Построение систем управления событиями ИБ

Почему это актуально?

Для эффективного использования уже существующих средств защиты необходима работа администратора безопасности (просмотр логов, выявление нарушений и т. д.) 

• Просмотр и анализ событий ИБ даже с нескольких устройств безопасности достаточно трудоемок. В журнале межсетевого экрана за сутки накапливается более 1 млн записей, а система обнаружения вторжений генерирует порядка 500 тыс. сообщений.

Развитие ИТ-инфраструктуры ведет к увеличению количества устройств и генерируемых ими событий и, как следствие, отсутствию прозрачности в работе сети 

• В случае сложной ИТ инфраструктуры инциденты ИБ становятся фактически не отслеживаемыми. Согласно исследованиям аналитических агентств, в крупных компаниях фиксируется менее 20% из происходящих нарушений в области ИБ.
• Сложность ИТ-инфраструктуры организации затрудняет получение четких и ясных данных об возможных уязвимостях, угрозах, несоответствиях применимым требованиям, что может повлечь недоступность сетевых сервисов, утечку информации и потери от несоответствия установленным требованиям.

Технологии

Построение Центра оперативного управления ИБ влечет за собой внедрение ряда связанных процессов управления ИБ (мониторинг событий безопасности, происходящих в корпоративной сети, управление уязвимостями и инцидентами, управление конфигурациями).

Основным техническим компонентом Центра управления сетевой безопасностью является система мониторинга событий ИБ.

Системы мониторинга событий ИБ (Security Information Management, SIM) класс продуктов, реализующих комплексный подход к решению задач сбора, анализа (корреляции) и контроля событий безопасности от различных источников событий, что позволяет в режиме реального времени эффективно идентифицировать и реагировать на сетевые атаки, а также подготавливать значимые отчеты для оценки риска и принятия обоснованных решений по выбору средств защиты.

Корреляция событий безопасности от различных средств защиты позволяет выявлять наличие комплексных атак, т.е. атак, которые не могут быть обнаружены с использованием известных сигнатур, так как фактически состоят из комплекса сигнатур, которые по отдельности не говорят о реальной атаке.

Интеграция систем управления событий ИБ с дополнительными компонентами (сканерами уязвимостей, решениями в области управления рисками информационной безопасности) позволяет:  

• Приоритезировать работы по исправлению уязвимостей ИБ.
• Отслеживать степень выполнения требований законодательства, нормативных актов и корпоративных политик.
• Формализовать процесс реагирования на инциденты.

Выгоды внедрения

• Снижение затрат, требуемых при ручной обработке событий безопасности, и снижение операционных расходов за счет уменьшения нагрузки на администраторов ИБ.
• Возможность увеличения количества контролируемых устройств и событий безопасности без увеличения существующего штата сотрудников.
• Снижение ущерба, наносимого сетевыми атаками, за счет снижения времени реагирования на них и своевременного разрешения инцидентов ИБ.

Решения

ArcSight Enterprise Security Solution

Комплексное решение для мониторинга ИБ, реализующее сбор, обработку и хранение событий безопасности, поступающих от различных источников. Имеет штатные коннекторы практически для всех известных источников событий: средства защиты информации, операционные системы, телекоммуникационное оборудование, аппаратное обеспечение, прикладные системы, а также уникальные возможности по интеграции со специфичными бизнес-приложениями и другими источниками событий, имеющимися у заказчика. 

SkyBox

Скачать подробное описание

Решение позволяет администраторам и специалистам по информационной безопасности быстро и эффективноприоретизировать работы по исправлению уязвимостей ИБ,  оценить соответствие применяемых устройств безопасности (межсетевых экранов) установленным требованиям, обеспечивая существенную экономию трудозатрат. Автоматизирует ряд шагов процесса установления соответствия, предсказывает результаты планируемых изменений в сетевой инфраструктуре и помогает избежать ошибок в конфигурировании.