На любом среднем или крупном предприятии используется множество аппаратных и программных средств, предназначенных для организации рабочих и бизнес-процессов. Все эти средства являются источниками больших массивов различных данных, а кроме того, в процессе работы почти всех систем создаются журналы событий.
Одна из задач системных администраторов — регулярно просматривать эти журналы, анализировать содержащуюся в них информацию и следить за тем, чтобы все необходимые данные были сохранены.
Понятно, что даже на среднем предприятии объем информации, подлежащий анализу, настолько велик, что «вручную» его обработать невозможно. Для упрощения и автоматизации этого процесса разработаны специальные программы, которые выделились в отдельный класс продуктов — SIEM (Security Information and Event Manager). Помимо сбора информации с различных источников, эти решения обеспечивают хранение данных и позволяют быстро находить нужные сведения в архиве, а также выполняют (по определенным правилам) обработку записей в журналах, что позволяет проследить всю цепочку событий, которые привели к тому или иному инциденту в сфере информационной безопасности.
Сегодня на рынке представлен довольно большой ассортимент продуктов семейства SIEM. Но явным лидером, безусловно, является решение Symantec Security Information Manager (SSIM). Как говорит Сергей Ласкин, инженер-консультант по информационной безопасности компании MONT, эта система обеспечивает сбор данных о событиях в ИТ-инфраструктуре в масштабе предприятия, их централизованное хранение и управление, что позволяет анализировать большие объемы разнородной информации из многих журналов. «Компании Symantec удалось создать лучший в отрасли модуль корреляции, который не только объединяет результаты анализа угроз и информацию о событиях, имеющих отношение к обеспечению безопасности ИС, но и позволяет классифицировать действия по обработке инцидентов безопасности, увязывая их со степенью риска для бизнеса, — подчеркнул Сергей Ласкин. — При таком подходе обеспечивается более эффективная защита предприятия от потенциально опасных ситуаций. Помимо этого решение SSIM поддерживает соответствие отраслевым стандартам, таким как PCI DSS (стандарт безопасности данных для платежных карт) и СТО БР ИББС (стандарт банка России по построению защищенной информационной системы), а также стандартам, получившим широкое распространение в мире, например SOX (принят в США в 2002 г., определяет требования к документообороту и финансовой отчетности компаний, вводит процедуру регулярного независимого аудита; сегодня абсолютно все публичные компании, чьи ценные бумаги котируются на фондовом рынке США, обязаны соответствовать требованиям SOX) и HIPAA (закон о преемственности страхования и отчетности в области здравоохранения, Health Insurance Portability and Accountability Act)».
Для компаний, которые не обязаны следовать отраслевым стандартам, решение SSIM также будет полезным. Ведь стандарты можно рассматривать с двух точек зрения: либо как «формальное исполнение», когда нужно отчитаться перед регулятивными органами, либо как лучшие практики и рекомендации для эффективной защиты организации. Именно при комплексном подходе к защите предприятия достигается максимальный уровень надежности и защищенности. При этом значительно снижается риск возникновения инцидентов в сфере ИБ.
Решение SSIM представляет собой физический или виртуальный сервер, на котором установлены ОС RHEL и ПО Symantec. Для установки системы достаточно скачать ISO-образ диска с сайта Symantec (он содержит ОС и все необходимое ПО) и запустить процесс инсталляции. Установка SSIM займет около 30 минут.
Сергей Ласкин отметил, что для внедрения SSIM менять существующую ИТ-инфраструктуру предприятия не требуется. Нужно просто внутри сети создать еще один физический или виртуальный сервер и произвести его настройку.
В процессе работы SSIM собирает данные с различных источников: межсетевых экранов, систем предотвращения вторжений, антивирусных программ, маршрутизаторов, системных журналов, баз данных и пр. На сегодня SSIM обеспечивает получение информации от 250 устройств. Собранные данные хранятся в так называемых «плоских» файлах. Это специальная структура файла, которая позволяет экономить место на дисках и выполнять быстрый поиск. Данные собираются и обрабатываются автоматически по установленным администратором правилам.
На основании собранных данных формируются различные отчеты, позволяющие отслеживать события, связанные с обеспечением ИБ. Например, можно настроить правила обработки таким образом, что многократное повторение события определенного типа за отдельный промежуток времени будет считаться инцидентом (10 сообщений антивирусной программы в течение дня свидетельствуют об эпидемии). Или можно увязать в логическую цепочку несколько событий (например, активация пропуска на проходной и включение компьютера; если пропуск сотрудника не был активирован, а его компьютер включен, то это следует рассматривать как инцидент, требующий вмешательства администратора безопасности).
Важным достоинством системы SSIM, по мнению специалистов, является ее простота в установке и эксплуатации. Инсталлировать систему может не только специализированный интегратор, но и сам заказчик при наличии определенной квалификации. Сама система проста в настройке и не требует специальных навыков. Эксплуатация SSIM, как правило, возлагается на администратора по ИБ и специалиста по сетевой инфраструктуре предприятия. Обычно вся настройка осуществляется на начальных стадиях внедрения, а в дальнейшем лишь корректируются правила обработки данных. Техническую поддержку вендор оказывает так же, как и по всем остальным продуктам.
Статья на правах рекламы