Средства управления событиями информационной безопасности
Средства управления событиями информационной безопасности
Средства управления событиями информационной безопасности как программное обеспечение
Средства управления событиями информационной безопасности относят к разделу «средства обеспечения информационной безопасности» в Классификаторе программ для электронных вычислительных машин и баз данных. Официальное определение Минкомсвязи – «Программы, которые должны обеспечивать выявление и предотвращение кибератак за счет анализа в режиме реального времени событий (данных) с целью определения потенциальных угроз безопасности».
Security Information and Event Management (SIEM) – это набор инструментов и сервисов, предлагающих целостное представление об информационной безопасности организации.
SIEM работает путем объединения двух технологий: а) управление информацией о безопасности (SIM), которое собирает данные из файлов журналов для анализа и составления отчетов об угрозах и событиях, и б) управление событиями (SEM), которое осуществляет мониторинг системы, уведомляет сетевых администраторов о важных проблемах и устанавливает корреляции между событиями безопасности.
Процесс работы ПО можно разбить следующим образом:
- Сбор данных. Все источники информации о сетевой безопасности, например серверы, операционные системы, брандмауэры, антивирусное программное обеспечение настроены на передачу данных о событиях в инструмент SIEM. Большинство современных инструментов SIEM используют агенты для сбора журналов событий из корпоративных систем, которые затем обрабатываются, фильтруются и исследуются в SIEM. Некоторые SIEM проводят безагентный сбор данных.
- Политики – администратор SIEM создает профиль, который определяет поведение корпоративных систем, как в нормальных условиях, так и во время заранее определенных инцидентов безопасности. SIEM предоставляют настраиваемые правила и отчеты.
- Консолидация и корреляция данных – решения SIEM консолидируют и анализируют файлы журналов для обнаружения значимых проблем.
- Уведомления. Если событие или набор событий запускает правило SIEM, система уведомляет сотрудников.
Преимущества использования средств управления событиями информационной безопасности
Преимущества программного решения:
- Инструменты SIEM обладают расширенными аналитическими возможностями для более точного обнаружения подозрительной активности.
- Автоматическая реакция для борьбы с вредоносной активностью при обнаружении.
- Подходит для обнаружения угроз нулевого дня, которые могут попасть в систему через спам, антивирусное программное обеспечение или брандмауэры.
Тенденции использования средств управления событиями информационной безопасности
Системы постоянно совершенствуются. Современные SIEM используют передовые технологии, такие как поведенческий анализ пользовательских событий (UEBA) и оркестрация и автоматизация безопасности (SOAR).
Ниже приведены преимущества SIEM следующего поколения.
- Комплексная идентификация угроз. Современные SIEM оснащены автоматическим поведенческим профилированием, которое может обнаруживать сложные атаки, такие как внутренние угрозы, целевые угрозы и мошенничество. Благодаря UEBA SIEM могут добиться этого, используя искусственный интеллект и методы глубокого обучения для отслеживания моделей поведения человека.
- Анализ поведения. Способность обнаруживать модели поведения распространяется на критически важные активы внутри организации. SIEM могут изучать уникальные шаблоны сетевых устройств и обнаруживать любые необычные действия, которые могут указывать на угрозу.
- Способность работать с большими данными. Больше данных дает аналитикам больше информации о действиях. Следовательно, ИТ-персонал более эффективно реагирует на угрозы.
- Повышенная гибкость и масштабируемость. SIEM обладают улучшенными возможностями роста по мере изменения бизнеса с течением времени. Их можно развернуть локально или в облаке с возможностью гибридного варианта.
- Благодаря внедрению компонентов машинного обучения и искусственного интеллекта некоторые SIEM позволяют сократить время внедрения и снизить требования к ресурсам обслуживания.
Новые платформы SIEM используют машинное обучение для обнаружения инцидентов без предварительно определенных сигнатур атак.
ТОП – 5 ПО «Средства управления событиями информационной безопасности»
Основные решения представлены в таблице.
ТОП – 5 ПО «Средства управления событиями информационной безопасности»
| № п/п | Наименование | Функционал |
| 1 | Kaspersky Unified Monitoring and Analysis Platform (KUMA) | Средство сбора, анализа и влияния на события информационной безопасности |
| 2 | MaxPatrol SIEM | Мониторинг системы и отдельных составляющих. Проактивная защита ресурсов, отслеживание изменений, инвентаризация, выявление инцидентов. |
| 3 | InfoWatch Data Access Tracker | Аудит учетных записей, управление записями и событиями, рекомендации по реакции на события, защита от рисков. |
| 4 | R‑Vision SENSE | Выявление нарушений и подозрительной активности, аналитика угроз и аномалий, приоритизация критических событий. |
| 5 | Линза СЦ | Сбор и анализ информации, поступающей из сети. Выявление источников. Оценка и управление рисками. |
С основным ПО данной категории можно ознакомиться в нашем каталоге.