Открыть сервис

ArcSight Inc

ArcSight Inc — американская компания, разрабатывающая программное обеспечение для управления информацией и событиями безопасности (SIEM). Основана в 2000 году, с 2010 года входит в состав корпорации Micro Focus (позднее — OpenText). Продукты ArcSight используются для мониторинга, корреляции и анализа событий информационной безопасности в крупных корпоративных и государственных сетях.

История

Компания ArcSight была основана в 2000 году в городе Купертино, Калифорния (США), группой специалистов по информационной безопасности во главе с Хью Нджем (Hugh Njemanze) и Финбарром О’Коннором (Finbarr O’Connor). Первоначально компания сосредоточилась на разработке систем сбора и анализа логов для выявления аномалий в сетевом трафике.

В 2005 году ArcSight вышла на биржу NASDAQ под тикером ARST. В 2008 году компания приобрела поставщика решений для управления уязвимостями nCircle, расширив портфель продуктов. В 2010 году корпорация Hewlett-Packard (HP) объявила о приобретении ArcSight за 1,5 миллиарда долларов США. Сделка была завершена в октябре 2010 года, после чего ArcSight стала подразделением HP Software.

В 2017 году HP Enterprise (HPE) выделила свои программные активы, включая ArcSight, в новую компанию Micro Focus. В 2023 году Micro Focus была приобретена канадской корпорацией OpenText, и ArcSight вошла в состав портфеля решений OpenText Cybersecurity.

Продукты и архитектура

Основным продуктом ArcSight является платформа управления информацией и событиями безопасности (SIEM), которая включает несколько ключевых компонентов:

ArcSight Enterprise Security Manager (ESM)

Центральный компонент системы, выполняющий сбор, нормализацию и корреляцию событий безопасности в реальном времени. ESM использует механизм правил и корреляционных сценариев для выявления атак, вредоносной активности и нарушений политик безопасности. Поддерживает работу с базами данных Oracle и Microsoft SQL Server.

ArcSight SmartConnectors

Набор программных адаптеров для сбора событий от различных источников: сетевых устройств (маршрутизаторы, межсетевые экраны), серверов, операционных систем, баз данных, приложений и специализированных средств защиты (антивирусы, системы обнаружения вторжений). На момент 2023 года насчитывалось более 500 типов коннекторов.

ArcSight Logger

Система долговременного хранения и поиска логов. Используется как для архивного хранения, так и для оперативного анализа событий. Поддерживает хранение данных в сжатом виде и быстрый полнотекстовый поиск.

ArcSight ArcMC (Management Center)

Централизованная консоль управления для администрирования политик безопасности, конфигураций коннекторов и обновлений правил корреляции.

ArcSight User Behavior Analytics (UBA)

Модуль анализа поведения пользователей, использующий методы машинного обучения для выявления аномалий в действиях учётных записей (например, несанкционированный доступ, подозрительная активность в нерабочее время).

Применение

Продукты ArcSight применяются в организациях с высокими требованиями к информационной безопасности, включая:

  • Государственные учреждения — для обеспечения кибербезопасности критической информационной инфраструктуры.
  • Финансовый сектор — для мониторинга транзакций, выявления мошенничества и соблюдения нормативных требований (например, PCI DSS, SOX).
  • Энергетика и промышленность — для защиты автоматизированных систем управления технологическими процессами (АСУ ТП).
  • Телекоммуникации — для анализа сетевого трафика и обнаружения атак на инфраструктуру связи.
  • Медицинские учреждения — для защиты персональных данных пациентов (в соответствии с HIPAA).

Критика и ограничения

Несмотря на широкую распространённость, продукты ArcSight подвергаются критике по нескольким направлениям:

  • Сложность внедрения и настройки — для развёртывания и поддержки системы требуются квалифицированные специалисты, а также значительное время на настройку правил корреляции и коннекторов.
  • Высокая стоимость лицензирования — ArcSight относится к категории дорогих SIEM-решений, что ограничивает его применение в малом и среднем бизнесе.
  • Производительность — при больших объёмах событий (более 10–15 тысяч событий в секунду) система может испытывать проблемы с задержками обработки и хранения данных.
  • Устаревание архитектуры — некоторые эксперты отмечают, что платформа ArcSight медленнее адаптируется к современным облачным и контейнерным средам по сравнению с конкурентами (Splunk, IBM QRadar, ELK Stack).

Конкуренты

Основными конкурентами ArcSight на рынке SIEM являются:

  • Splunk — платформа для машинных данных, предоставляющая SIEM-функционал через модуль Splunk Enterprise Security.
  • IBM QRadar — SIEM-решение от IBM, использующее собственную систему корреляции и машинного обучения.
  • LogRhythm — SIEM-платформа, ориентированная на средний и крупный бизнес.
  • ELK Stack (Elasticsearch, Logstash, Kibana) — открытый стек для сбора, хранения и визуализации логов, часто используемый как альтернатива коммерческим SIEM.
  • AlienVault (AT&T Cybersecurity) — SIEM-решение с открытым исходным кодом и коммерческой поддержкой.

Интересные факты

  • Название «ArcSight» образовано от слов «arc» (дуга) и «sight» (зрение), что символизирует способность системы «видеть» события безопасности под разными углами.
  • В 2013 году система ArcSight использовалась для расследования утечки данных в компании Target, в результате которой были похищены данные 40 миллионов кредитных карт.
  • По состоянию на 2024 год ArcSight остаётся одной из старейших и наиболее широко внедрённых SIEM-платформ в мире, с установками в более чем 2000 организаций.

Источники

  • Официальная документация OpenText ArcSight (2023–2024)
  • Отчёты Gartner Magic Quadrant for SIEM (2010–2023)
  • Книга «Security Information and Event Management (SIEM) Implementation» (David Miller, 2011)
  • Публикации в журнале «Information Security» (2015–2020)
  • Материалы конференций RSA Conference (2010–2023)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →