Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7


Skype: softlist_ru

sales@softlist.biz
Работаем с 09:20 до 18:00 (МСК)
c понедельника по пятницу


Skype: softlist_ru

sales@softlist.biz
Работаем с 09:20 до 18:00 (МСК)
c понедельника по пятницу
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
Что такое SIEM и для чего она нужна?
Что такое SIEM и для чего она нужна?

Что такое SIEM и для чего она нужна?

Постоянно развивающиеся информационные технологии упрощают ведения бизнеса, однако, как обычно, у монеты есть другая сторона. Постоянно увеличивающееся количество информационных потоков, не позволяют отслеживать все процессы вручную, и обеспечивать информационную безопасность в компании. Без должно настроенной системы отслеживания действий в сети, корпоративная сеть, находится под постоянной угрозой.

Системы защиты всегда идут в ногу со временем, и вот теперь, ведущие разработчики антивирусов, разрабатывают свои SIEM решения, которые помогают добавить еще один уровень защиты для сети.

SIEM – Security Information and Event Management. Это система, которая отслеживает все потоки данных и происходящие действия в сети, не позволяя киберпреступникам укрась важные данные. В современном мире, хакеры не действуют на прямую, а стараются скрытыми методами получить важные корпоративные данные, благодаря уязвимостям оборудования или топологии сети.

Принцип работы SEIM систем довольно простой. Программа циклично собирает данные из различных источников и анализирует их. При необходимости, система может блокировать передачу данных, если посчитает, что действия были несанкционированные. Также, система собирает и систематизирует базу данных, анализирует поведения пользователей, сравнивает их с прошлыми действиями, и таким образом выделяет опасные действия, выдает предупреждения и оповещения. Отдельным этапом развития, является внедрение SIEM в антивирусные решения, таким образом периметр сети становится еще более защищенным.

Любая SIEM система состоит из модулей и компонентов, которые отвечают за определенные действия:

  • Контроль доступа и аутентификация. Данный модуль отслеживает кто и когда получает доступ к информации.
  • DLP. Такие системы, отслеживают не было ли попыток вывести важные данные за пределы периметра сети.
  • IPS/IDS. Модули, отслеживают сетевые атаки, а передают их на следующий уровень, которые должно бороться с такими атаками.
  • Антивирусы. Отправляют в систему уведомления о найденных угрозах.
  • Межсетевой экран/фаервол. Собирают информацию об опасных действиях в сети, и найденном вредоносном ПО.
  • Оборудование. Производит учет трафика, и контролирует доступ пользователей к потокам данных.

Основной задаче SIEM, является анализ данных в сети, обобщение их, и сравнение статистики с прошлыми периодами. Так например, при определенном действии, запускается скрипт. Система отследила его запуск, и в следующий раз, при запуске данного скрипта, будет создано событие, которое будет считаться подозрительным. После этого данные передаются или ответственному сотруднику, или сразу антивирусному программному обеспечению.

Для чего нужна SIEM система на предприятии:

  • Обнаружение кибератак, внешних и скрытых.
  • Обнаружение точечных атак.
  • Обнаружение попыток получения несанкционированного доступа к файлам или информационным потокам.
  • Обнаружение утечек данных, и попытки корпоративного мошенничества.
  • Обнаружение слабых мест в безопасности сети.
  • Обнаружение целевых атак, для хищения корпоративных данных.

На рынке кибербезопасности, представлено множество систем, от различных производителей. Мы выделяем решение McAfee Enterprise Security Manager. Это решение от лидера в области кибербезопасности в мире. Кроме всех преимуществ, присущих любой SIEM, данное решение без проблем интегрируется с антивирусным ПО компании, обладает отличной масштабируемостью и охватывает полный спектр задач, благодаря возможности подключения различных модулей.

Оценивать преимущества SIEM, можно по таким критериям.

Количество источников событий, которые система способна обработать.


Чем больше источников, система может обработать, тем эффективнее она будет. Но при этом важно, чтобы в каждому источнику был индивидуальный подход. Повышение эффективности системы возможно при разделении событий на категории, и создание для каждой категории отдельных правил. После обновления конфигурации сети, или добавления оборудования, категории можно обновлять независимо друг от друга. Преимуществом в данном случае, будет автоматический режим нахождения изменений в сети, и автоматическое обновление правил, основанное на эвристическом анализе и искусственном интеллекте. Также, в преимущества системы можно выделить многоуровневый анализ и многопоточное сканирование. Это ускоряет работу системы, повышает ее эффективность и упрощает адаптацию к новому программному обеспечению.

Сбор статистики инцидентов


Эффективной, система будет в том случае, если она способна быстро и точно объединять, анализировать и фильтровать возникающие инциденты. Также плюсом системы, будет возможность хранить необработанные события (raw events). При этом, важно учесть, что скорость такой обработки событий, мало влияет на эффективность системы. Кроме этого, мониторинг сетевого трафика, будет не лишим в такой системе. Проверить эффективность, можно только в реальном режиме, и иногда, производители предоставляют пробную версию, для таких целей.

Корреляция событий


Хорошая система, способна анализировать данные в реальном времени, а затем провести поведенческий анализ и сравнить их с зарегистрированными ранее. Хорошая SIEM система, обладает возможностями ручного анализа, а также возможность работы в многопоточном режиме.

Отчетность и визуализация данных


Отчетность в SIEM системах, представляет собой данные, отображаемые в таблицах, графиках и т.д. Обычно, пользователю доступен вывод отчетов в популярные форматы xls, pdf, rft, html, csv. Выгодны отличием среди других систем, в данном кейсе, будет русифицированный интерфейс.

Удобство конфигурации и использования


Также немаловажный критерий, это понятный визуальный интерфейс и облачная панель управления, через которую специалист по информационной безопасности, может в любое время реагировать на возникающие события. Централизованная панель управления, также позволяет удобно менять политики конфиденциальности, шаблоны для отчетов и т.д.

Также важно учитывать, как работает техническая поддержка у производителя выбранной системы. Иногда критически важно получить быструю и профессиональную поддержку.

Можно оценивать SIEM систему по основным доступным характеристикам, после составления списка требуемого функционала, но более глубокое внедрение системы в ИТ-инфраструктуру компании, будет наиболее выгодным решением. Для этого, лучше получить консультацию проверенных и сертифицированных специалистов, которые помогут подобрать нужные модули и развернуть SIEM с учетом всех нюансов, конкретной сети.