20.01.2014 Экспертиза, Консалтинг и системная интеграция, Стандарты и процессы, Управление бизнес-процессамиВ настоящее время сложность систем даже в относительно небольших компаниях достигла такого уровня, что поток сообщений может составлять несколько десятков в секунду. Анализировать их в ручном режиме невозможно. И тут на помощь приходят системы анализа и корреляции событий. Долгая дорога к SIEM В принципе системы обеспечения информационной безопасности, базировавшиеся на анализе поведения, существовали довольно давно. Еще в популярной в свое время книге самоучителе Фигурнова, по которой осваивали азы компьютерной грамотности первые поколения покорителей ПК, была описана антивирусная утилита anti4us, которая позволяла блокировать операции, характерные для вредоносного ПО. Напомню, первые издания этой книги выходили в конце 80 х годов прошлого века. Так что поведенческий, или, по другому, эвристический анализатор появился в антивирусных приложениях даже раньше, чем сигнатурный. Сейчас оба механизма используются совместно. Примерно тогда же, возможно, чуть раньше стали использовать и средства журналирования (или логирования) событий. Однако в массовых системах этот метод начал применяться уже в 90 е годы и быстро завоевал популярность как простой и надежный способ выявления всяческого рода неисправностей и не только их. Другое дело, что эти механизмы не всегда применялись, поскольку в ряде случаев логирование могло снижать производительность, причем довольно существенно. Особенно если речь шла о серверах баз данных и ПО, которое работало поверх них. Однако уже в конце 90 х ...
читать далее.
