identity SOC нацелен прежде всего на отделы безопасности компаний, которые так или иначе размещают какие-либо данные за пределами периметра безопасности. По сути дела, Oracle долго был в стороне от переговоров с CSO компаний, и Identity SOC - попытка эту ситуацию исправить.


Рис. 1. Традиционная модель SOC

Identity SOC = Cloud SIEM + CASB CS + UEBA + Cloud IDM. Все понятно? Лично мне - нет, и отчасти это непонимание, ровно как и маркетинговая направленность большинства открытых материалов (вызванная тем, что продукты анонсировались задолго до их реального появления), привело к тому, что я пишу эту статью. Итак, попробуем разобраться.


Рис. 2. Из чего состоит Oracle Identity SOC

По сути дела в Oracle Identity SOC входят все облачные сервисы безопасности, которые на сегодняшний день есть у Oracle. Предполагается, что все эти сервисы будут интегрированы и работать вместе, для того, чтобы прослеживать поведение пользователей в On-Prem и облачных системах и принимать на этой основе какие-то решения, которые были бы автоматизировано применены.

То есть Oracle Identity SOC - это не продукт и не сервис, не следует его искать в прайс-листе или в списке облачных сервисов Oracle. Не имеет он отношения и к железу. Identity SOC - это концепция, объединяющая несколько взаимосвязанных сервисов. Подчеркиваю, что это так на данный момент (конец марта 2017).

Рассмотрим компоненты Identity SOC.

1. Oracle Security Monitoring and Analytics (SMA) Cloud Service - облачный SIEM, совмещенный с UEBA (User and Entity Behavior Analytics). Состоит из набора консолей, куда интегрально сводятся данные, полученные из подключенных систем. SMA собирает информацию из подключенных систем - конфигурацию, транзакции, логи, ассоциирует записи в логах с действиями пользователей, применяет к этой информации правила корреляции, которые могут динамически изменяться на основе накопленной информации. Видимо, в этом, а также в автоматизированном выявлении аномалий и состоит "Machine Learning", а гибкий механизм корреляции событий - одна из главных фич продукта. 

Корреляция выполняется для "identity" (Identity Correlation), чтобы поставить в соответствие учетную запись, используемую в одном контексте и учетную запись, используемую в другом, могут быть проанализированы логи VPN, AD, DHCP и т.д.   Второй тип корреляции - для контекста (Context Correlation), где коррелируются подключенные системы (Assets) и известные угрозы. Наконец, поверх всего этого имеются правила корреляции, позволяющие определить угрозу. Пример правил корреляции, которые мне удалось обнаружить:

Insider Threat: Brute force attack
    Rule: X failed logins + successful login within 1 min 
    Context: Asset criticality = High 
Compliance: Account misuse (SOX)
    Rule: User account created & deleted within 24 hours 
    Context: Asset role = Production; User Group = Accounting
External Threat: Hijacked account
    Rule: Simultaneous user login from multiple locations
    Context: Login IP address on Latest Malicious IP watchlist

Примеры выявления аномалий, которые удалось найти:

Multi-dimensional Anomaly Detection
    Baseline behavior for entity members AND peer groups (network access)
    Across multiple dimensions (time of access, login location, login host) 
    Diane G. is exhibiting anomalous access behavior relative to her peers
Data Access Anomaly Detection
     Baseline SQL queries executed
     By a user/group, DB/DB group, or host/application
     Queries being run against the finance database are anomalous
Machine Learning
     Provide feedback about false positives for machine learning
     Update baselines and detect anomalies based on feedback

Собственно, консоли SMA (вместе с CASB) и есть "лицо" Identity SOC. Заявляются возможности по предусмотренной навигации по событиям для выявления типовых нарушений, визуализация цепочки атаки.

Рис. 3. Консоли SMACS

Ресурсы:

2. Oracle Configuration Compliance Cloud Service - облачный сервис, который позволяет отследить конфигурации подключенных ресурсов и оценить их на соответствие заданным шаблонам и лучшим практикам. Несмотря на свою облачную природу, сервис работает как с On-Prem, так и с облачными системами. (Что-то похожее установлено у нас во внутренней сети Oracle, что рассылает сотрудникам и, потом, менеджерам гневные письма о том, что у кого-то не установлен нужный апдэйт Java)

Рис. 4. Консоли CCCS

Важно заметить, что SMACS и CCCS работают поверх платформы Oracle Management Cloud, которая позволяет собирать информацию из различных источников для разных целей. SMACS и CCCS просто обрабатывают собранную информацию для создания инцидентов по безопасности и конфигурациям соответственно. 

