Мониторинг событий и управление инцидентами ИБ
Задать вопросВсе компоненты ИТ-инфраструктуры и каждая система постоянно предоставляют данные о своем состоянии, записывают их в журналы событий. Именно они подлежат сбору, обработке и анализу. Эта информация является ключевой при выявлении инцидентов ИБ и возникающих проблем, именно на ее основе возможно вовремя принять эффективные меры для пресечения и устранения нежелательных действий и их последствий.
Самым важным фактором при обеспечении информационной безопасности (ИБ) является наличие полной и достоверной информации о событиях, происходящих в ИТ-инфраструктуре и информационных системах (ИС). Какими бы мерами не обеспечивалась ИБ, сколько бы и каких подсистем ни стояло на защите ИТ-ресурсов предприятия, отсутствие информации о происходящем и возможностей анализа на порядки снижает эффективность этих ИБ-систем просто потому, что они не получают данных об угрозах и «не видят» их. По статистике до 80–85% происходящих инцидентов ИБ могут быть вовремя выявлены, а ущерб от них может быть полностью нейтрализован за счет осуществления постоянного мониторинга и анализа происходящего. Наоборот – отсутствие такого функционала – увеличивает количество инцидентов в 6 раз, а ущерб – в разных случаях от 15-17 раз до бесконечности!
Все компоненты ИТ-инфраструктуры и каждая система постоянно предоставляют данные о своем состоянии, записывают их в журналы событий. Именно они подлежат сбору, обработке и анализу. Эта информация является ключевой при выявлении инцидентов ИБ и возникающих проблем, именно на ее основе возможно вовремя принять эффективные меры для пресечения и устранения нежелательных действий и их последствий. Но, как правило, информация от каждого источника представлена в своем формате, не связана с другими источниками и разнородна по структуре. Ее объемы в больших ИТ-инфраструктурах огромны и не могут быть собраны и обработаны без использования специального инструментария. В итоге – инциденты остаются незамеченными. А те, которые все же удается выявить, остаются без реакции из-за отсутствия четких процедур реагирования.
Весь комплекс задач решают системы мониторинга и анализа событий информационной безопасности, управления инцидентами – SIEM (Security Information and Event Management). Как правило, это решение, выполняющее функционал:
- SIM (Security Information Management) – управление логами и данными, включая такие подзадачи, как сбор, долговременное хранение и анализ.
- SEM (Security Event Management) – управление событиями ИБ, включая их мониторинг в режиме реального времени и оперативное реагирование.
Внедрение таких систем позволяет выявлять и представлять в удобной и понятной форме информацию об инцидентах ИБ, а также быстро принимать решения и предпринимать эффективные меры к их устранению и нейтрализации возможных рисков от их воздействия. Для этого выполняется мониторинг, сбор и агрегирование информации о событиях от различных источников различного типа, ее нормализация и фильтрация; данные коррелируются и приоритезируются, что позволяет сфокусировать внимание на десятке действительно важных событий среди миллионов, обеспечить возможность проактивного реагирования на события ИБ, осуществляя:
- Автоматизированный мониторинг и сбор информации о состоянии всего множества компонент ИТ-инфраструктуры, ее агрегацию, нормализацию и фильтрацию.
- Мониторинг изменений в настройках активного сетевого оборудования и сетевых средств защиты, мониторинг соответствия политикам безопасности.
- Обнаружение на основе анализа событий внешних и внутренних угроз, включая известные виды атак и предполагаемые злонамеренные действия.
- Обнаружение уязвимостей ПО, некорректных конфигураций и настроек оборудования.
- Выполнение действий управления инцидентами ИБ, включая информирование ответственных лиц, категорирование инцидентов, реагирование на них, локализацию и устранение последствий, проведение расследований и пр.
- Автоматизация формирования тактических и стратегических отчетов о событиях ИБ.
- Долговременное хранение данных о событиях ИБ с возможностью их анализа, использования в целях соблюдения требований законодательства, международных стандартов и проведения расследований.
- Обеспечение соответствия уровня ИБ требованиям нормативных актов и законов.
Внедрение SIEM-решения позволит в полной мере решить вопрос наличия полной и достоверной информации о событиях ИБ, получить возможность своевременно и четко реагировать на возникающие угрозы, и даст такие результаты как:
- Снижение затрат на эксплуатацию систем управления событиями безопасности за счет автоматизации всего комплекса процессов, снижения нагрузки на персонал, широкого круга аналитических и статистических возможностей, позволяющих принимать гибкие и обоснованные решения.
- Повышение эффективности использования имеющихся средств защиты за счет использования информации, которую раньше невозможно было получить.
- Уменьшение ущерба от инцидентов ИБ за счет сокращения времени реагирования на них и своевременного разрешения.
- Возможность комплексного и централизованного управления событиями безопасности.
- Позитивное влияние на общий уровень ИБ за счет возможности использования при оценке рисков и для ее обеспечения реальных данных.
- Приведение уровня обеспечения ИБ в соответствие требованиям нормативных актов, законов и международных стандартов.
- Появление возможности использования объективных критериев в процессе анализа рисков ИБ и при планировании развития ИБ-систем.
Связанные услуги:
-
Обеспечение сетевой безопасности и защиты периметра
Сетевая инфраструктура технологически лежит в основе всех корпоративных ИТ-систем и является транспортной артерией для информации,
[...] -
Защита от целенаправленных атак
Одной из наиболее серьезных и опасных угроз для бизнеса с точки зрения информационной безопасности (ИБ) являются целенаправленные
[...] -
Защита АСУ ТП
Автоматизированная система управления технологическими процессами (АСУ ТП) на производстве является основополагающим решением,
[...] -
Системы анализа и управления уязвимостями
Как не бывает абсолютно здоровых людей, так и не бывает абсолютно защищенных информационных систем. Компоненты ИТ-инфраструктуры
[...] -
Защита от утечки информации (DLP-система)
Любая организация имеет документы с ограниченным доступом, содержащие ту или иную конфиденциальную информацию. Их попадание в чужие
[...] -
Защита веб-сервисов и бизнес-приложений
Современные информационные услуги становятся все более удобными, интерактивными и клиентоориентированными и все чаще
[...] -
Управление учетными записями и доступом
Как правило, множество используемых на предприятии информационных систем (ИС) имеют собственные средства идентификации пользователей
[...] -
Криптографические средства защиты информации
Средства криптографической защиты информации (СКЗИ) являются важной составляющей при обеспечении информационной безопасности и
[...] -
Защита конечных точек
Сегодня подавляющее большинство атак на корпоративные ИТ-системы осуществляются злоумышленниками через использование брешей и
[...] -
Безопасность мобильных устройств
Два года назад количество используемых для бизнес-целей мобильных устройств превысило количество ПК и ноутбуков. Это вполне
[...] -
Контроль привилегированного доступа
В практике обеспечения информационной безопасности одной из важнейших мер, которой часто уделяют недостаточно внимания, является
[...] -
Защита виртуальной инфраструктуры
В последнее десятилетие неизменно растет популярность технологий виртуализации благодаря тому, что они позволяют существенно
[...]