altirix-logo

В связи с появлением и активным развитием новых компьютерных технологий ИТ-инфраструктура большинства компаний значительно разрастается и приобретает более сложную архитектуру. В результате современные информационные системы могут состоять из десятков серверов, сотен пользователей, различного программного и аппаратного обеспечения, в том числе и средств защиты информации. В подобных сложных системах происходит столько событий, что анализировать их оперативно невозможно без применения специальных средств. Между тем, именно оперативный анализ происходящих в информационной системе событий является залогом обеспечения не только информационной безопасности, но и эффективного функционирования системы.

Для сбора и анализа событий в информационной системе от различных источников сегодня используются системы мониторинга и управления информационной безопасностью (SIEM-системы – Security Information & Event Management).

Как правило SIEM-система служит для централизации процессов анализа и реагирования на инциденты информационной безопасности, что жизненно необходимо в случаях сложной ИТ-инфраструктуры. Однако возможности SIEM-системы этим не ограничиваются, она позволяет решать множество смежных задач, возникающих перед службами ИТ и ИБ.

Перед тем как приступить к выбору конкретной SIEM-системы, следует определить круг задач, который необходимо решать именно Вам. Примерами таких задач могут быть:

  1. Централизованное и/или долгосрочное хранение журналов событий, происходящих в ИТ-инфраструктуре Компании.
  2. Оперативное (в реальном времени) выявление атак на информационные ресурсы Компании.
  3. Выполнение требований международных и российских стандартов (PCI DSS, ISO 27001).
  4. Мониторинг действий привилегированных пользователей (системных, сетевых администраторов, администраторов СУБД и т.д.).
  5. Контроль использования VPN сотрудниками и контрагентами Компании.
  6. Непрерывный мониторинг состояния сетевого оборудования Компании.

На основании перечня задач, которые необходимо решать, определяется, с какими уже существующими системами Компании необходима интеграция будущей SIEM-системы.

Необходимо также проработать вопрос о генерируемой SIEM-системой информации: это могут быть ежедневные (еженедельные, ежемесячные и т.д.) отчеты, приходящие администраторам на электронную почту или события корреляции, формируемые в реальном времени. Большинство современных SIEM-систем позволяют очень гибко настраивать форматы представляемой пользователям информации, поэтому необходимо выбрать, что необходимо именно Вашей компании для решения стоящих перед ней задач.

После того, как получены ответы на вышеуказанные вопросы, можно переходить к выбору конкретной SIEM-системы.

Компания «Альтирикс системс» поможет подобрать и внедрить решение, которое с максимальной эффективностью и минимальными затратами решит поставленные задачи. «Альтирикс системс» является партнером большинства из крупнейших представителей рынка SIEM-систем – компаний Hewlett-Packard, McAfee и IBM. Решения именно этих компаний (HP ArcSight, McAfee Enterprise Security Manager, IBM QRadar) уже много лет занимают ведущие позиции на SIEM-рынке, значительно опережая конкурентов.

Несмотря на одинаковые решаемые задачи, SIEM-системы значительно различаются между собой с точки зрения технических деталей. Если Вас интересует анализ данных с множества различных информационных систем, в том числе с редких (например, уникально разработанных для Вашей компании), Ваш выбор – ArcSight ESM, который наиболее гибко подстраивается под задачи конкретного клиента, но при этом имеет достаточное количество стандартных средств мониторинга и анализа ресурсов (панели инструментов, отчеты, правила корреляции и т.д.). Если Вашей задачей является тотальный контроль работы разнообразных приложений, то стоит остановиться на решении McAfee ESM + Application Data Monitor. Такая связка позволяет анализировать данные приложений (7 уровень модели OSI). Если же Вы хотите обеспечить наилучший мониторинг своей виртуальной инфраструктуры, то оптимальное решение – IBM Security QRadar SIEM + IBM Security QRadar VFlow Collector.

Перечислим лишь несколько проблем, которые возможно решить с помощью внедрения SIEM-системы:

  • Сложность мониторинга действий привилегированных пользователей и администраторов.
  • Невозможность расследования инцидентов информационной безопасности, произошедших в прошлом, из-за кратковременного хранения журналов событий в информационных системах.
  • Трудоемкость составления отчетов согласно требованиям международных стандартов и рекомендаций.
  • Малая вероятность своевременного выявления инцидентов, связанных с нарушением политик информационной безопасности.
  • Отсутствие возможности проводить целостный контроль соблюдения политик информационной безопасности.
  • Высокая трудоемкость и сложность работ по комплексному анализу событий, произошедших в различных информационных системах. 

Необходимо отметить, что SIEM-системы позволяют лишь автоматизировать процессы управления информационной безопасностью. Для построения действительно эффективной системы управления информационной безопасностью требуется проработать целый ряд организационных аспектов.

Организационное обеспечение информационной безопасности должно представлять собой множество взаимосвязанных задокументированных процессов, направленных на достижение общей цели Компании. ООО «Альтирикс системс» предлагает услуги по построению системы менеджмента информационной безопасности, включая проведение обследование информационных систем Заказчика, выявление информационных активов, оценку рисков для информационных активов, разработку необходимой организационно-распорядительной документации и многое другое.

Если Вы хотите получить более подробную информацию о предлагаемых услугах и решениях, напишите нам письмо на info@altirix.ru, и не позднее чем через 24 часа с Вами обязательно свяжется наш сотрудник.

border

Присоединяйтесь к нам!

Электронная почтаTwitterFacebookRSSSlideShare

Адреса: Санкт-Петербург, 197022, пр. Медиков, д.3 лит. А, оф. 309
Москва: 123001, ул. Спиридоновка, д. 22/2, офис 98

E-mail: info@altirix.ru, телефон: +7(812)716-14-14

© «Альтирикс системс», 2010-2017. Все права защищены.