Green-sell.info

Новые технологии
7 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Событие безопасности это

Инцидент информационной безопасности

Практически любая компания хоть раз сталкивалась с инцидентами в сфере информационной безопасности – это одно или несколько нежелательных или неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и создания серьезной угрозы ИБ. Классическими примерами считаются инциденты безопасности данных, кражи персональных данных пользователей, искажение инфоактивов и различные нарушения требований законодательства.

Классификация

Инциденты информационной безопасности (ИБ) представлены десятками событий, объединенных в классификацию и делящихся по нескольким признакам:

  • По уровню тяжести для профессиональной деятельности компании.
  • По вероятному возникновению рецидива – повторное «заражение».
  • По типам угроз.
  • По нарушенным свойствам ИБ.
  • По преднамеренности возникновения.
  • По уровню информационной инфраструктуры.
  • По сложности выявления.
  • По сложности устранения и т.д.

Примеры

Инциденты могут быть случайными или умышленными, вызванными в области информационной безопасности техническими или иными средствами. Предугадать последствия влияния на всю систему сложно. Это может быть: раскрытие или изменение украденной информации, нанесение ущерба активам компании или их полное хищение и т.д.

  • Отказ в обслуживании. Большая категория, включающая события, которые приводят системы, сети или серверы к неспособности функционировать с прежними показателями и параметрами. Чаще всего проявляются, если пользователи в процессе авторизации получают отказ доступа. В данной группе инцидентов информационной безопасности (ИБ) выделяют несколько типов, создаваемых компьютерными и иными ресурсами: истощение и полное уничтожение ресурсов. Наиболее распространенные примеры: единовременный запуск сразу нескольких сеансов в рамках одной системы, передача данных в запрещенном формате в попытках вызвать различные нарушения или свести на «нет» их нормальную работу и т.д.
  • Сбор информации. Предусматриваются действия, связанные с установлением возможных, наиболее явных целей атаки и получением сведений о соответствующих сервисах. Инциденты в этой категории предполагают выполнение разведывательных мероприятий, чтобы выявить: наличие цели и ее потенциальные уязвимости. Распространенные примеры атак с использованием технических устройств – сброс записей DNS, отправление сообщений-тестов по «левым» координатам для поиска функционирующей системы, исследование объекта для идентификации, анализ открытых портов на протокол передачи файлов и т.д.
  • Несанкционированный доступ. Это остальные инциденты, которые не подходят под параметры вышеперечисленных категорий. Сюда входят несанкционированные попытки получения доступа к системе или ее неправильное использование. Типичные примеры – извлечение внутренних файлов с паролями, атаки переполнения буфера с целью получения привилегированного доступа к сети, использование уязвимостей протокола для перехвата важной информации, разрушение устройств физической защиты с последующим завладением данных и т.д.

Видов и примеров самых разных инцидентов информационной безопасности (ИБ) гораздо больше. Важно вовремя отреагировать и принять меры.

Реагирование на инциденты информационной безопасности

Выявление и реагирование – это важные процедуры, направленные на борьбу с инцидентами в сфере информационной безопасности (ИБ). Во время них проявляются определенные уязвимости системы, обнаруживаются все следы атак и возможных вторжений. Осуществляется проверка механизмов защиты и т.д.

Расследование компьютерных инцидентов информационной безопасности и реагирование на них (независимо от вида) требует примера профессиональной политики — участия команды опытных специалистов, которые осуществят целый комплекс мероприятий, состоящий из нескольких последовательных шагов:

  • Подготовка. Когда инцидент уже произошел, от специалистов требуются максимально выверенные и оперативные действия. Важна тщательная подготовка. Обеспечивается защита информационной системы. Сотрудники организации и пользователи информируются о необходимости обеспечения мер безопасности.
  • Обнаружение. Сотрудники организации или сторонние специалисты выясняют, относится ли найденное в системе, сети или сервере событие инцидентом или нет. Применяются различные аналитические средства, потоки данных об угрозах, публичные отчеты и остальные информационные источники, которые могут помочь.
  • Сдерживание. Специалисты осуществляют идентификацию скомпрометированных компьютеров. Настраивают систему безопасности таким образом, чтобы «заражение» не распространялось дальше. Происходит перенастройка, чтобы ИС могла и дальше работать без зараженных объектов.
  • Удаление. Основная цель этапа – приведение зараженной информационной системы в первоначальное состояние. Специалисты удаляют вредоносное программное обеспечение, а также другие объекты, которые остались после заражения.
  • Восстановление. «Обезвреженные» системы постепенно вводятся в основную рабочую сеть. Сотрудники, ответственные за ИБ, продолжают и дальше следить за их состоянием. Это нужно, чтобы удостовериться в полной ликвидации угрозы.
  • Выводы. Специалисты осуществляют анализ проведенных мероприятий. В структуру программного обеспечения вносятся отдельные коррективы. Формируется список рекомендаций для профилактики в будущем подобных атак, а также ускоренного реагирования на них, если «заражение» все-таки произошло.

событие информационной безопасности

3.14 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности, или сбой средств контроля, или ранее неизвестную ситуацию, которая может быть значимой для безопасности.

Примечание — См. ИСО/МЭК ТО 18044.

3.2 событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

3.3.21 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности или аварию защитных мер (средств), а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «событие информационной безопасности» в других словарях:

Событие информационной безопасности — (information security event): идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации,… … Официальная терминология

инцидент информационной безопасности — 2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Примечание Инцидентами информационной безопасности… … Словарь-справочник терминов нормативно-технической документации

Инцидент информационной безопасности — (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ . МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ… … Официальная терминология

ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ — Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность Примечание. Инцидентами информационной безопасности являются: а) утрата услуг, оборудования или устройств; б) системные сбои или… … Комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений

Читать еще:  Переменная в программировании считается полностью заданной

ГОСТ Р ИСО/МЭК ТО 18044-2007: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности — Терминология ГОСТ Р ИСО/МЭК ТО 18044 2007: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности: 3.4 группа реагирования на инциденты информационной безопасности (ГРИИБ)… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

ОСТ 45.127-99: Система обеспечения информационной безопасности взаимоувязанной сети связи Российской Федерации. Термины и определения — Терминология ОСТ 45.127 99: Система обеспечения информационной безопасности взаимоувязанной сети связи Российской Федерации. Термины и определения: 27 администратор [руководящий орган] системы обеспечения информационной безопасности Взаимоувяза… … Словарь-справочник терминов нормативно-технической документации

СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения — Терминология СТО БР ИББС 1.0 2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: 3.3. автоматизированная банковская система : автоматизированная система, реализующая банковский… … Словарь-справочник терминов нормативно-технической документации

События ИБ

§ Событием информационной безопасности является состояние системы, сервиса или сети, которое свидетельствует о возможном нарушении существующей политики безопасности, либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности. (стандарт ISO/IEC TR 18044:2004)

Обрабатываемые события могут классифицироваться в соответствии с внутренними регламентами компании, но общепринятым является деление данных на две категории:

1. Security Information – информация, связанная с безопасностью, поступающая от серверных и пользовательских приложений, от операционных систем, подсистем информационной безопасности и т.п.

2. Security Events – информация, поступающая непосредственно от сетевого и телекоммуникационного оборудования – коммутаторов, аппаратных брандмауэров, решений-фильтров для защиты от атак извне и т.п.

В соответствии с этими типами поступающей информации классифицируются и решения, служащие для их обработки. Security Information Management (SIM-решения) и Security Events Management (SEM-решения) по отдельности служат для решения лишь части задач. В полноценной системе ИБ необходимо фиксировать и анализировать, максимально оперативно, все типы событий. Поэтому на практике внедряются преимущественно комбинированные SIEM-решения, которые обрабатывают события безопасности, поступающие как от оборудования, так и от приложений различного уровня. SIEM также расшифровывается и как Security Incident and Event Management, что, в принципе, не меняет сути. Основные задачи таких систем совпадают с задачами самого комплекса обеспечения информационной безопасности: оперативное обнаружение инцидентов ИБ, их категоризация, определение приоритета и реагирование в режиме реального времени, формирование архивной базы по инцидентам и обеспечение возможностей для расследования причин их возникновения, оценки степени их угрозы и определения уязвимости корпоративных ресурсов. На основных этапах цепочки обработки инцидентов ИБ необходимо остановиться и разобрать их более подробно.

Инцидентом информационной безопасности является нежелательное событие ИБ (или совокупность событий), которое может скомпрометировать бизнес-процессы компании или непосредственно угрожает ее информационной безопасности (стандарт ISO/IEC TR 18044:2004).

Данный этап в значительной степени автоматизируется подавляющим большинством систем ИБ, однако инциденты, связанные, например, с нарушением должностных регламентов пользователя или администратора не могут обнаруживаться автоматически. Так, если пользователь оставляет на столе без присмотра конфиденциальные документы, это, безусловно, является инцидентом ИБ, обработку которого можно и нужно возложить на SIEM-решение, однако обнаружение осуществляется только при помощи персонала. Также необходимо позаботиться о том, чтобы все события, составляющие потенциальную угрозу ИБ были классифицированы соответствующим образом, а опасные для ИБ действия сотрудников были запрещены. Только в таком случае работа систем ИБ будет эффективна, без документов, описывающих запрещенные действия и события обнаружение инцидентов не может быть формализовано. Небезопасные события, происходящие внутри ИТ-системы фиксируются на уровне приложений или аппаратуры, и их обнаружение и внесение в единый реестр инцидентов ИБ является чисто технической рутинной процедурой. В случае, когда ИТ-инфраструктура компании очень сложна, процедура обнаружения инцидентов может быть ресурсоемкой, но обеспечение оперативности ее работы является приоритетным.

Событие безопасности это

Обеспечение информационной безопасности (ИБ) является важной задачей для различных организаций. Выполнение этой нетривиальной задачи требует значительных финансовых и трудовых затрат. Важно понимать, что эти затраты сделаны впустую, если система защиты информации при этом действует недостаточно быстро и продуктивно. Поэтому в последнее время все актуальнее становится проблема мониторинга событий ИБ (далее – событий), а также обнаружение и обработка возникающих инцидентов ИБ (далее – инцидентов) в минимальные сроки.

Ключевым понятием в рассматриваемой области является «событие информационной безопасности», для которого в современном законодательстве принято следующее определение:

Событие – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [1, 2].

Мониторинг событий производится на основе данных, полученных из различных источников, к которым относятся:

• средства антивирусной защиты;

Количество источников событий возрастает с ростом организации, то есть с ростом числа серверов, автоматизированных рабочих мест, сетевого оборудования и прочих объектов инфраструктуры. Информация из различных источников хранится раздельно, имеет разные форматы, и, как следствие, никак не связана между собой. Для крупных организаций затруднительно обрабатывать достаточно быстро и эффективно такой поток событий ограниченным персоналом подразделения, ответственного за мониторинг. Это проявляется в низкой скорости выполнения анализа событий, его качестве и невыявлении взаимосвязей между событиями, являющихся симптомами инцидента.

Читать еще:  Основные элементы системы программирования

Проблемы мониторинга событий негативно влияют на выявление инцидентов.

Инцидент – появление одного или нескольких нежелательных или неожиданных событий, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ [1].

Инцидент – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность [2].

Инцидент – событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:

• нарушение или возможное нарушение работы средств защиты информации в составе СОИБ организации БС РФ;

• нарушение или возможное нарушение требований законодательства РФ, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение или возможное нарушение в выполнении процессов СОИБ организации БС РФ;

• нарушение или возможное нарушение в выполнении банковских технологических процессов организации БС РФ;

• нанесение или возможное нанесение ущерба организации БС РФ и (или) ее клиентам [3].

Определения выше различаются, но все они, так или иначе, указывают на причинение негативных последствий процессу, информационной системе, организации в результате возникновения инцидента. Таким образом, своевременное выявление инцидента минимизирует потери организации.

В условиях децентрализации информации о событиях из многих источников обнаружение инцидента становится сложной и не всегда решаемой задачей. После выявления инцидента необходимо идентифицировать пострадавшие активы, понять причины инцидента, оценить его степень тяжести, приоритет, предпринять меры по реагированию. При выполнении этих операций исполнители зачастую сталкиваются с той же проблемой разрозненности источников информации. Это проявляется в ненадлежащем реагировании или его отсутствии, что влечёт за собой убытки организации.

SIEM-система позволяет избежать указанных выше проблем. Она решает задачи по сбору и хранению информации из различных источников, анализу поступающих событий, их корреляции и обработке по правилам, обнаружению инцидентов, их приоритезации и автоматическому оповещению. Кроме того, SIEM-системы часто имеют возможность проведения проверки на соответствие стандартам.

Типовая структура SIEM-систем:

• агенты – устанавливаются на информационную систему и передают данные с нее на сервер, в состав агентов могут включаться модули для преобразования данных;

• сервер-коллектор – собирает события от множества источников;

• сервер-коррелятор – собирает и обрабатывает информацию от коллекторов и агентов;

• сервер баз данных – хранит журналы событий.

SIEM-система собирает информацию из различных источников с помощью агентов и серверов-коллекторов в централизованное хранилище данных, что позволяет впоследствии анализировать события в целом. Также это позволяет избежать разрозненной и, в подавляющем числе случаев, неконтролируемой конфигурации средств анализа событий. Негативным моментом такого построения системы является возрастание нагрузки на сеть организации.

