Волна кибератак растет, две трети из них осуществляются с целью получения данных.
Денис Фокин, руководитель отдела консалтинга и инженерной поддержки информационной безопасности компании «Аксофт», рассказал, как найти «слепые места» в средствах ИБ и навести порядок в инфраструктуре, поскольку в решении этих проблем помогает Security Information and Event Management (SIEM) .
Объединяет это вместе
По данным Позитивные технологии , в 2021 году количество кибератак увеличилось на 6,5% по сравнению с 2020 годом.Одним из методов борьбы с этим является использование технологий мониторинга ситуации.
SIEM — это инструмент аналитика безопасности.
Система позволяет изучать и выявлять аномальное/ненормальное поведение устройств или пользователей на основе событий.
Решение автоматизирует и оптимизирует этот процесс с помощью различных инструментов — правил корреляции, визуализации, отчетов.
Основная цель SIEM — собрать информацию о том, что происходит в вашей инфраструктуре, в одном месте и позволить вам с ней работать.
Давайте посмотрим на другие системы:
- NGFW* фиксирует сетевую активность по периметру.
Этот класс решений позволяет отражать атаки (по различным механизмам) или фиксировать вредоносные коммуникации из вашей сети, когда вредоносное ПО уже проникло за периметр.
Но это не позволит провести расследование и выявить причину заражения.
- AV/EDR** видит и может блокировать подозрительную активность непосредственно на хосте пользователя.
Но эти инструменты обычно требуют установки агентов на конечных узлах, а это возможно не везде.
- NTA*** покажет, что происходит внутри сети организации, какие коммуникации идут между узлами, но не скажет, что именно происходит на одном из них.
Это решение помогает компаниям сохранить то, что у них есть, а также навести порядок в трудные времена.
Одной из задач подразделений информационной безопасности (ИБ) является мониторинг того, что происходит внутри инфраструктуры: представляет ли событие угрозу и соответствует ли оно нормативным актам, которые также направлены на минимизацию рисков.
Специалисты по информационной безопасности ежедневно взаимодействуют с различными системами и проводят периодические проверки.
SIEM в первую очередь позволяет автоматизировать или оптимизировать эти задачи и освободить время аналитика для других процессов.
Можно провести аналогию: представьте, что вам нужно навести порядок в комнате в темноте, в которой нет электричества, и вы ориентируетесь с помощью фонарика или света, проникающего в комнату.
Фонарик или окно в данном случае — это отдельные СЗ, позволяющие что-то увидеть, но не дающие полной картины.
SIEM — это верхний светильник, который показывает все в мельчайших подробностях.
Беспорядок может в определенной степени пугать, но, увидев общую картину, вы можете разбить задачу на более мелкие шаги и составить план по организации.
Конкурентные системы
В свете новой реальности актуальным является вопрос миграции на отечественные технологии.На ИТ-рынке можно найти системы, которые будут вполне конкурентоспособны по сравнению с западными аналогами.
Западные аналоги могут быть лучше по некоторым функциям просто потому, что у их разработчиков было больше времени на улучшение продукта.
Но в то же время они не лишены недостатков, вытекающих из заложенных в них архитектурных решений.
Российские системы, в свою очередь, быстро развиваются, и команды разработчиков могут позволить себе учиться на ошибках зарубежных коллег.
С инженерной точки зрения внедрение SIEM не является очень сложной задачей.
Если у заказчика грамотно выстроено централизованное управление ИТ-инфраструктурой, то особых сложностей, как правило, не возникает. За годы работы техническая команда Axoft совместно с партнерами реализовала десятки проектов внедрения SIEM в государственных организациях и компаниях коммерческого сектора.
И три основных типичных вопроса, с которыми к нам приходят обычно:
- Как настроить тот или иной источник событий?
- Какую информацию следует собирать?
- Что нам делать дальше? (Вопрос, который возникает после установки системы.
)
Остальные 10% представляют собой более экзотические и трудно воспроизводимые сценарии.
Но ими, как правило, пользуются те клиенты, которые четко знают, чего хотят от системы.
Что нужно вашему бизнесу?
Когда компания достигает определенного размера, просто необходимо решить вопрос с Log Management (системой, которая собирает и хранит логи ОС и приложений).Делать это с помощью стороннего ИТ-решения или обходиться тем, что у вас есть, — это выбор каждой отдельной организации.
Упрощенно компании можно разделить на три типа.
Эта классификация поможет вам проверить, нужен ли вам SIEM.
- Если 90% инфраструктуры бизнеса построено на продуктах одного вендора, то необходимости во внедрении отдельного SIEM может не быть.
При достаточной степени интеграции этих продуктов будет получена полностью достоверная информация об ИТ-инфраструктуре.
- Если компания развивается в рамках создания одного продукта или услуги, то она может решить вопрос на уровне написания и мониторинга самого приложения (это ее ключевой актив).
И такой компании, скорее всего, не нужна отдельная система.
- Если в организации имеется большой парк различного оборудования и систем, то ей не обойтись без отдельного стороннего решения, которое будет собирать и хранить информацию о том, что именно происходит в этих системах.
**AV/EDR — обнаружение и реагирование на вирусы/конечные точки — защищает конечные точки от сложных угроз.
*** NTA - Network Traffic Analysis - перехват и анализ сетевого трафика.
Теги: #информационная безопасность #кибербезопасность #открытый код #Большие данные #Тестирование ИТ-систем #siem #siem #SIEM #it system
-
Немного О 35-Мм Пленке И Цифровом Звуке
19 Oct, 24 -
Queryset-Рефакторинг
19 Oct, 24 -
О Качестве Услуг
19 Oct, 24
