Oct 19, 2018

Апдэйт по продуктам безопасности Oracle, часть 2 - CASB, SMA

Short intro: here you can find an article, review of the changes what occurred  last years. Part 2 - CASB Cloud Service, Security Monitoring & Analytics Cloud Service...

Продолжаю серию статей, посвященных апдэйтам по продуктам безопасности Oracle, собранным мной по семинарам, статьям, презентациям и конференции в Oracle HQ, на которой мне удалось побывать. На этот раз вторая часть, посвященная CASB Cloud Service и Security Monitoring and Analytics Cloud Service.

Опять размещаю небольшой дисклэймер - мое мнение не обязательно совпадает с мнением корпорации, что элементы программы развития продукта ориентировочные и могут быть изменены компанией без предупреждения и т.д.





3. CASB Cloud Service

Всего пару лет назад Oracle приобрел компанию Palerra, которая вела облачный сервис CASB (Cloud Access Security Broker), который на тот момент был API-центрическим, то есть умел через API лезть в другие облачные системы (с которыми он зачастую подписывал партнерские соглашения) с целью выявления активности пользователей, что существенно повышало прозрачность использования корпоративных подписок на облачные сервисы.

За два года много что поменялось. Продукт усиленно дописывается, подключаются новые системы, выходит новая функциональность. Появилась долгожданная функциональность в виде Reverse Proxy, который позволили CASB работать в режиме превентивной противомеры (а не детективной, как было раньше) для предотвращения утечек данных из облачных систем (облачное DLP), появились средства для классификации данных (прежде чем определять средства защиты, нужно понимать, что мы должны защищать). Заявлена интересная новая функциональность (например, возможность облачным провайдерам самостоятельно встраиваться в CASB). В-общем, CASB становится постепенно полноценным средством защиты облачной инфраструктуры.

Тут будет уместно вспомнить о разделении ответственности между облачным провайдером и заказчиком. Облачный провайдер защищает свою часть облачного многослойного пирога, она разная в зависимости от типа облака - IaaS, PaaS, SaaS, чем более высокоуровневая модель, тем за большую часть безопасности несет ответственность провайдер. Так, за защиту инфраструктуры IaaS ответственность несет провайдер, тогда как за правильную настройку её безопасности (какие сервисы должны быть видны извне, сложные пароли и прочее) - заказчик. И во всех моделях ответственность за защиту самих данных в конечном счете лежит на заказчике. Собственно, наложенные способы защиты облачных приложений типа Oracle CASB - это средства автоматизации этой защиты.

Как и в случае с IDCS, CASB развивается в первую очередь в сторону поддержки других систем производства Oracle (IaaS, PaaS, SaaS), но гетерогенная составляющая по-прежнему сильна. На западе сервис неплохо продается, будучи включенным в пакет таких подписок, что кажется вполне логичным. Общий функционал, определяемый встроенными “умными политиками” (Smart policy) - выявление уязвимостей в настройке, UEBA (аналитика активности пользователей) для привилегированных пользователей, определение нестандартной активности для обычных пользователей, а также скоринг пользователей для управления рисками ИБ.

Вместе с этим пришло и деление функциональности CASB. Так, на конференции демонстрировался CASB for OCI (Oracle Cloud Infrastructure), CASB for AWS (Amazon Web Services), CASB for Azure (Microsoft), CASB for Oracle SaaS (CASB for Oracle HCM Cloud, CASB for Oracle ERP Cloud, CASB for Oracle SaaS Fusion Apps, CASB for Oracle CX Cloud), CASB for Data Protection (облачное DLP), CASB for Shadow IT Discovery. Итак, обо всем по порядку.



