А.Б. Блохин
Заместитель генерального директора по корпоративной защите - начальник СКЗ
Какие задачи решает SIEM?
ИТ
-
Централизованный сбор и хранение событий
-
-
Инвентаризация информационных активов
-
-
Контроль изменений конфигурации информационных ресурсов
-
-
Контроль за действиями пользователей и администраторов информационных систем
-
-
Оповещение администраторов информационных систем о сбоях
-
-
Мониторинг состояния информационных активов
ИБ
-
Централизованный сбор, хранение и обработка событий ИБ
-
-
Оперативный контроль защищенности информационных ресурсов
-
-
Оперативное реагирование и управление инцидентами ИБ
-
-
Проведение аудита и pentest
-
-
Оповещение ответственных лиц об инцидентах ИБ
В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов. Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report). Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).
Зачем внедрять SIEM?
- Повышение защищенности информационных систем от внешних и внутренних угроз ИБ
-
Снижение возможного ущерба от инцидентов ИБ за счет предотвращения и/или оперативного реагирования на них
-
Получение данных для процессов анализа и управления рисками ИБ
-
Поддерживание принятия обоснованных решений в области ИБ
-
Снижение операционных затрат за счет автоматизации процессов обработки и управления событиями ИБ от различных источников
-
Выполнение ретроспективного анализа инцидентов ИБ
-
Анализ эффективности принятых мер по ИБ
-
Своевременное обнаружение несанкционированных изменений в информационных системах
-
Формирование доказательной базы при расследовании инцидентов
-
Своевременное обнаружение и реагирование на сбои в работе ИТ- и ИБ-систем
Немного занимательной теории
Системы сбора и корреляции событий безопасности, как можно судить по определению, сами по себе не способны что-либо предотвращать или защищать. Их задача в другом — анализировать информацию, поступающую от различных систем, таких как DLP, IDS, антивирусы, маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент. В основе работы таких систем лежат, в основном, статистические и математические технологии, работа с большими потоками событий, хранение и поиск информации в десятках терабайт данных.
