Почему современному бизнесу необходимо внедрить систему SIEM?

Одно из условий успешного бизнеса – это надёжная защита информации. Современные компании имеют в своем распоряжении целый комплекс решений по информационной безопасности. К таким решениям можно отнести: защита почты и веб-трафика, межсетевой экран (Firewall), антивирусы, песочница и т.д.

 

Каждая из этих систем защиты генерирует информацию о событиях. Но, к сожалению, очень часто нет возможности собрать всю эту информацию в единую комплексную картину.

 

Это просто необходимость! Потому что без комплексной картины невозможно понять, что происходит в ИТ-инфраструктуре организации. А, если невозможно понять, что происходит, соответственно, не может быть выстроена эффективная киберзащита, потому что не определены причинно-следственные связи происшествий и источники атак.

Мы используем словосочетание «комплексная картина» только для демонстрации того, что происходит внутри инфраструктуры. Стоит отдельно отметить, что эта картина не статична, а динамична, так как идёт непрерывная обработка поступающих данных. Комплексная картина – это, по своей сути, возможность охватить взглядом всю ИТ-инфраструктуру бизнеса и увидеть все проблемные точки.

 

Для получения такой комплексной картины были разработаны так называемые SIEM системы.

 

SIEM технология очень похожа на охранную систему видеонаблюдения. Представьте себе комнату, где находятся мониторы, на которые поступают данные с видеокамер. Пульт с лампочками, сигнализирующими об открытии дверей или окон. К тому же, происходит постоянная идентификация того, кто именно проходил в двери.

 

При такой системе видеонаблюдения злоумышленнику очень сложно остаться незамеченным. Точно так же, при правильно функционирующей SIEM системе, киберпреступнику будет крайне сложно проникнуть в инфраструктуру компании и остаться незамеченным.

 

Без SIEM системы кибербезопасность мало эффективна. Это очень важно понимать именно тем компаниям, которые стремятся создать действительно надёжную защиту своей информации и бизнеса в целом.

 

SIEM - это система, собирающая и консолидирующая данные о происходящих событиях в разрозненных ИТ-системах. В непрерывном потоке этих разрозненных данных SIEM система выявляет отдельные происшествия и инциденты.

 

SIEM - это комплекс программ, составляющий единую систему, которая собирает всевозможную информацию, затем обрабатывает и в итоге выдаёт обобщённые данные о происходящем специалисту по информационной безопасности.

 

Естественно, возникает вопрос, из каких источников осуществляется сбор информации?

 

SIEM система сбор информации осуществляет из следующих источников:

 

  • сетевых устройств;
  • серверов;
  • информаций о пользователях;
  • сетевых экранов;
  • баз данных;
  • приложений;
  • информаций об уязвимостях.

 

SIEM обрабатывает полученную информацию согласно набору встроенных правил, а также тех правил, которые администратор может создать самостоятельно. Это прямо говорит о том, что SIEM система внедряется и настраивается под запросы и цели компании.

 

 

Что происходит дальше, после того, как была собрана и обработана информация?

 

 

На выходе SIEM формирует информационную панель - Dashboard, а также отчёты и уведомления о происходящих событиях в ИТ-инфраструктуре.

 

Возникли вопросы?

 

Свяжитесь с нами для консультации

Почему важно получить информацию именно из системы SIEM?

 

 

SIEM система заранее начинает предупреждать о начинающихся проблемах или атаках хакеров. Она обнаруживает, оперативно реагирует и предупреждает. Это позволяет существенно снизить ущерб от атак хакеров, распространения вирусов и поломок оборудования. Такие простые и важные выгоды предоставляет эта система, неправда ли?

 

Кроме того, SIEM выявляет аномалии в сети, в серверах и в поведении пользователей. SIEM позволяет выявить скрытую вредоносную активность в инфраструктуре. К примеру, кто-то из сотрудников получает внутреннею информацию компании для своих корыстных целей. Такое явление довольно часто встречается в современном бизнесе. Но, это не проблема, если в ИТ-инфраструктуру внедрена SIEM система, она очень быстро поможет избавиться от подобных неприятностей.

 

С помощью данных, содержащихся в отчётах SIEM, можно проводить расследования произошедших инцидентов, связанных с информационной безопасностью компании.

 

Ещё один очень важный момент, на который стоит обратить внимание – SIEM позволяет выстроить процесс устранения найденных уязвимостей. Внутри SIEM находится компонент - Vulnerability manager. Этот компонент покажет, что уже устранено, что необходимо устранить, и позволит выстроить приоритетность действий. Благодаря действию этого компонента, появляется возможность эффективно управлять процессом информационной безопасности, что очень важно в реалиях современного бизнеса.

 

Ещё один з важных компонентов SIEM – это Risk Мanager. Он проводит анализ конфигураций сетевых устройств, выявляя в них:

 

  • Ошибки конфигурирования;
  • Отклонения от несоответствия лучшим практикам;
  • Несоответствия регуляторным требованиям, таким как PCI DSS и ISO 27001.

 

Для более наглядного примера работы SIEM системы поделимся примерами из нашей практики.

 

К ведущим специалистам нашей компании обратились представители крупного банка. Они столкнулись со следующей проблемой: правление банка заподозрило, что кто-то из сотрудников, либо хакер извне с помощью вредоносного программного обеспечения получает доступ к корпоративной информации. Этот инцидент - обычное воровство конфиденциальной и важной информации.

 

Представьте себе, что это могло бы произойти в вашей компании и с вашими данными. Какие могут быть убытки и последствия такого инцидента именно для вашего бизнеса?

 

В самые сжатые сроки наши специалисты развернули систему SIEM в ИТ-инфраструктуре банка.

 

SIEM начала собирать и обрабатывать необходимые данные из множества разрозненных источников, сводя всё это в единую комплексную картину. После сбора и обработки этих данных было выявлено аномальное поведение пользователей. При более детальном анализе событий было установлено, что учётные данные пользователей использовались вредоносным программами. Этими программами удалённо управляли злоумышленники. Именно таким образом происходило воровство корпоративной информации.

 

Специалисты банка начали осуществлять комплекс мер по устранению и предотвращению этого инцидента. Это было возможно осуществить благодаря тому, что в инфраструктуру банка была внедрена SIEM система.

 

На этом примере мы ещё раз наглядно продемонстрировали схожесть SIEM системы с видеонаблюдением, о котором мы говорили выше. Стоило внедрить эту систему, и очень быстро была установлена причина инцидента и предприняты меры по безопасности.

 

SIEM систему просто необходимо внедрить каждому банку. Напомним, постановление НБУ №95 содержит требование, согласно которому, в ИТ-инфраструктуре банка должна быть установлена SIEM система.

 

SIEM система просто необходима финансовым организациям, предприятиям с крупными ИТ-инфраструктурами и организациям с высокими требованиями к информационной безопасности.

 

Компания «ИТ Специалист» реализует системы SIEM от следующих производителей:

 

  • IBM Security QRadar SIEM
  • McAfee SIEM
  • ArcSight

 

Компания «ИТ Специалист» проведёт проектирование и разработает решения для вашего бизнеса по внедрению системы SIEM, а также обеспечит дальнейшее сопровождение и обслуживание.

 

Ещё раз напомним самое важное!

 

Надёжная защита информации – это одно из условий успешного бизнеса. Об этом мы говорили в самом начале статьи. Следовательно, чем быстрее будет внедрена SIEM система в инфраструктуру компании, тем быстрее поднимется уровень эффективности защиты информации.

Почему современному бизнесу необходимо внедрить систему SIEM? обновлено: Май 2, 2018 автором: Oleksandr Kubersky