- CASB for OCI. Хочется воскликнуть - ну наконец то! Oracle Cloud Infrastructure (Oracle IaaS, не путать с OCI Classic, который медленно выходит из обращения) состоит из сервисов Compute, Storage, Network и IAM (управление доступом к этим сервисам), теперь CASB умеет отслеживать активности пользователей в этих сервисах и оценивать правильность настройки конфигурации (наличие публичных IP, административные права у пользователей и т.д.).
- CASB for AWS. Уже существовавшие сервисы защиты Amazon (EC2, S3, VPC, AutoScaling, Lambda, RDS, Redshift, EBS, Route 53, ELB, DirectConnect, CloudTrail, CloudWatch, KMS, Key Rotation, IAM, Elastic Search, ACM (Certificate Manager)),  включающие в себя выявление аномалий в поведении пользователей, поддержку оценки соответствия настроек рекомендациям в CIS Benchmarks и прочее.
- CASB for Azure. Сейчас Oracle CASB понимает в Azure: Virtual Machines, Virtual Network, Azure AD, Azure Storage, Azure Disk, Key Vault. имеются встроенные политики для обнаружения уязвимостей в конфигурации, а также аномальных активностей пользователей.
- CASB for Oracle HCM Cloud. Поддержка всех модулей (пока кроме Taleo), политики понимают определенные в HCM роли и привилегированные аккаунты, а также какая информация содержит персональные данные и зарплату.
- CASB for Oracle ERP Cloud. Поддержка всех модулей, политики понимают определенные в ERP Cloud роли и привилегированные аккаунты, а также изменения объектов Bank, Payment & Supplier Business Objects для выявления мошенничества и оповещения при смене режимов шифрования/токенизации для данных. в которых содержится информация по кредитным картам (PCI DSS).
- CASB for Oracle CX Cloud. Поддержка Marketing & Sales Cloud, отслеживание назначение ролей и отслеживание привилегированных учетных записей.
- CASB for Data Protection. Режим обратного прокси (Reverse Proxy), классификация данных, выявление действий с классифицированными данными через API, триггеры (Webhooks).

С точки зрения интеграции, помимо облачных платформ, где хранятся данные, можно выделить следующее.

- Интеграция с Identity-провайдерами. Интеграция с Identity-провайдерами необходима для установки соответствия между пользователями облачных систем и записью в облачном каталоге. Поддержка Oracle IDCS (ожидаемо), Okta (это вроде и раньше было), а также Ping Identity. Для Okta поддерживается режим автоматизированного ответа на инцидент (автоматизированная блокировка пользователя в случае наличие серьезного риска, ассоциированного с ним). Много планов по развитию этого вектора интеграции.
- Интеграция с SIEM системами. Инциденты, сформированные в CASB, необходимо пробросить дальше в SIEM, которая обычно является единой консолью корпоративного SOC. Есть встроенная интеграция с Oracle Security Monitoring & Analytics (ожидаемо - кусок функционала Identity SOC). Заявлены Splunk, McAffess, Arcsight, Q Radar, но мне пока неясно, OOTB ли это интеграция, или предлагается использовать CASB API, экспорт событий риска или же Syslog stream для осуществления интеграции самостоятельно.
Интеграция с источниками данных об угрозах.

В-общем, функционал CASB сейчас достаточно богатый и сервис сейчас - наложенное средство защиты для организации, использующей облачные сервисы, которые поддерживаются CASB. Радует ориентация на другие решения Oracle (в первую очередь на SaaS). Настораживает сегментация (CASB для одного, CASB для другого) и отсутствие возможностей для облачного провайдера самому дописать функциональность для интеграции с CASB. Впрочем, это вроде как обещают.


4. Oracle Security Monitoring and Analytics Cloud Service.

Oracle Security Monitoring & Analytics (SMA) - еще одно наложенное средство для защиты данных пользователя. Собственно, этот продукт и привел к маркетинговому объединению линеек Security и Manageability, так как он построен на базе платформы Oracle Management Cloud (OMC). OMC сейчас среди PaaS сервисов Oracle продается лучше всего, так как он во-первых, работает в гибридном окружении (то есть осуществляет процессинг логов из онпрем систем), во-вторых, в логах как правило не содержится ПДн или какой-либо чувствительной информации, которую в крайнем случае можно замаскировать. Интеграция с облачными системами выполняется через CASB Cloud Service. Самый используемый сервис из набора Management Cloud - это Log Analytics.



То есть уже существует в мире достаточно компаний, которые размещают логи для анализа в OMC. В этих условиях логичным шагом кажется автоматизация анализа этих логов с точки зрения выявления событий ИБ, чем и занимается SMA. За прошедший год была выполнена существенная работа по улучшению сервиса, включающая в себя поддержку новых логов (Windows, CASB, Checkpoint FW, Fortinet FW, Semantic AV/DLP, McAffee AV/DLP), новые дэшбоарды, встроенные корреляционные правила (в том числе для автоматизации соответствия законодательным требованиям), улучшено формирование Baseline в машинном обучении, улучшения в UI.

Как и в случае с CASB, налицо сегментация продукта через его использование в контексте определенных продуктов. Особое внимание уделяется SMA for Oracle Database, где у Oracle, разумеется, большое преимущество перед конкурентами.

Вообще, по общему фидбэку коммьюнити, SMA работает прежде всего с системами производства Oracle, и название SIEM надо бы оттуда вычеркнуть, это отличная аналитика событий безопасности прежде всего для оракловых продуктов. Наличие другой SIEM системы на предприятии SMA не исключает. Некоторые фичи SMA откровенно сыроваты, но продукт активно развивается.

No comments:

Post a Comment