SIEM-систем в обеспечении безопасности: быть или быть в 2020 году? - Anti-Malware.ru

SIEM-систем в обеспечении безопасности: быть или быть в 2020 году?

...

Далеко не все предприятия понимают, насколько важно внедрение SIEM-систем и почему сегодня их использование остается по-прежнему актуальным. Но какие функции скрываются за данной аббревиатурой? Если говорить в общих чертах, SIEM отслеживает все сетевые данные и представляет их в виде, наиболее удобном для восприятия пользователя. Разумеется, в любом отдельном случае и в зависимости от преследуемых целей используемая система формируется различными способами.

SIEM (Security Information and Event Management) - это возможность получения данных о безопасности используемого устройства и управления событиями. Рассуждая в общих чертах, можно посчитать SIEM возможностью представления сетевой активности в качестве вполне очевидного подбора данных. Термин придумали еще в «далеком» по меркам нашего «сверхскоростного» века 2005 г. в компании Garther. Но прошло несколько лет, и само понятие, как и задачи SIEM претерпели значительные изменения.

Согласно мнению разработчиков система обязана поддерживать некий функционал, то есть исследование и представление данных о процессах и устройствах в сети. Помимо этого, в составе - инструменты контроля баз данных и уязвимостей, решения, разграничивающие доступ и разрешающие управлять идентификацией.

Характерные функции SIEM

  • возможность своевременно отреагировать на наиболее значимые события;
  • фиксация логов и формирование отчетов, упрощающих проверки;
  • возможность просмотра и анализа данных.

То есть SIEM способен собрать все создаваемые логи, а также статистику, сохраняя все в общем хранилище. Его размер будет напрямую зависеть от запросов системы. Сегодня среди SIEM-систем выделяется несколько очевидных лидеров, среди которых IBM QRadar SIEM, McAfee Enterprise Security Manager и пр.

В качестве источников данных выделяются следующие:

  • журналы событий с контролем прав доступа;
  • антивирусные программы. Данный вариант решений способен уведомить о наличии опасного ПО;
  • DLP. Такие системы способны обнаружить несанкционированное перемещение данных за пределы сети;
  • контроль доступа. Необходим для оформления доступа к потоку информации;
  • IDS/IPS. Такие системы способны передать данные о сетевых атаках и изменении прав доступа;
  • межсетевой экран. Решение транслирует информацию о присутствующем вредоносном ПО и проблемах с безопасностью;
  • сетевое оборудование. Организация контроля доступа к информации, считывание трафика;
  • веб-фильтр. Контроль доступа к потенциально опасным сайтам.

SIEM требуется, чтобы увеличить шансы обнаружения атак

Эксперты утверждают: данные варианты могут использоваться для нахождения аномалий в системе и помощи в обнаружении вредоносного ПО. Используя SIEM можно составить куда более четкую картину всего того, что происходит в сети. Данное решение требуется, когда куда более привычные средства уже очевидно не справляются с возлагаемой на них задачей. SIEM успешно сравнивает получаемые данные с эталоном и находит определенные несоответствия. Поэтому различные организации могут рассматривать SIEM как немаловажный барьер, выставляемый на пути вредоносных атак различного типа.

Обычный сценарий

  • отслеживание скомпроментированных аккаунтов;
  • отслеживаний угроз и вредоносного ПО с использованием возможностей брандмауэра, журналов антивирусов;
  • проверка трафика, вызывающего подозрения. Обнаружение рождающих подозрения внешних соединений;
  • изменение реестра, а также системных файлов, перехват ряда важных процессов. Проверка соответствия совершаемых действий разрешенным политикам;
  • отслеживание атак на веб-приложения. Анализ веб-сервера и отчетов.

Нужна ли вообще SIEM?

Перед администрацией многих компаний встает вопрос: действительно ли требуется такая система или данный подход уже давно устарел и о нем можно благополучно забыть? Конечно, SIEM не сможет дать отпор хакерам – она лишь способна анализировать достаточное количество поступающей информации с предоставлением пользователю соответствующих отчетов. То есть SIEM все-таки следует сделать частью комплекса, необходимого для обеспечения безопасности сети. При этом в организации в обязательном порядке должен присутствовать специалист, который способен отреагировать на все сообщения системы.

Помимо всего прочего, при внедрении SIEM-системы нужно детально ознакомиться с инфраструктурой предприятия, учитывая присутствующую систему безопасности и особенности сети. Безошибочно выстроенная система с верными настройками даст возможность администратору реагировать лишь на значимые события. Главной идеей SIEM-системы становится возможность принять решение, соответствующее уровню возможной угрозы, «не размениваясь» на мелочи. За покупкой и внедрением такой системы всегда нужно обращяться к сертефисированным професионалам, а специально да читателей anti-malware.ru есть дополнительная скидка на софт и внедрение по промокоду "malware"