Мониторинг и анализ событий ИБ (SIEM)

Технология SIEM (Security Information and Event Management) в режиме реального времени обеспечивает анализ событий безопасности, исходящих от различных устройств и приложений. 

В условиях растущего числа целенаправленных кибератак особую важность приобретает скорость выявления угрозы и реакции на возможный инцидент безопасности. По статистике, без использования SIEM, среднее время обнаружения вторжения составляет десятки, а в некоторых случаях и сотни дней, при том что время, требуемое на компрометацию инфраструктуры, стремительно сокращается до часов и даже минут. SIEM обеспечивает сбор событий безопасности, их агрегацию и фильтрацию, анализ на основании правил (корреляцию), мониторинг, расследование и вывод результатов (отчетов) в требуемом формате. 

При реализации сценария атаки нарушитель ИБ выполняет последовательность определенных шагов. Сведения о каждом конкретном шаге атаки могут быть зафиксированы в журналах аудита систем, на которых был выполнен соответствующий шаг атаки. Мониторинг данных журналов должен осуществляться непрерывно. Поэтому современные организации, ключевые процессы которых напрямую взаимосвязаны с состоянием ИТ-инфраструктуры, должны обеспечивать своевременное выявление и реагирование на инциденты информационной безопасности. 

Тем не менее при использовании SIEM-систем организации сталкиваются с проблемами большого количества ложных срабатываний правил регистрации инцидентов ИБ, с отсутствием их классификации и проблемами приоритизации. SIEM регистрирует инциденты ИБ, но не выявляет, не коррелирует инциденты ИБ между собой, не отслеживает взаимосвязь между зарегистрированными инцидентами и не позволяет раскрыть заранее спланированные сценарии кибератаки. 

Эксперты «Информзащиты» помогут осуществить внедрение процессов комплексного выявления атак, которое позволит обеспечить: 

• расширение контекста анализируемой информации. Это в свою очередь поможет получить дополнительную детализированную справочную информацию о пользователях, активах, их принадлежности к автоматизированной системе, путем подключения к SIEM справочных источников данных;
• внедрение методов классификации и приоритизации инцидентов ИБ, что позволяет дополнить каждый зарегистрированный инцидент ИБ атрибутами и справочной информацией в соответствии с моделью классификации инцидентов ИБ. Использование модели приоритизации инцидентов ИБ обеспечивает вычисление уровня критичности инцидента ИБ, который зависит от значений полей исходных событий безопасности, при обнаружении которых был зарегистрирован инцидент ИБ;
• автоматическое выявление взаимосвязи между уже зарегистрированными инцидентами ИБ с использованием различных методов группировки, анализа архива событий и возникновения нетиповой активности. Внедрение процесса выявления атак также позволит выявлять сценарии атаки – цепочки специфичных инцидентов ИБ

По завершении внедрения SIEM будут: 

• созданы механизмы выявления атак на ИТ-инфраструктуру компании;
• снижены трудозатраты на мониторинг событий ИБ;
• осуществлен переход на более качественный уровень управления ИБ;
• усилено развитие уровня зрелости центра управления ИБ.