`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

SIEM в Украине: современные тенденции и новые разработки

+55
голосов

Украинский рынок SIEM пока невелик, но интерес к продуктам данного класса растет, а основные потребители таких систем приходят к пониманию, что такие инструменты не просто необходимы для соответствия стандартам, а действительно приносят ощутимую пользу бизнесу, снижая риски и потери. Прошедшая 22 мая в Киеве конференция «In Logs We Trust 2.0» собрала специалистов безопасности и стала площадкой для ознакомления с новыми решениями, обмена опытом, дискуссии о перспективах развития технологий SIEM в Украине.

Современные ИТ-системы чрезвычайно сложны, инструменты защиты постоянно развиваются и адаптируются к новым видам угроз — администраторам безопасности все сложнее следить за общей картиной и потенциальными рисками. Системы сбора и управления событиями безопасности (Security Information and Event Management, SIEM), сами по себе не выполняют функции защиты, они работают как агрегаторы информации (логов) от других систем и устройств сети и детектируют отклонения от нормального поведения в соответствии с заданными критериями — сценариями инцидентов. SIEM автоматизирует обработку зарегистрированных в системном журнале событий и, используя набор статистических методов, обнаруживает подозрительные либо потенциально небезопасные операции.

SIEM в Украине: современные тенденции и новые разработки

Внедрение SIEM систем свидетельствует о зрелости компании, такие проекты реализуются крупными операторами телекоммуникаций, финансовыми структурами и представителями промышленности. На сегодняшний день в Украине внедрено более 20-ти проектов HP Arcsight, 14 из которых реализовала компания СВІТ ІТ. Стоит отметить, что объем SIEM проекта в Украине, на порядок меньше европейского, что в большой степени обусловлено готовностью компаний инвестировать средства в безопасность. В последние годы доля услуг в общей структуре проектов постоянно увеличивается, в некоторых случаях объем локальной поддержки, обучения, интеграции и точечного консалтинга достигает 40% стоимости. Как отмечают в СВІТ ІТ, инструменты SIEM нужны не только для подразделений информационной безопасности, но и ИТ в целом, поскольку дают возможность проактивно обнаруживать проблемы в работе оборудования, информационных и операционных систем, обеспечивая непрерывность работы ИТ-сервисов.

Эксперт по информационной безопасности (CISSP, CEH) подразделения HP Enterprise Security Products Маркус Кнорр (Markus Knorr) в своем докладе подчеркнул, что современная SIEM система работает с большими массивами данных, обработка которых требует специальных инструментов. HP предоставляет уникальную платформу HAVEn, которая состоит из передовых технологий для скоростного сбора и первичного анализа больших неструктурированных данных (Hadoop), структурированных (Vertica), распознания видео, голоса и проведения интеллектуального анализа новостных порталов и социальных сетей (Autonomy), а также для высокоточной корреляции и аналитики, на базе ArcSight. Флагманское решение линейки ArcSight — платформа ArcSight ESM поддерживает интеграцию с более чем 375 прикладных систем и устройств, поставляется с несколькими сотнями предустановленных правил корреляции, а также может дополняться пакетом FlexConnector, обеспечивающим интеграцию с приложениями любого типа. Эти инструменты могут использоваться для выявления подверженных рискам данных, контроля внутренних политик компании и поведения пользователей для выявления инсайдеров, борьбы с утечками данных, мониторинга соцсетей для обнаружения хактивистской деятельности, защиты от внешних угроз.

Кроме того, на конференции были представлены доклады об эффективных сценариях использования SIEM в Украине, в частности о выявлении аномалий и детализации трафика на основе инфопанелей ArcSight Logger, защите от уязвимостей в Java, Apple, Microsoft и Adobe на основе интеграции ArcSight и журналов прокси серверов, логировании и контроле доступа для решений SAP, особенностях мониторинга SharePoint, Exchange, файловых серверов и Microsoft AD.

SIEM в Украине: современные тенденции и новые разработки

Андрей Безверхий, директор по развитию бизнеса СВІТ ІТ: «Стимулом к созданию сервиса Health Monitoring послужили однотипные задачи и проблемы, возникающие при поддержке уже реализованных проектов. Работа над созданием собственной службы началась два года назад и сейчас вышла на финальную стадию. С запуском этой услуги интегратор сервисов безопасности СВІТ ІТ перейдет в категорию провайдеров услуг по управлению безопасностью. Что вполне соответствует с общемировым тенденциям: от 40% до 60% успешных value-added resellers как правило переходят на уровень MSSP»

Данные инструменты SIEM могут быть полезны аналитикам только в одном случае — когда сам SIEM работает корректно. Сбор данных ошибок в саму SIEM не производят по целому ряду причин: они занимают непрогнозируемый объем, приводят к проблемам с производительностью СУБД, повышают требования к вычислительным ресурсам, нивелируют плюсы индексирования, и, конечно, требуют увеличения расходов. Большинство SIEM протоколируют свои ошибки во внутренних журналах, доступных, как правило, в виде файлов диагностики. Вопрос в том, как конкретная ошибка (а их несколько сотен), влияет на разные параметры работы системы. Высокоуровневые категории — аутентификация, сеть, производительность, разбор контента (parsing), отказ сервиса, — значительно удобнее для понимания происходящего, но требует проведения собственного анализа и установления взаимосвязей и корреляций между ошибками. Кроме того, необходимы метрики, которые четко сигнализировали бы о характере проблем и способе их разрешения. Отчетность в таком разрезе была бы интересна не только узким специалистам, но и руководителям предприятий, тем более, если ее представить в компактном визуализированном виде.

ArcSight и другие SIEM имеют целый ряд сложностей администрирования: достаточно много времени требует мониторинг здоровья компонентов ESM, Logger, Smart, Flex, выполнение обновлений, разрешение ошибок логгеров и коннекторов, настройка правил, списков, интеграционных команд и пр., причем многие из этих операций рутинны, и требуют значительных затрат человеческих ресурсов. Было бы эффективно вынести их во внешний сервис.

Именно две этих проблемы ArcSight и других SIEM решает «облачная служба» Health Monitoring, созданная компанией СВІТ ІТ. В ходе выполнения проектов СВІТ ІТ накопила значительную базу знаний, которая стала основой сервиса. Компания привлекла внешних экспертов по статистике, которые разработали часть аналитического механизма, на базе накопленного опыта, и международных стандартов по безопасности и мониторингу. Вывод сервиса Health Monitoring на коммерческую основу планируется в середине августа.

+55
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT