Мониторинг событий и управление инцидентами (SIEM)

SIEM – это современная технология отслеживания событий безопасности при использовании приложений и различных устройств. SIEM работает в режиме реального времени, поэтому позволяет максимально быстро выявить кибератаку и вовремя среагировать на нее.

Без использования технологии SIEM время обнаружения вторжения в информационное пространство организации занимает от нескольких недель до нескольких месяцев. В тоже время, компрометация инфраструктуры происходит уже спустя пару часов, а иногда даже минут. При работе SIEM происходит непрерывный сбор событий безопасности, их анализ, фильтрация, расследование и формирование отчетов.

Любая атака информационных систем включает ряд последовательных действий. Каждое действие фиксируется в журналах аудита. Непрерывный мониторинг таких журналов позволяет заметить атаку сразу после ее совершения. Для каждой компании с IT-инфраструктурой важно вовремя выявлять инциденты информационной безопасности и реагировать на них.

Задачи, которые решит внедрение технологии SIEM:

• Сократит сроки расследования кибератак;

• Снизит риски потери информации или других последствий взлома информационных систем компании;

• Автоматизация процессов контроля соответствия требований законодательства РФ, международных стандартов, отраслевых нормативных документов.

Главная проблема при применении SIEM – большое число ложных срабатываний правил регистрации инцидентов информационной безопасности. При этом не происходит их приоритизация и классификация. То есть, система фиксирует инциденты, но не может определить, как они взаимосвязаны. Поэтому возникают сложности с определением ьех кибератак, которые были заранее спланированы.

Специалисты нашей компании разработают и внедрят комплекс процессов определения атак, что позволит решить следующие задачи:

1. Увеличение объема данных для анализа. Это поспособствует сбору справочной информации об активах компании, пользователях, их принадлежности к автоматизированной системе (при условии подключения к Системе справочных источников данных).

2. Внедрение эффективных методов приоритизации и классификации инцидентов информационной безопасности. С помощью специальных инструментов система сможет не только своевременно выявить инцидент, но и присвоить ему определенные атрибуты, в соответствии с моделью классификации. Приоритизация позволит разделить угрозы по степени важности, основываясь на значении полей исходных событий, при которых впервые обнаружен инцидент.

3. Определение взаимосвязи между уже обнаруженными инцидентами с возникающей нетиповой активностью. Осуществляется в автоматическом режиме. Помимо сценариев отдельных атак, фиксируются и цепочки событий. Со сбором базы вариантов в будущем максимально снижается вероятность осуществления уникальной атаки, которую система будет не способна обнаружить.

Результатом работы наших специалистов станет создание SIEM-системы, которая будет готова предотвращать как классические, известные атаки, так и новые, либо специфические, характерные для определенной сферы деятельности организации. Итоговый проект позволит:

• Снизить затраты труда на постоянный мониторинг информационной безопасности;

• Создать эффективные механизмы выявления атак на IT-инфраструктуру предприятия;

• Качественно улучшить систему управления ИБ;

• Ускорить развитие уровня зрелости центра управления информационной безопасности.