22.06.2017  Экспертиза, Безопасность

Среднее по миру время обнаружения проникновений в корпоративную ИКТ-инфраструктуру, по оценкам, озвученным архитектором решений информационной безопасности компании НРЕ Евгением Афониным, составляет сегодня 243 дня. При этом каждую секунду компания средних размеров регистрирует примерно 8-12 тыс. ИБ-событий. Эти данные получены на базе пользователей SIEM-инструмента ArcSight; скорее всего, аналогичные инструменты управления ИБ и событиями ИБ (SIEM) выявляют такое же количество событий. Для адекватного реагирования на характеризующиеся такими показателями изменения ландшафта киберугроз нужно автоматизировать и централизовать сбор, корреляцию и желательно даже анализ (с помощью разработанных правил) ИБ-событий. В этих целях уже около двадцати лет применяются системы SIEM. Наиболее часто российскими пользователями инструментов SIEM, как сообщил Евгений Афонин, применяются готовые (разработанные вендорами) правила и отчеты, связанные с корреляцией событий в платформе Windows, в сетевом трафике, контролируемом протоколом NetFlow, связанные с контролем соответствия стандарту PCI DSS, а в последнее время также с контролем выполнения требований стандарта NERC CIP, относящегося к ИБ инфраструктуры энергоснабжения. Следующим за внедрением и эксплуатацией систем SIEM логическим этапом повышения киберзащищенности для компаний является этап построения собственного центра мониторинга и реагирования на ИБ-инциденты (SOC), или обращение за услугами SOC к внешним провайдерам соответствующих ... читать далее.