Разнообразная природа бизнес-процессов современных предприятий и необходимость ответа на возникающие вызовы их безопасности требуют организации системы защиты реального времени. Для комплексной защиты от возможных угроз необходимо использовать набор различных средств безопасности, включая: межсетевые экраны, антивирусы, системы защиты от спама, системы обнаружения атак, сканеры безопасности, средства защиты от утечки конфиденциальной информации и др. Однако, вместе с ростом количества средств защиты, существенно увеличивается и объем информации, которую должен обработать ИТ-специалист для принятия решения. Это, в свою очередь, приводит к увеличению времени, которое уходит на анализ всей информации, поступающей из различных источников в том числе и из различных средств защиты для принятия адекватных решений по реагированию на выявленные атаки.  Это, в свою очередь, приводит к увеличению времени, которое должен тратить оператор для анализа всей информации, поступающей от различных средств защиты для принятия адекватных решений по реагированию на выявленные атаки.

Мы предлагаем:

Проектирование и внедрение SIEM-систем. Для повышения эффективности принятия решений по реагированию на события, связанные с нарушением безопасности, рекомендуется использовать специализированные системы мониторинга, которые могут автоматизировать процесс сбора и анализа информации, поступающей от различных средств защиты. В западной терминологии такие системы мониторинга обозначаются аббревиатурой SIEM (Security Information and Event Management).

Технология функционирования современной SIEM-систем предусматривает разделение процесса обработки событий безопасности на шесть основных этапов: фильтрация, агрегация, нормализация, сбор, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к обеспечению информационной безопасности.

Агрегация позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Фильтрация и агрегация позволяют значительно сократить объем информации, который обрабатывается системой мониторинга (при правильном планировании объем информации сокращается в 5-10 раз).

На этапе нормализации события приводятся к единому формату сообщений. Далее нормализованные события разных систем и разных агентов передаются в единую централизованную систему хранения событий. Собранные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах построения экспертной системы. И, наконец, SIEM-система выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

SIEM позволяет администраторам безопасности сфокусироваться на реальных угрозах, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Кроме работы с отчётной информацией современные SIEM-системы позволяют проводить инвентаризацию сетевых активов, определять уязвимости сетевых активов и управлять процессом устранения найденных уязвимостей, определять уровень угрозы и возможные риски. Эти возможности превращают SIEM-системы в единую консоль контроля кибербезопасности которая позволяет не только фиксировать различные киберинциденты но и определять причины возникновения, возможные решения и кто будет устранять угрозы.  


Наши проекты:

Компания «ЭС ЭНД ТИ УКРАИНА» успешно реализовала ряд проектов в этой области, в том числе, для «Райффайзен Банк Аваль», «ПРАВЭКС-БАНК».

Наши партнёры:

Решения от «ЭС ЭНД ТИ УКРАИНА» основаны на продуктах таких производителей как ArcSight (HP), Symantec, IBM, Alien Vault, GFI.