Ресурсы:

3. Oracle CASB Service (Cloud Access Security Broker) - сервис, позволяющий отследить активности пользователя в облачных системах и связать их с событиями на локальных сетевых экранах, был приобретен осенью 2016 года вместе с компанией Palerra (у Palerra продукт назывался LORIC) и до сих пор развернут только в среде AWS (и говорят, что внутри у себя этот сервис использует VMWare). Этот сервис интегрируется с облачными провайдерами (SaaS, IaaS, PaaS) через API и работает фактически оффлайн относительно конечного пользователя, поэтому его тип указывают как API-Centric. В отличие от CASB другого типа (Perimeter / Agent-centric), он не имеет функционала DLP или DPI и не может предотвратить возможно опасные действия пользователя в реальном времени, но и не оказывает отрицательного влияния на производительность UI конечного пользователя. Он фокусируется на обнаружении потенциальных атак с целью получения доступа к данным, располагающихся в облачных системах. Заявлено его быстрое развертывание (опять же, он не будет влиять на работу конечного пользователя), и относительная простота в настройке.

Основные Use Case'ы, которые покрывает CASB CS:
- мониторинг событий безопасности в облачных приложениях;
- обеспечение соответствия требованиям и политикам компании для облачных приложений;
- выявление "теневого IT";

CASB CS использует API для доступа в облачные приложения, а компания Palerra когда-то заключила партнерские соглашения с большинством SaaS провайдеров, что позволило ей эффективно организовать доступ к журналам аудита пользовательской активности в облачных приложениях на уровне SaaS, аудит и статистику выполнения приложений в AWS на уровне IaaS, а также интегрироваться с журналами аудита сетевых экранов. Как и любая интеграция, все это накладывает ограничения на состав поддерживаемых систем, так в настоящий момент Oracle CASB не предоставляет возможности разработки собственных коннекторов, чтобы самостоятельно добавить новую системы в список поддерживаемых. Добавление новой системы проходит через Dev  и должно быть согласовано на уровне Product Management. 

Поиски поддерживаемых облачных систем Oracle CASB привели к следующему списку (я не уверен, что он полный, какого-то ресурса, где бы описывались все возможные интеграции для Oracle CASB, я не нашел).
- box
- SalesForce
- MS Office 365
- GitHub
- Amazon WS
- Google Apps
- ServiceNow
- Microsoft Azure
- okta
- rockspace

Сетевые экраны.
- Check Point

Рис. 6. Пример экрана Oracle CASB CS

Ресурсы:

4. Oracle Identity Cloud Service - сервис, призванный выполнять традиционные IAM задачи (которые в On-Prem исполнении сейчас решаются Oracle Identity Governance, Oracle Access Management и Oracle Directory Services). Планы развертывания функционала большие (и Provisioning, и Governance), но на момент написания этой статьи IDCS представлял из себя Cloud SSO платформу. Основная ее задача - генерация SAML токенов для пользователей, чтобы те имели возможность входа в поддерживающие этот стандарт облачные системы (в теории и On-Prem тоже), то есть в качестве IdP (Identity Provider) для облачных сервисов. Имеется и обратный функционал, когда IDCS используется как SP (Service Provider), и в сам сервис можно зайти, скажем, доменным пользователем, но реальное массовое применение этого мне пока непонятно.

Рис. 7. Консоль IDCS

Ресурсы:

Все эти компоненты должны быть каким-то образом интегрированы. Так, очевидно, что CASB и IDCS может являться источником данных для SMA, и, скорее всего, это может быть уже преднастроено. Также я верю в то, что есть стандартные шаблоны для подключения основных целевых систем - облачных приложений, сетевого экрана, локальных баз данных и приложений, построенных на стандартных архитектурах. Вызывает сомнение, что все это взлетит в условиях, когда присутствует множество приложения разных архитектур (например, 1С) и облачные провайдеры, о которых ничего не знают за океаном (тот же 1С). Но будущее покажет, пока что Oracle Identity SOC как концепция, вижен, выглядит достаточно убедительно

Ресурсы по Identity SOC:


Если вы нашли неточность в статье, плз, сообщите об этом мне - oleg.faynitskiy@gmail.com.






No comments:

Post a Comment