ArcSight Inc
ArcSight Inc — американская компания, разрабатывающая программное обеспечение для управления информацией и событиями безопасности (SIEM). Основана в 2000 году, с 2010 года входит в состав корпорации Micro Focus (позднее — OpenText). Продукты ArcSight используются для мониторинга, корреляции и анализа событий информационной безопасности в крупных корпоративных и государственных сетях.
История
Компания ArcSight была основана в 2000 году в городе Купертино, Калифорния (США), группой специалистов по информационной безопасности во главе с Хью Нджем (Hugh Njemanze) и Финбарром О’Коннором (Finbarr O’Connor). Первоначально компания сосредоточилась на разработке систем сбора и анализа логов для выявления аномалий в сетевом трафике.
В 2005 году ArcSight вышла на биржу NASDAQ под тикером ARST. В 2008 году компания приобрела поставщика решений для управления уязвимостями nCircle, расширив портфель продуктов. В 2010 году корпорация Hewlett-Packard (HP) объявила о приобретении ArcSight за 1,5 миллиарда долларов США. Сделка была завершена в октябре 2010 года, после чего ArcSight стала подразделением HP Software.
В 2017 году HP Enterprise (HPE) выделила свои программные активы, включая ArcSight, в новую компанию Micro Focus. В 2023 году Micro Focus была приобретена канадской корпорацией OpenText, и ArcSight вошла в состав портфеля решений OpenText Cybersecurity.
Продукты и архитектура
Основным продуктом ArcSight является платформа управления информацией и событиями безопасности (SIEM), которая включает несколько ключевых компонентов:
ArcSight Enterprise Security Manager (ESM)
Центральный компонент системы, выполняющий сбор, нормализацию и корреляцию событий безопасности в реальном времени. ESM использует механизм правил и корреляционных сценариев для выявления атак, вредоносной активности и нарушений политик безопасности. Поддерживает работу с базами данных Oracle и Microsoft SQL Server.
ArcSight SmartConnectors
Набор программных адаптеров для сбора событий от различных источников: сетевых устройств (маршрутизаторы, межсетевые экраны), серверов, операционных систем, баз данных, приложений и специализированных средств защиты (антивирусы, системы обнаружения вторжений). На момент 2023 года насчитывалось более 500 типов коннекторов.
ArcSight Logger
Система долговременного хранения и поиска логов. Используется как для архивного хранения, так и для оперативного анализа событий. Поддерживает хранение данных в сжатом виде и быстрый полнотекстовый поиск.
ArcSight ArcMC (Management Center)
Централизованная консоль управления для администрирования политик безопасности, конфигураций коннекторов и обновлений правил корреляции.
ArcSight User Behavior Analytics (UBA)
Модуль анализа поведения пользователей, использующий методы машинного обучения для выявления аномалий в действиях учётных записей (например, несанкционированный доступ, подозрительная активность в нерабочее время).
Применение
Продукты ArcSight применяются в организациях с высокими требованиями к информационной безопасности, включая:
- Государственные учреждения — для обеспечения кибербезопасности критической информационной инфраструктуры.
- Финансовый сектор — для мониторинга транзакций, выявления мошенничества и соблюдения нормативных требований (например, PCI DSS, SOX).
- Энергетика и промышленность — для защиты автоматизированных систем управления технологическими процессами (АСУ ТП).
- Телекоммуникации — для анализа сетевого трафика и обнаружения атак на инфраструктуру связи.
- Медицинские учреждения — для защиты персональных данных пациентов (в соответствии с HIPAA).
Критика и ограничения
Несмотря на широкую распространённость, продукты ArcSight подвергаются критике по нескольким направлениям:
- Сложность внедрения и настройки — для развёртывания и поддержки системы требуются квалифицированные специалисты, а также значительное время на настройку правил корреляции и коннекторов.
- Высокая стоимость лицензирования — ArcSight относится к категории дорогих SIEM-решений, что ограничивает его применение в малом и среднем бизнесе.
- Производительность — при больших объёмах событий (более 10–15 тысяч событий в секунду) система может испытывать проблемы с задержками обработки и хранения данных.
- Устаревание архитектуры — некоторые эксперты отмечают, что платформа ArcSight медленнее адаптируется к современным облачным и контейнерным средам по сравнению с конкурентами (Splunk, IBM QRadar, ELK Stack).
Конкуренты
Основными конкурентами ArcSight на рынке SIEM являются:
- Splunk — платформа для машинных данных, предоставляющая SIEM-функционал через модуль Splunk Enterprise Security.
- IBM QRadar — SIEM-решение от IBM, использующее собственную систему корреляции и машинного обучения.
- LogRhythm — SIEM-платформа, ориентированная на средний и крупный бизнес.
- ELK Stack (Elasticsearch, Logstash, Kibana) — открытый стек для сбора, хранения и визуализации логов, часто используемый как альтернатива коммерческим SIEM.
- AlienVault (AT&T Cybersecurity) — SIEM-решение с открытым исходным кодом и коммерческой поддержкой.
Интересные факты
- Название «ArcSight» образовано от слов «arc» (дуга) и «sight» (зрение), что символизирует способность системы «видеть» события безопасности под разными углами.
- В 2013 году система ArcSight использовалась для расследования утечки данных в компании Target, в результате которой были похищены данные 40 миллионов кредитных карт.
- По состоянию на 2024 год ArcSight остаётся одной из старейших и наиболее широко внедрённых SIEM-платформ в мире, с установками в более чем 2000 организаций.
Источники
- Официальная документация OpenText ArcSight (2023–2024)
- Отчёты Gartner Magic Quadrant for SIEM (2010–2023)
- Книга «Security Information and Event Management (SIEM) Implementation» (David Miller, 2011)
- Публикации в журнале «Information Security» (2015–2020)
- Материалы конференций RSA Conference (2010–2023)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →