Защита ИТ-инфраструктуры предприятия – крайне сложная задача, при решении которой необходимо обрабатывать огромный массив информации. Чем больше в ней сетевых узлов – рабочих станций, серверного, сетевого оборудования, мобильных устройств, средств защиты, тем больше данных о своей работе они генерируют. Эту информацию необходимо собрать, проанализировать на возможные несанкционированные действия злоумышленников и сообщить об этом администратору по информационной безопасности. Для этого применяются специализированные решения класса SIEM (Security Information and Event Management) - системы мониторинга и управления событиями безопасности.
Что такое SIEM-система?
SIEM-система – сердце корпоративной системы информационной безопасности для компаний любого масштаба. Она в режиме реального времени собирает и анализирует информацию о состоянии инфраструктуры и предупреждает о возможных киберинцидентах. Это дает возможность отразить кибератаку еще до того, как она достигнет цели и нанесет компании ущерб, или минимизировать ее последствия.
SIEM ведет постоянный мониторинг активности устройств в корпоративной инфраструктуре, анализирует поступающую информацию, выявляет аномальные действия и выдает администраторам предупреждение о возможном проникновении киберпреступников. Система фиксирует действия пользователей, работу серверного оборудования, прикладных систем, сетевого оборудования и консолидирует данные со средств защиты информации.
Таким образом, сферами применения SIEM-системы являются:
· обнаружение хакерских атак на ранних стадиях и предупреждение о них администраторов инфраструктуры, расследование уже свершившихся инцидентов;
· централизованный сбор, хранение и обработка событий ИБ, мониторинг состояния инфраструктуры предприятия и повышение уровня информационной безопасности.
Кроме того, наличие SIEM позволяет соответствовать требованиям по обеспечению информационной безопасности в соответствии с Указом Президента РФ от 1.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», а также требованиям федеральных законов и регуляторов.
Как работает SIEM-система
Принцип работы SIEM достаточно прост. Система ведет сбор информации с элементов инфраструктуры, анализирует события в них и, согласно разработанным правилам, выявляет аномалии, формирует инциденты и оповещает о них администраторов ИБ.
Общий список источников данных для SIEM достаточно обширен. В качестве источников информации SIЕM-система может использовать рабочие станции, серверы, сетевое оборудование, прикладные системы и даже периферийные устройства. Кроме того, информация собирается со средств защиты информации - антивирусные решения, файерволы, системы управления доступом, контроллеры домена, IPS- и IDS-системы, которые отвечают за обнаружение и предотвращение вторжений, системы предотвращения утечек информации (DLP) и т.д. Некоторые SIEM-системы проводят инвентаризацию инфраструктуры заказчика, а также интегрируются с NTA-системами (Network traffic analyzer), XDR-системами (Extended Detection and Respons), что позволяет расширить возможности обнаружения злоумышленников в сети предприятия.
Внедрение SIEM
Внедрение SIEM-системы – задача, которая требует серьезных компетенций от компании-интегратора. Продолжительность проекта по внедрению SIEM бывает от трех месяцев до нескольких лет – в зависимости от масштабов инфраструктуры предприятия.
Внедрение SIEM требует обязательного предварительного обследования инфраструктуры заказчика и текущего уровня защищенности. На этапе обследования определяется структура системы, состав подключаемых источников данных, выявляются наиболее критичные киберриски, на предотвращение которых в дальнейшем строится защита предприятия, в том числе настраивается SIEM. Следующий этап – разработка и согласование технического задания, а также разработка проектной и эксплуатационной документации, в соответствии с которыми будет работать внедряемая SIEM-система. Дополнительно могут быть разработаны регламенты реагирования для администраторов ИБ. Далее следует этап внедрения – устанавливается система, подключаются источники данных, настраиваются корреляционные правила для выявления инцидентов ИБ. Неотъемлемой частью проекта является обучение сотрудников компании-заказчика работе с SIEM-системой.
В «портфеле» компании Innostage – опыт внедрения SIEM-систем в различных компаниях, от небольших инсталляций до крупных концернов, в инфраструктурах которых фиксируется более 100 тыс. EPS (событий в секунду). В том числе – территориально-распределенные структуры с большим количеством филиалов. Среди заказчиков Innostage – банки TOP-10, топливно-энергетические и добывающие компании, предприятия атомной промышленности.
Высокий уровень компетенций позволяет экспертам Innostage не только подобрать и сконфигурировать SIEM-решение, которое полностью удовлетворяет потребностям заказчика, но и обеспечить подключение на мониторинг практически любого источника информации. При выполнении проекта специалисты Innostage разрабатывают специальные коннекторы, которые позволяют интегрировать SIEM практически с любым оборудованием и программным обеспечением, используемым заказчиком.
После внедрения SIEM компания Innostage оказывает услуги по технической поддержке системы в формате 8х5 или 24х7, обновлению, подключению новых источников, поддержанию правил корреляции в актуальном состоянии и разработки новых, а также выполняет проекты по модернизации и расширению системы. Кроме того, SIEM-система предприятия может быть подключена к центру противодействия угрозам Innostage CyberART (SOC), специалисты которого ведут мониторинг системы, выявление попыток атак на раннем этапе и немедленного реагирования на них.
Дубовик Анна,
Заместитель технического директора Innostage