ИБ как на ладони:
автоматический мониторинг
ИТ-инфраструктуры
Угрозам ИБ подвержены любые ИТ-системы и данные в них: компания может пострадать от действий инсайдеров, внешних кибератак, риски несут даже сбои оборудования и ПО. Поэтому инфраструктуре нужен постоянный и всеобъемлющий контроль.
С задачей справляются SIEM – системы управления событиями информационной безопасности в реальном времени. Они анализируют всю ИТ-инфраструктуру, выявляют инциденты безопасности и оповещают о них службу ИБ. Сегодня это уже базовый инструмент в арсенале ИБ-специалистов. SIEM помогают снизить киберриски и выполнить требования регуляторов.
ИБ-угрозы в потоке миллиона событий
ИТ-инфраструктура компании состоит из оборудования и множества корпоративных систем: баз данных, сетевых экранов, ОС, почтовых серверов и пр. Ей угрожают вирусные эпидемии, попытки несанкционированного доступа к данным, перегрев оборудования, удаление виртуальных машин, изменение групповых политик и другие ошибки и сбои в работе информационных систем.
За каждым элементом инфраструктуры уследить вручную невозможно. Помогают в этой задаче системы класса SIEM. Они автоматически отслеживают и анализируют тысячи событий, изменений и параметров в ИТ-инфраструктуре. Задачи SIEM – собрать данные из всех элементов (источников) ИТ-инфраструктуры, выявить потенциально опасные события, сопоставить их и сообщить о сбое или инциденте ИБ-специалисту.
На примере «СёрчИнформ SIEM» разберем, как именно система выполняет поставленные задачи и за счет чего усиливает информационную защиту компании.
в потоке ИБ-событий
Как SIEM защищает ИТ-инфраструктуру
После инсталляции системы ИБ-специалист подключает и настраивает коннекторы. Таким образом, чтобы SIEM собирала и анализировала данные из максимального числа источников. Далее она производит нормализацию и корреляцию событий. И ИБ-специалист видит всю картину происходящего в ИТ-инфраструктуре, аномалии и нарушения в ее работе. Может оперативно отреагировать на инциденты и нивелировать их последствия.
SIEM состоит из нескольких частей, каждая из которых решает конкретную задачу:
- Система сбора данных. Обычно представлена модулями коннекторов, которые обеспечивают получение событий.
- Система анализа/корреляции. По сути, это движок, который перерабатывает полученный поток данных и событий, анализирует его и обнаруживает инциденты.
- Система хранения. Она отвечает за оперативное хранение данных и их бэкапирование.
- Система управления. Это консоль, с которой работает ИБ-специалист: подключает источники, настраивает корреляцию событий, архивное копирование, раздает права доступа и пр. Но самое главное – в консоли происходит работа с инцидентами.
«СёрчИнформ SIEM» – оптимизированная защита
«СёрчИнформ SIEM» появилась в 2016 году и изначально создавалась как «коробочный» продукт. Это позволяет использовать решение даже тем заказчикам, где нет большого ИБ-отдела или ИБ-специалист не владеет навыками программирования. Разработчик максимально преднастроил систему, снизил ее вычислительную нагрузку и минимизировал ручной труд пользователя. Благодаря этому SIEM от «СёрчИнформ»:
- Поставляется с набором готовых коннекторов: индивидуальных к типовому оборудованию и ПО, универсальных под сетевые протоколы и кастомных под нетиповые источники. Всего в «СёрчИнформ SIEM» 40+ коннекторов. ИБ-специалист может использовать источники из предустановленного списка или подключать собственные.
В большинстве других SIEM пользователю необходимо выбрать методы нормализации под каждый источник — нередко из десятка или более вариантов. А затем верно настроить их, что часто требует от специалиста навыков написания кода.
- Использует предустановленные правила для корреляции полученных данных. В «СёрчИнформ SIEM» 500+ готовых правил кросс-корреляции. ИБ-специалист может редактировать и настраивать уже существующие правила или создавать новые. Правила отслеживают результаты работы источника и проблемы в его активности. Так система увидит, к примеру, сработку антивируса, или то, что некая программа давно не обновлялась. При этом «СёрчИнформ SIEM» собирает и прочие события, которые не представляют угрозы, но могут пригодиться при расследовании инцидента.
В других SIEM пользователю необходимо самому определить, что считать инцидентом ИБ: написать правило отбора или импортировать классификацию событий из источника.
- В системе оптимизировано выявление инцидентов. Правила корреляции автоматически разграничивают собранные данные по категориям и делят их на:
- инциденты, требующие незамедлительной реакции
- потенциальный инцидент, который необходимо изучить и расследовать
- полезные сведения о проблеме, которая была зафиксирована другими правилами.
Правила можно уточнять, персонализировать, создавать новые на основе существующих, присваивать им статус критичности. ИБ-специалист может объединить события из нескольких источников в правила кросс-корреляции. Или перевести инцидент в статус «Задача» в Task Management — встроенной платформе для расследований в «СёрчИнформ SIEM».
В других SIEM пользователю нужно сначала «научить» систему, что считать инцидентом. Для этого правила придется выбрать, импортировать и приоритизировать. И только после этого система начнет выявлять нарушения. Где-то ручной разбор событий и вовсе остается основным вариантом.
компания внедряла SIEM
«СёрчИнформ SIEM» разработана так, чтобы снизить нагрузку на ИБ-специалиста, но получить полную картину происходящего в ИТ-инфраструктуре и уменьшить число сбоев и инцидентов в ее работе. А бесшовная интеграция «СёрчИнформ SIEM» с DLP «СёрчИнформ КИБ» и DCAP-системой «СёрчИнформ FileAuditor» повышает уровень информационной безопасности организации и помогает максимально полно расследовать инциденты, собрать доказательную базу и выявить потенциальные нарушения.
Больше об инструментах безопасности: