SIEM – это современная технология отслеживания событий безопасности при использовании приложений и различных устройств. SIEM работает в режиме реального времени, поэтому позволяет максимально быстро выявить кибератаку и вовремя среагировать на нее.
Без использования технологии SIEM время обнаружения вторжения в информационное пространство организации занимает от нескольких недель до нескольких месяцев. В тоже время, компрометация инфраструктуры происходит уже спустя пару часов, а иногда даже минут. При работе SIEM происходит непрерывный сбор событий безопасности, их анализ, фильтрация, расследование и формирование отчетов.
Любая атака информационных систем включает ряд последовательных действий. Каждое действие фиксируется в журналах аудита. Непрерывный мониторинг таких журналов позволяет заметить атаку сразу после ее совершения. Для каждой компании с IT-инфраструктурой важно вовремя выявлять инциденты информационной безопасности и реагировать на них.
Задачи, которые решит внедрение технологии SIEM:
-
Сократит сроки расследования кибератак;
-
Снизит риски потери информации или других последствий взлома информационных систем компании;
-
Автоматизация процессов контроля соответствия требований законодательства РФ, международных стандартов, отраслевых нормативных документов.
Главная проблема при применении SIEM – большое число ложных срабатываний правил регистрации инцидентов информационной безопасности. При этом не происходит их приоритизация и классификация. То есть, система фиксирует инциденты, но не может определить, как они взаимосвязаны. Поэтому возникают сложности с определением ьех кибератак, которые были заранее спланированы.
Специалисты нашей компании разработают и внедрят комплекс процессов определения атак, что позволит решить следующие задачи:
1. Увеличение объема данных для анализа. Это поспособствует сбору справочной информации об активах компании, пользователях, их принадлежности к автоматизированной системе (при условии подключения к Системе справочных источников данных).
2. Внедрение эффективных методов приоритизации и классификации инцидентов информационной безопасности. С помощью специальных инструментов система сможет не только своевременно выявить инцидент, но и присвоить ему определенные атрибуты, в соответствии с моделью классификации. Приоритизация позволит разделить угрозы по степени важности, основываясь на значении полей исходных событий, при которых впервые обнаружен инцидент.
3. Определение взаимосвязи между уже обнаруженными инцидентами с возникающей нетиповой активностью. Осуществляется в автоматическом режиме. Помимо сценариев отдельных атак, фиксируются и цепочки событий. Со сбором базы вариантов в будущем максимально снижается вероятность осуществления уникальной атаки, которую система будет не способна обнаружить.
Результатом работы наших специалистов станет создание SIEM-системы, которая будет готова предотвращать как классические, известные атаки, так и новые, либо специфические, характерные для определенной сферы деятельности организации. Итоговый проект позволит:
-
Снизить затраты труда на постоянный мониторинг информационной безопасности;
-
Создать эффективные механизмы выявления атак на IT-инфраструктуру предприятия;
-
Качественно улучшить систему управления ИБ;
-
Ускорить развитие уровня зрелости центра управления информационной безопасности.
