Мониторинг событий и управление инцидентами ИБ

Самым важным фактором при обеспечении информационной безопасности (ИБ) является наличие полной и достоверной информации о событиях, происходящих в ИТ-инфраструктуре и информационных системах (ИС). Какими бы мерами не обеспечивалась ИБ, сколько бы и каких подсистем ни стояло на защите ИТ-ресурсов предприятия, отсутствие информации о происходящем и возможностей анализа на порядки снижает эффективность этих ИБ-систем просто потому, что они не получают данных об угрозах и «не видят» их. По статистике до 80–85% происходящих инцидентов ИБ могут быть вовремя выявлены, а ущерб от них может быть полностью нейтрализован за счет осуществления постоянного мониторинга и анализа происходящего. Наоборот – отсутствие такого функционала – увеличивает количество инцидентов в 6 раз, а ущерб – в разных случаях от 15-17 раз до бесконечности!

Все компоненты ИТ-инфраструктуры и каждая система постоянно предоставляют данные о своем состоянии, записывают их в журналы событий. Именно они подлежат сбору, обработке и анализу. Эта информация является ключевой при выявлении инцидентов ИБ и возникающих проблем, именно на ее основе возможно вовремя принять эффективные меры для пресечения и устранения нежелательных действий и их последствий. Но, как правило, информация от каждого источника представлена в своем формате, не связана с другими источниками и разнородна по структуре. Ее объемы в больших ИТ-инфраструктурах огромны и не могут быть собраны и обработаны без использования специального инструментария. В итоге – инциденты остаются незамеченными. А те, которые все же удается выявить, остаются без реакции из-за отсутствия четких процедур реагирования.

Весь комплекс задач решают системы мониторинга и анализа событий информационной безопасности, управления инцидентами – SIEM (Security Information and Event Management). Как правило, это решение, выполняющее функционал:

• SIM (Security Information Management) – управление логами и данными, включая такие подзадачи, как сбор, долговременное хранение и анализ.
• SEM (Security Event Management) – управление событиями ИБ, включая их мониторинг в режиме реального времени и оперативное реагирование.

Внедрение таких систем позволяет выявлять и представлять в удобной и понятной форме информацию об инцидентах ИБ, а также быстро принимать решения и предпринимать эффективные меры к их устранению и нейтрализации возможных рисков от их воздействия. Для этого выполняется мониторинг, сбор и агрегирование информации о событиях от различных источников различного типа, ее нормализация и фильтрация; данные коррелируются и приоритезируются, что позволяет сфокусировать внимание на десятке действительно важных событий среди миллионов, обеспечить возможность проактивного реагирования на события ИБ, осуществляя:

• Автоматизированный мониторинг и сбор информации о состоянии всего множества компонент ИТ-инфраструктуры, ее агрегацию, нормализацию и фильтрацию.
• Мониторинг изменений в настройках активного сетевого оборудования и сетевых средств защиты, мониторинг соответствия политикам безопасности.
• Обнаружение на основе анализа событий внешних и внутренних угроз, включая известные виды атак и предполагаемые злонамеренные действия.
• Обнаружение уязвимостей ПО, некорректных конфигураций и настроек оборудования.
• Выполнение действий управления инцидентами ИБ, включая информирование ответственных лиц, категорирование инцидентов, реагирование на них, локализацию и устранение последствий, проведение расследований и пр.
• Автоматизация формирования тактических и стратегических отчетов о событиях ИБ.
• Долговременное хранение данных о событиях ИБ с возможностью их анализа, использования в целях соблюдения требований законодательства, международных стандартов и проведения расследований.
• Обеспечение соответствия уровня ИБ требованиям нормативных актов и законов.

Внедрение SIEM-решения позволит в полной мере решить вопрос наличия полной и достоверной информации о событиях ИБ, получить возможность своевременно и четко реагировать на возникающие угрозы, и даст такие результаты как:

1. Снижение затрат на эксплуатацию систем управления событиями безопасности за счет автоматизации всего комплекса процессов, снижения нагрузки на персонал, широкого круга аналитических и статистических возможностей, позволяющих принимать гибкие и обоснованные решения.
2. Повышение эффективности использования имеющихся средств защиты за счет использования информации, которую раньше невозможно было получить.
3. Уменьшение ущерба от инцидентов ИБ за счет сокращения времени реагирования на них и своевременного разрешения.
4. Возможность комплексного и централизованного управления событиями безопасности.
5. Позитивное влияние на общий уровень ИБ за счет возможности использования при оценке рисков и для ее обеспечения реальных данных.
6. Приведение уровня обеспечения ИБ в соответствие требованиям нормативных актов, законов и международных стандартов.
7. Появление возможности использования объективных критериев в процессе анализа рисков ИБ и при планировании развития ИБ-систем.