Как SIEM интегрирует и анализирует сигналы от ИБ-компонентов инфраструктуры

08 Августа 2023 10:0008 Авг 2023 10:00 | фото: photogenica.ru |
Поделиться

Без развитого многофакторного «инфобеза» сегодня невозможно обеспечить стабильность работы ИТ-инфраструктуры и в широком смысле функционирование современной компании. Появляются новые классы инструментов для инфомбезопасности, некоторые из которых становятся обязательными для корпоративных заказчиков. Одно из таких решений — SIEM (Security information and event management). О преимуществах платформы рассуждает Михаил Назаров, директор по сервису «Кросс технолоджис».

Что такое SIEM

SIEM создана, чтобы в оперативно отслеживать сигналы, поступающие от аппаратных устройств и программных приложений, обрабатывать полученные данные и оповещать операторов о возникающих угрозах безопасности. Сегодня практически каждый модуль для построения корпоративного ИТ-рельефа получает собственные средства безопасности, то есть «инфобез» пронизывает все — как программные решения, так и аппаратные устройства. SIEM объединяет поступающие данные и выполняет их первичный анализ, упрощая повседневную работу офицеров безопасности. «Многочисленность и разрозненность средств защиты усложняет работу специалистов ИБ, — подчеркивает Михаил Назаров, директор по сервису «Кросс технолоджис». — Усложнение приводит к неэффективному расходу ценного ресурса — рабочего времени «безопасников» — и, как следствие, повышает стоимость владения всей ИБ-инфраструктурой в компании. Наличие единого SOC для крупных компаний становится необходимостью, а такой структуре необходима SIEM-система.»

По сути, SIEM — платформа, обеспечивающая получение и анализ данных, поступающих от разнородных систем как ИТ-инфраструктуры, так и инфобезопасности: антивирусов, антиспам-фильтров, DLP (Data Loss Prevention — софт для защиты компании от утечек информации), IDS (Intrusion Detection System — система обнаружения вторжений) и т.д. SIEM анализирует данные, выявляя по различным критериям потенциальные нарушения. При обнаружении подозрительной активности SIEM генерирует инцидент безопасности, отрабатывать который будут уполномоченные сотрудники согласно регламенту, принятому в компании.

Внедрение SIEM позволяет решать сразу несколько задач. Во-первых, использование платформы помогает повысить оперативность реакций — автоматизация позволяет быстрее получать информацию об отклонениях от норм. Во-вторых, SIEM помогает собирать фактуру по инцидентам кибербезопасности, что упрощает отражение атак, пресечение утечек и т.д., В-третьих, SIEM упрощает доступ к контекстной информации «вокруг» событий безопасности, что делает более эффективными процессы реагирования. Оценка контекста будет полезна при сборе доказательной базы для дальнейшего расследования инцидента — как внутри компании, так и с привлечением профильных подразделений силовых структур.

«Сегодня SIEM-система нужна любой компании, имеющей цифровые активы, хранящей персональные данные, информацию, составляющую коммерческую тайну, и т.д. — уверен Михаил Назаров, директор по сервису «Кросс технолоджис». — Отсутствие единой платформы существенно повышает риски для утечек информации, так и для стабильности работы ИТ-инфраструктуры, следовательно, и для всей операционной деятельности компании».

Эталонная российская SIEM

В сегменте ИБ российские вендоры давно создают блестящие решения, на равных конкурируя с глобальными продуктами, зачастую обгоняя их в качестве и функциональности. Также важно, что российские специалисты обладают высочайшим уровнем экспертизы, необходимым для современного уровня внедрения ИБ-продуктов, их технической поддержки и дальнейшего развития. Сказанное в полной мере относится к продукту Kaspersky Unified Monitoring and Analysis Platform (KUMA) от «Лаборатории Касперского».

Один из ключевых трендов, определяющих развитие российского ИТ — импортозамещение. Ситуация настоятельно требует замены зарубежных решений на новые, которые в дополнение к своим основным параметрам обладают еще одним важным свойством: санкционно-устойчивостью. KUMA является российской разработкой, поэтому санкции ей не страшны, к тому же KUMA внесена в Единый реестр Минцифры.

