Мониторинг информационной безопасности (SIEM)

Разнообразная природа бизнес-процессов современных предприятий и необходимость ответа на возникающие вызовы их безопасности требуют организации системы защиты реального времени. Для комплексной защиты от возможных угроз необходимо использовать набор различных средств безопасности, включая: межсетевые экраны, антивирусы, системы защиты от спама, системы обнаружения атак, сканеры безопасности, средства защиты от утечки конфиденциальной информации и др. Однако, вместе с ростом количества средств защиты, существенно увеличивается и объем информации, которую должен обработать администратор. Это, в свою очередь, приводит к увеличению времени, которое должен тратить оператор для анализа всей информации, поступающей от различных средств защиты для принятия адекватных решений по реагированию на выявленные атаки.

Мы предлагаем:

Проектирование и внедрение SIEM-систем. Для повышения эффективности принятия решений по реагированию на события, связанные с нарушением безопасности, рекомендуется использовать специализированные системы мониторинга, которые могут автоматизировать процесс сбора и анализа информации, поступающей от различных средств защиты. В западной терминологии такие системы мониторинга обозначаются аббревиатурой SIEM (Security Information and Event Management).

Технология функционирования SIEM-систем предусматривает разделение процесса обработки событий безопасности на шесть основных этапов: фильтрация, агрегация, нормализация, сбор, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к обеспечению информационной безопасности. Агрегация позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Фильтрация и агрегация позволяют значительно сократить объем информации, который обрабатывается системой мониторинга (при правильном планировании объем информации сокращается в 5-10 раз). На этапе нормализации события приводятся к единому формату сообщений. Далее нормализованные события разных систем и разных агентов передаются в единую централизованную систему хранения событий. Собранные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах построения экспертной системы. И, наконец, SIEM-система выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

SIEM позволяет администраторам безопасности сфокусироваться на реальных угрозах, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Наши проекты:

Компания «ЭС ЭНД ТИ УКРАИНА» успешно реализовала ряд проектов в этой области, в том числе, для «Райффайзен Банк Аваль», «ПРАВЭКС-БАНК».

Наши партнёры:

Решения от «ЭС ЭНД ТИ УКРАИНА» основаны на продуктах таких производителей как ArcSight (HP), Symantec, IBM.