Разделы

Безопасность Цифровизация Бизнес-приложения Пользователю Новости поставщиков
|

Секреты ИБ: как добиться пользы от лог-файлов

Информация, циркулирующая в компании, оставляет следы. Системы безопасности аккуратно собирают гигабайты данных, складируют их в логах, а дальше... Обычно, дальше ничего не происходит, и пользы от всей этой ИБ-деятельности никакой. В такой ситуации на помощь приходят программные решения нового поколения - Security Information Event Management (SIEM). Пора с ними познакомиться поближе.

страницы:   предыдущая   |   1    |   2  

Затем, объединение данных. SIEM-решение позволяет объединять данные от различных источников, в том числе неоднородного формата, и хранить их в едином для просмотра виде. Кроме того, система выполняет работу по корреляции событий. Основная задача продуктов по управлению инцидентами безопасности – это автоматическое определение взаимосвязей между данными из разных источников. Другая важнейшая задача таких продуктов – оповещение сотрудников служб безопасности о возникновении потенциальных нарушений или инцидентов в соответствии с заданными приоритетами. И наконец, система предлагает оценку соответствия требованиям различных стандартов и регламентов по безопасности по многим техническим параметрам, например "пересылка пароля в открытом виде" или "блокирование доступа при неправильно введенном пароле".

А вендор кто?

Одним из представителей разработчиков SIEM-решений является американская компания Q1Labs, которая занимается разработкой средств защиты информации с 2001 года. Первоначально компания Q1 специализировалась на продуктах класса Log Management, которые позволяли централизованно хранить и управлять данными, полученными из лог-файлов. По мере изменения потребностей рынка компания Q1 сосредоточила свои усилия на продуктах, позволяющих управлять инцидентами информационной безопасности, а также соответствовать требованиям различных международных стандартов. Переход на новое направление произошел сравнительно легко, так как принцип работы всех SIEM-решений основан, прежде всего, на централизованном сборе и хранении логов. Сегодня ведущий продукт компании QRadar SIEM занимает серьезные позиции в сегменте управления событиями безопасности. Согласно аналитическому отчету компании Gartner в 2011 году QRadar входит в тройку лучших SIEM-решений в мире. Дистрибутором продуктов Q1Labs в России является компания headtechnology RU, которая бесплатно предоставляет на тестирование виртуальные образы и аппаратные сервера QRadar, а также оказывает поддержку при внедрении.

Работа SIEM-продуктов первого поколения основывалась на данных, полученных от ограниченного количества источников логов (обычно межсетевых экранов и систем обнаружения вторжений). В тоже время они позволяли выполнять корреляции типа "перед успешным входом в систему было пять неудачных попыток аутентификации", и таким образом определяли подозрительные инциденты. Корреляция событий – это важное и необходимое свойство для управления инцидентами безопасности, но недостаточное. Только коррелятивный подход позволяет получить примерное соотношение 100 тыс событий на 1 инцидент безопасности, что для компаний, имеющих несколько миллиардов записей в сутки, уже не подходит. Другой проблемой, связанной с ограниченным списком источников логов, является то, что если злоумышленник выключит или обойдет систему аудита средств защиты, то нарушение безопасности не отобразится в логах и останется незамеченным для SIEM-устройства.

Продукт QRadar SIEM компании Q1Labs относится к решениям нового поколения и позволяет избежать указанных проблем. Кроме традиционного сбора и хранения логов он может перехватывать сетевую активность устройств и пользователей как до возникновения нежелательного события, так и непосредственно после него. Для обнаружения инцидентов безопасности применяются новые технологии поведенческого и контентного анализа, а также корреляция событий, полученных от разных источников и перехваченного сетевого трафика. На основе обработанной информации QRadar создает "потенциальное нарушение", которое объединяет инциденты, ассоциированные с данными логов, сетевой активностью, важностью и уязвимостью цели воздействия. Каждое "потенциальное нарушение" имеет свой приоритет, который определяется многими параметрами, например критичностью актива, на которое происходит воздействие, его уязвимостью, периодичностью воздействия и вероятностью успешной атаки. Таким образом, количество критичных нарушений безопасности даже в больших распределенных сетях будет составлять не больше нескольких десятков, что позволяет сосредоточить внимание ответственных лиц только на наиболее важных инцидентах.

Решения линейки продуктов компании Q1Labs:
  1. Log Management. Устройства предназначены для централизованного сбора, хранения и управления данными логов и журналов событий, полученными от различных источников;

  2. All-In-One SIEM. Продукты типа "все в одном", которые включают функционал Log Management и возможность обработки потоков, полученных через SPAN или зеркальные порты активных сетевых устройств;

  3. Risk Management. Устройства, предназначенные для управления информационными рисками;

  4. Масштабируемые SIEM-продукты. Применяются в распределенных сетях, генерирующих большое количество событий в секунду (EPS) и имеющих значительные сетевые потоки;

  5. Отдельные устройства для мониторинга сетевой активности.

Управление всеми продуктами компании Q1Labs осуществляется через стандартный браузер, при этом обеспечивается ролевое разделение доступа. При входе в систему SIEM сразу отображается приоритезированный список нарушений безопасности, которые обнаружило устройство. Если перейти внутрь каждого нарушения, то можно получить детальную информацию по инцидентам, которые это нарушение сформировали, а также по потокам и источникам логов, откуда были получены исходные данные. Необходимо отметить, что решения типа SIEM работают только при наличии внешних входных данных. Если нет логов, нет журналов событий и нет перехваченного сетевого трафика, то любой SIEM-продукт не отобразит никакой полезной информации.

VPN под ударом. Рынок VDI ждет бурный рост?
VPN под ударом. Рынок VDI ждет бурный рост? безопасность

Итак, сегодня применение современных SIEM устройств позволяет получить эффективный рабочий инструмент сотрудников служб информационной безопасности и дает организациям следующие преимущества. В первую очередь, это безопасное хранение логов информационной системы на базе одного устройства. Затем, снижение трудозатрат на анализ и корреляцию лог-файлов и журналов событий. Кроме того, использование такого рода решений позволяет повысить общего уровня защищенности корпоративной инфраструктуры и увеличить эффективность вложений в средства защиты информации.

Виктор Демченко

страницы:   предыдущая   |   1    |   2  

Подписаться на новости Короткая ссылка

Другие материалы рубрики

Василий Кузнецов, Институт востоковедения РАН: Формула «российские технологии + эмиратские деньги» могла бы сработать

ИИ-платформа «Росатома» на базе Open Source столкнулась с противодействием властей при включении в реестр российского ПО

Благодаря новым технологиям данные из архивов БТИ попадут в ГИС ЖКХ

«Астра» потратила 2,4 миллиарда на ремонт офиса, арендованного у своего акционера

Киберразведка, которая защищает бизнес: обзор нового российского решения

Дмитрий Григоренко: Бизнес вложил во внедрение ИИ в 2025 году более 250 миллиардов рублей

CNewsMarket

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

Техника

Гаджеты и аксессуары для рабочего стола, которые помогут снять стресс: выбор ZOOM

Лучшие флагманские TWS-наушники 2026 года: хиты продаж

Обзор смартфона RIKOR NEURO S5 — первый тест в России

Показать еще
Конференция K2 Cloud Conf 2026 Конференция K2 Cloud Conf 2026

erid: 2W5zFJoBN9o

Рекламодатель: АО "К2 ИНТЕГРАЦИЯ"

ИНН/ОГРН: 7701829110/01097746072797

Сайт: https://k2int.ru/