«Мы получаем данные от банков, коммунальных предприятий и других организаций, сопровождаем их аналитикой и дополнительной информацией, чтобы наши клиенты могли принимать решения с большей уверенностью, — рассказывает Тони Спинелли, специалист в области защиты информации, поступивший на службу в Equifax в 2005 году. — Нам предоставляют эти данные, поскольку в течение 113 лет мы заслужили доверие, и нам важно оправдывать это доверие, обеспечивая лучший в мире уровень защиты информации».
Equifax — американское бюро кредитных историй, входящее в тройку крупнейших кредитных агентств в США наряду с Experian и TransUnion. Компания основана в 1899 году и базируется в Атланте (штат Джорджия). Equifax работает по всему миру, собирая и поддерживая базу данных по более чем 400 миллионам заёмщиков. Она держит в штате более семи тысяч сотрудников в четырнадцати странах и ежегодно получает полуторамиллиардные прибыли.
База данных Equifax — одна из крупнейших в индустрии. Она содержит информацию о доходах, занятости и безработице, активах и благосостоянии, собственности, кредитах и многие другие коммерческие и потребительские данные. Вряд ли будет преувеличением сказать: что бы ни делали в Equifax, это будет так или иначе связано с темой Big Data. И обеспечение сетевой безопасности — не исключение.
В конце 2005 года в Equifax прошло заседание совета директоров и руководящих менеджеров с целью обсудить растущие риски информационной безопасности. На тот момент многие компании были озабочены устранением уязвимостей, которыми могли воспользоваться хакеры.
Однако когда злоумышленники начали целенаправленно атаковать определённые компании на протяжении месяцев и даже лет, пытаясь украсть данные клиентов или интеллектуальную собственность, руководители Equifax поняли, что им необходим более целостный подход, который позволил бы менеджменту собрать воедино разрозненную несогласованную информацию и распознать новые угрозы на основе анализа характера активности.
«Во-первых, нам нужна уверенность в том, что у нас стабильная сеть и нашим серверам обеспечена полная безопасность — говорит Спинелли. — Во-вторых, мы должны удостовериться, что в программном обеспечении, которым пользуются наши компании, нет слабых мест и известных уязвимостей. И, конечно, мы убеждены, что отчёты о безопасности позволят нам действовать проактивно, не дожидаясь появления проблем».
В рамках работы в этом направлении Equifax сменила стандартную сетевую модель обнаружения на систему предупреждения вторжений на основе программного обеспечения IBM Security Network Intrusion Prevention System. Это решение позволяет распознавать вредоносную активность и угрозы, кроющиеся в сетевом трафике, с помощью глубокой инспекции пакетов. Оно было дополнительно усилено системой распознавания новых угроз, созданной в IBM командой разработчиков X-Force. Решение позволяет Equifax проактивно выявлять возникающие угрозы.
«Уже почти шесть лет мы работаем в режиме полной защиты и предупреждения вторжений, который обеспечивает IBM Security Network Intrusion Prevention System, и ни разу не сталкивались со случаями ложного срабатывания — рассказывает Тони Спинелли. — Это решение позволяет нам отсекать нежелательный трафик и каждый день работать с полной уверенностью в нашей безопасности».
Equifax использует также IBM Security AppScan software для обнаружения возможных уязвимостей в двух сотнях своих веб-приложений. Security AppScan позволяет оценивать уровень безопасности, распознает уязвимости и генерирует отчёты с рекомендациями, облегчающими улучшение безопасности.
Для поддержания доверия в своей отрасли Equifax нужна возможность оценивать события в более широком контексте. «Нам необходимо понимать, сколько раз происходило определённое событие в прошлом, с какой частотой и кто его инициировал, — объясняет вице-президент департамента информационной безопасности Equifax Ник Недоступ. — Это помогает нам определить, является ли событие отклонением от нормы — или нечто представляет собой постоянную угрозу нашей рабочей среде».
Для этой цели в Equifax используется решение IBM Security QRadar SIEM, позволяющее сопоставить накопленные статистические данные (системные логи, журнал безопасности, данные приложений) с предупреждениями об угрозах, поступающих в режиме реального времени. Security QRadar собирает и объединяет данные с тысяч конечных устройств и приложений, распределённых по всей сети. Система незамедлительно стандартизирует и сопоставляет исходные данные, с тем чтобы отделить реальные угрозы от ложных.
Таким образом, администраторы могут получать полную картину потенциальных уязвимостей и угроз. Система способна распознавать паттерны — например, необычную активность на сервере с особо важной информацией. По словам специалистов компании, это помогает выявлять такие угрозы, на которые человек не обратил бы внимания.
«IBM Security QRadar — потрясающий продукт, который позволил нам увидеть то, что раньше нам было недоступно, — говорит Спинелли. — Он также повысил нашу эффективность, снабжая наших аналитиков практической информацией, и теперь им не приходится рыться в информационном стоге сена в поисках чего-то важного. Комплекс решений IBM Security позволил нам пройти сертификацию по необходимым в нашей области стандартам, заслужить доверие клиентов и в конце концов увеличить прибыль».