Технология SIEM (Security Information and Event Management) в режиме реального времени обеспечивает анализ событий безопасности, исходящих от различных устройств и приложений.

В условиях все большего количества целенаправленных кибератак особенную важность приобретает скорость выявления угрозы и реакции на возможный инцидент со стороны службы информационной безопасности. По статистике, без использования SIEM, среднее время обнаружения вторжения составляет десятки, а в некоторых случаях и сотни дней, при том что время, требуемое на компрометацию инфраструктуры, стремительно сокращается до часов и даже минут. SIEM обеспечивает сбор событий безопасности, их агрегацию и фильтрацию, анализ на основании правил (корреляцию), мониторинг, расследование и вывод результатов (отчетов) в требуемом формате.

При реализации сценария атаки нарушитель ИБ выполняет последовательность определенных шагов. Сведения о каждом конкретном шаге атаки могут быть зафиксированы в журналах аудита систем, на которых был выполнен соответствующий шаг атаки. Мониторинг данных журналов должен осуществляться непрерывно. Поэтому современные организации, ключевые процессы которых напрямую взаимосвязаны с состоянием ИТ-инфраструктуры, должны обеспечивать своевременное выявление и реагирование на инциденты информационной безопасности.

Внедрение системы управления событиями информационной безопасности позволит: 

  • уменьшить риски информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности;
  • ускорить расследование инцидентов информационной безопасности;
  • автоматизировать контроль соответствия выполнения требований законодательства, отраслевых нормативных документов и международных стандартов.

Тем не менее при использовании SIEM-систем организации сталкиваются с проблемами большого количества ложных срабатываний правил регистрации инцидентов ИБ, с отсутствием их классификации и проблемами приоритизации. Система регистрирует инциденты ИБ, но не выявляет, не коррелирует инциденты ИБ между собой, не отслеживает взаимосвязь между зарегистрированными инцидентами и не позволяет раскрыть заранее спланированные сценарии кибератаки.

Эксперты «Информзащиты» помогут осуществить внедрение процессов комплексного выявления атак, которое позволит обеспечить: 

  • расширение контекста анализируемой информации. Это в свою очередь поможет получить дополнительную детализированную справочную информацию о пользователях, активах, их принадлежности к автоматизированной системе. Последнее обеспечивается с помощью подключения к Системе справочных источников данных;
  • внедрение методов классификации и приоритизации инцидентов ИБ, что позволяет дополнить каждый зарегистрированный инцидент ИБ атрибутами и справочной информацией в соответствии с моделью классификации инцидентов ИБ. Использование модели приоритизации инцидентов ИБ обеспечит вычисление уровня критичность и важности инцидента ИБ в зависимости от ряда параметров, вычисляемых в зависимости от значений полей исходных событий безопасности, при обнаружении которых был зарегистрирован инцидент ИБ;
  • автоматическое выявление взаимосвязи между уже зарегистрированными инцидентами ИБ с использованием различных методов группировки, анализа архива событий и возникновения нетиповой активности. Внедрение процесса выявления атак также позволит выявлять сценарии атаки – цепочки специфичных инцидентов ИБ (зарегистрированных в определенной последовательности, с проверкой взаимосвязи по дополнительным критериям) относительно одного или нескольких объектов инфраструктуры или процесса организации.

По завершении проекта эксперты «Информзащиты» подготовят SIEM-систему, готовую к эффективному выявлению как известных, так и специфичных для вашей компании кибератак. По завершении такого проекта будут: 

  • созданы механизмы выявления атак на ИТ-инфраструктуру компании;
  • снижены трудозатраты на мониторинг событий ИБ;
  • оптимизированы ресурсы персонала на выявление угроз ИБ;
  • осуществлен переход на более качественный уровень управления ИБ;
  • усилено развитие уровня зрелости центра управления ИБ.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!