Особенности KUMA

В названии KUMA присутствует слово «Analysis», что подчеркивает усиленную аналитическую составляющую продукта. Функциональность SIEM много больше, чем «работать дашбордом», аккумулируя логи от систем безопасности и прочих «маячков». Весь поток данных от подключенных источников событий система способна самостоятельно анализировать, выявлять инциденты и подозрительную активность, сообщать о них сотрудникам ИБ. Благодаря большому количеству правил, шаблонов и встроенных инструментов, улучшенная аналитическая система KUMA позволяет службе безопасности компании оперативно обрабатывать инциденты.

Важное преимущество Kaspersky Unified Monitoring and Analysis Platform — наличие возможностей по автоматическому и автоматизированному реагированию, как через интеграцию с собственными решениями, так и сторонними средствами, что значительно упрощает работу «безопасников».

У SIEM-систем крайне высокие требования к производительности. Поток информации, отслеживаемой SIEM-системой, большой, в крупных корпорациях такие решения работают практически под хайлоад-нагрузками. На нагрузки влияет ряд факторов, в частности, имеет значение численность сотрудников компании, объем ИТ-инфраструктуры и защищаемых данных, зрелость подразделения ИБ и т.д. KUMA, за счёт современной микросервисной архитектуры, продемонстрировала высокую производительность и масштабируемость системы на крупнейших предприятиях из разных сегментов экономики страны.

К преимуществам KUMA следует отнести наличие премиум-сервисов от вендора. Они способны обеспечивать внедренному решению высокие показатели SLA, что крайне важно для корпоративных заказчиков. Заметим, что KUMA нашла применение в крупнейших компаниях сртаны, в организациях, где критична непрерывность бизнес-процессов и поэтому требования к SLA крайне высоки.

Для ряда российских корпоративных клиентов важно наличие в KUMA модуля для интеграции с системой ГосСОПКА, которая позволяет взаимодействовать с технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ). Обеспечение соответствия законодательству РФ в сфере защиты объектов критической информационной инфраструктуры (в частности требованиям 187-ФЗ и приказа ФСТЭК России № 239) делает KUMA актуальной для ряда крупнейших предприятий в национальной экономике.

Инфобезопасность: особенности момента

Киберугрозы растут и количественно, и качественно. В российских условиях рост количества кибератак за последнее время опережающий. К атакам на российские компании и госструктуры подключается большое количество хактивистов со всего мира. В большинстве случаев эти атаки не бывают успешными, но необходимость их отражения занимает ценное время и ресурсы департамента информационной безопасности.

Традиционная киберпреступность продолжает развитие как отдельное и достаточно прибыльное направление нелегального бизнеса, вовлекая все большее количество людей, среди которых оказывается немало профессионалов высокого класса. Активное использование новейших инструментов — smart-контрактов, AI-инструментов и т.д. — повышает гибкость группировок киберпреступников и эффективность их действий. «Важно отметить не только рост общего количества кибератак, но и увеличение — в разы! — количества успешных кибератак», — подчеркивает Михаил Назаров, директор по сервису «Кросс технолоджис». — Однако российские вендоры адекватно реагируют на новые вызовы рынка и создают продукты, способные противостоять возрастающим рискам.»

Ситуация требует быстро и эффективно интегрировать новые средства защиты в ИТ- и ИБ-инфраструктуру компаний. Компаниям нужно своевременно использовать эти продукты для развития и совершенствования ИТ-ландшафта, обеспечивая ему устойчивость даже в условиях растущей хакерской активности. Однако реализация защиты в конкретном случае зависит от уровня информационной зрелости предприятия, своевременной реакции менеджмента и достаточности инвестиций в информационную безопасность.

Вместо заключения

Инвестиции в инфобезопасность в эпоху «цифровой трансформации» следует рассматривать не как накладные расходы, а как вложения в устойчивость и в непрерывность бизнеса. Слияние операционной деятельности с цифровой инфраструктурой требует самого серьезного отношения ко всем аспектам ИБ. В таких условиях SIEM становится необходимостью, так как использование этого инструмента позволяет ускорить реакции на действия злоумышленников и оптимизировать расходы на отражение атак.

KUMA наиболее полно отражает пожелания российских компаний к системам класса SIEM, прекрасно взаимодействует с российскими инструментами ИБ, а также соответствует законодательству РФ и требованиям национальных регуляторов. В данном случае показательно двустороннее взаимодействие с упомянутым НКЦКИ: отправка сведений об инцидентах позволяет корпоративному заказчику соответствовать законодательству, а получение таких данных об атаках на другие структуры — поднять уровень защищенности собственной организации.

Полный текст статьи читайте на CNews