После сбора информации SIEM-система начинает анализ событий ИБ, требующийся для обнаружения инцидента. Для этого применяются 2 основных метода корреляции: сигнатурный (т.е. на основе правил) и бессигнатурный, определяющий аномальное поведение информационной системы. По результатам анализа SIEM-система показывает выявленные инциденты ИБ.

Для того чтобы SIEM-система эффективно выполняла свои задачи в конкретной организации, требуется правильная конфигурация корреляционных механизмов и постоянная их модификация. Вследствие этого SIEM-системы начинают окупать себя значительно позже ее внедрения, особенно при применении бессигнатурных методов корреляции, которые требуют накопления статистических данных. Настройкой SIEM-системы организации, как правило, занимается эксперт, прошедший специальные курсы и имеющий определённый опыт в этой области.

Кроме основной задачи по мониторингу событий и обнаружению инцидентов на основе данных о критичности активов организации и опасности угрозы SIEM-системы могут приоритезировать инциденты, автоматически оповещать об инциденте, выдавать заранее подготовленные рекомендации по немедленному реагированию на инцидент, хранить данные об инциденте для последующего расследования.

На данный момент на рынке SIEM-систем можно выделить следующие продукты:

• RSA Security Analytic;

Применение SIEM-системы не является обязательным при построении комплексной системы защиты информации и во многих случаях нецелесообразно. Основным заказчиком таких систем являются крупные организации, в которых требуется непрерывный контроль за обеспечением ИБ и журналирование связанных с этим событий.

В заключение хотелось бы отметить, что SIEM-системы – это развивающийся продукт, функциональные возможности которого со временем расширяются.

HP ArcSight – эффективный инструмент для мониторинга событий информационной безопасности

Виктор Сердюк, кандидат технических наук, CISSP,
Генеральный директор ЗАО «ДиалогНаука»

Журнал «InformationSecurity. Информационная безопасность» №1, 2013
www.itsec.ru

На сегодняшний день все больше компаний сталкивается с необходимостью обработки журналов событий, которые регистрируются в информационных системах, с целью выявления возможных атак. При этом даже в небольшой компании в журналах аудита может регистрироваться до нескольких десятков событий в секунду, что делает их анализ в ручном режиме длительным и крайне неэффективным. Для того, чтобы автоматизировать процесс сбора и анализа информации о событиях информационной безопасности могут использоваться специализированные системы мониторинга.

Понятие системы мониторинга информационной безопасности

Система мониторинга событий информационной безопасности (СМИБ) предназначена для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. В качестве таких источников могут выступать средства защиты информации, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др. СМИБ включает в себя следующие компоненты:

  • программно-техническая часть – реализуется на основе продуктов по мониторингу событий безопасности класса SIEM (Security Information and Event Management);
  • документационная часть — включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности;
  • кадровая составляющая — подразумевает выделение сотрудников, ответственных за работу с СМИБ.

Программно-техническая часть СМИБ включает следующие компоненты:

  • агенты мониторинга, предназначенные для сбора информации, поступающей от различных источников событий, включающих в себя средства защиты, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др.;
  • сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;
  • хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;
  • консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Типовая структура системы мониторинга информационной безопасности отображена на рисунке.

Нажмите на картинку, чтобы ее увеличить

Читать еще:  Системное программирование примеры

Структура системы мониторинга информационной безопасности

Документационная часть СМИБ предполагает разработку пакета нормативных документов по управлению инцидентами безопасности. Как правило, для этого формируется политика управления инцидентами ИБ, которая определяет классификацию инцидентов, общий порядок реагирования, ответственность за реализацию данного документа и др. На основе данной политики для каждого из видов инцидентов безопасности разрабатывается отдельный регламент, описывающий детальный порядок реагирования на различные виды инцидентов.

Кадровая составляющая СМИБ предполагает выделение различных ролей, ответственных за сопровождение центра. Как правило, выделяют следующие роли в составе СМИБ:

  • системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения СМИБ;
  • администратор безопасности, обеспечивающий управление настройку параметров функционирования СМИБ;
  • оператор, выполняющий задачи просмотра результатов работы СМИБ и реализации базовых функций реагирования на типовые инциденты;
  • аналитик, обеспечивающий анализ и реагирования на сложные виды инцидентов.

Основные этапы создания СМИБ

Процесс внедрения любой системы мониторинга событий информационной безопасности включает в себя следующие основные этапы:

  • обследование автоматизированной системы. В рамках обследования проводится идентификация основных источников событий безопасности, определение технологии сбора, хранения и обработки данных. По результатам обследования формируются требования к архитектуре и функциональным возможностям системы мониторинга информационной безопасности.
  • разработка технического проекта, в котором описывается конфигурация оборудования и программного обеспечения, порядок внедрения, схема информационных потоков, требования к внешнему окружению системы мониторинга и т.д.;
  • обучение сотрудников, которые будут отвечать за эксплуатацию системы мониторинга информационной безопасности;
  • создание пилотного района для тестового внедрения системы мониторинга информационной безопасности. Если объектом мониторинга является территориально-распределённая система, охватывающая несколько филиалов, то в качестве тестового сегмента, как правило, выбирается наиболее крупное подразделение, на котором можно апробировать решения, описанные в техническом проекте.
  • промышленное внедрение системы мониторинга. Внедрение проводится с учетом результатов, полученных в процессе тестового внедрения системы мониторинга;
  • техническое сопровождение системы мониторинга информационной безопасности.

Как правило, на этапе создания СМИБ подразделение информационной безопасности старается подключить систему мониторинга к наибольшему количеству источников и получить от них максимальный объем информации. Однако необходимо принимать во внимание тот факт, что если включить все возможные режимы аудита, то это может привести к значительному увеличению нагрузки на серверы, с которых получается информация, и, как следствие, нарушению их работоспособности. Именно поэтому одной из задач на этапе обследования является поиск компромисса между желанием подразделения ИБ получать и обрабатывать максимальный объем информации и реальной возможностью подразделения ИТ предоставить данную информацию.

Еще одной важной задачей, которая должна решаться в процессе внедрения, является определение тех инцидентов, которые будут выявляться в процессе работы СМИБ. Для этого выполняются следующие действия:

  • определение типов основных инцидентов ИБ;
  • определение списка событий, которые ведут к инциденту ИБ;
  • определение источника инцидента ИБ;
  • определение и приоритезация рисков, связанных с инцидентами ИБ.

В настоящее время наибольшее распространение в России получило решение ArcSight компании Hewlett Packard.

Возможности HP ArcSight

Система мониторинга и корреляции событий HP ArcSight позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к инцидентам информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, которая хранится и обрабатывается в системе мониторинга информационной безопасности. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные на статистических методах, а также правилах встроенной экспертной системы. И, наконец, ArcSight выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

ArcSight позволяет администраторам безопасности сфокусироваться на реальных угрозах безопасности, обеспечивая их средствами, позволяющими оперативно реагировать на угрозы безопасности сети.

Информационные ресурсы интегрируются в систему мониторинга в качестве источников сообщений о событиях информационной безопасности с помощью так называемых коннекторов (агентов).

Для визуализации результатов работы системы используется консоль администратора, которая в реальном режиме времени позволяет проводить разделение событий по категориям, корреляцию событий, как по ресурсам, так и по злоумышленникам, а также осуществлять подробный анализ. С помощью карты нарушений безопасности можно получить представление об отклонениях в параметрах безопасности. Кроме того, консоль снабжена интуитивно понятным инструментальным интерфейсом и предоставляет непревзойденные возможности для подготовки табличных и графических отчетов о безопасности.

ArcSight позволяет осуществлять мониторинг информационной безопасности всех необходимых ресурсов в режиме реального времени, получая информацию как на уровне средств защиты, так и на уровне сетевых ресурсов, приложений и баз данных, что позволяет построить комплексную систему мониторинга и управления событиями информационной безопасности.

Еще одной особенностью системы ArcSight является возможность реализации процесса управления инцидентами информационной безопасности строго в соответствии с стандартом PCI DSS.

Заключение

На сегодняшний день всё больше и больше компаний приходят к пониманию того, что использование СМИБ позволяет значительно повысить эффективность процесса управления инцидентами информационной безопасности. Это обеспечивается за счет автоматизации процесса сбора и анализа информации, которая регистрируется в автоматизированной системе компании. При этом внедрение СМИБ также позволяет значительно повысить эффективность уже установленных в организации средств защиты и получить инструмент для оценки эффективности работы подразделения информационной безопасности.

Мониторинг информационной безопасности – решение ЗАО «ДиалогНаука»

ЗАО «ДиалогНаука» является лицензиатом ФСТЭК и ФСБ и оказывает полный спектр услуг в сфере мониторинга информационной безопасности на базе системы мониторинга информационной безопасности и корреляции событий информационной безопасности HP ArcSight. В случае появления вопросов или интереса к описанному решению по мониторингу информационной безопасности, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи на странице «Контакты».

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector