Різноманітний характер бізнес-процесів сучасних підприємств та необхідність реагувати на виклики їхньої безпеки вимагають створення системи захисту в реальному часі. Для комплексного захисту від можливих загроз необхідно використовувати низку різних засобів безпеки, включаючи міжмережеві екрани, антивіруси, системи захисту від спаму, системи виявлення атак, сканери безпеки, засоби захисту від витоку конфіденційної інформації та інше. Однак із зростанням кількості засобів захисту значно збільшується обсяг інформації, яку повинен обробляти ІТ-спеціаліст для прийняття рішення. Це, в свою чергу, призводить до збільшення часу, який витрачається на аналіз всієї інформації, яка надходить з різних джерел, включаючи різні засоби захисту, для прийняття належних рішень щодо реагування на виявлені атаки. Це також призводить до збільшення часу, який оператор повинен витрачати на аналіз усієї інформації, отриманої від різних засобів захисту для прийняття належних рішень щодо реагування на виявлені атаки.

Ми пропонуємо:

Проектування та впровадження систем SIEM. Для підвищення ефективності прийняття рішень щодо реагування на події, пов'язані з порушенням безпеки, рекомендується використовувати спеціалізовані системи моніторингу, які можуть автоматизувати процес збору та аналізу інформації, яка надходить від різних засобів захисту. В західній термінології такі системи моніторингу позначаються аббревіатурою SIEM (Security Information and Event Management).

Технологія функціонування сучасних систем SIEM передбачає розподіл процесу обробки подій безпеки на шість основних етапів: фільтрація, агрегація, нормалізація, збір, кореляція та візуалізація. Під час фільтрації система видаляє події, які не мають прямого відношення до забезпечення інформаційної безпеки.

Агрегація дозволяє видаляти повторюються події, які описують один і той самий інцидент.

Фільтрація та агрегація суттєво зменшують обсяг інформації, який обробляє система моніторингу (при правильному плануванні обсяг інформації може зменшуватися в 5-10 разів).

Під час етапу нормалізації події приводяться до єдиного формату повідомлень. Потім нормалізовані події з різних систем та агентів передаються в єдину централізовану систему зберігання подій. Зібрані повідомлення потім обробляються за допомогою механізмів кореляції, заснованих на статистичних методах, а також правилах побудови експертної системи. Нарешті, SIEM-система надає отримані результати на централізовану консоль, що працює в режимі реального часу.

SIEM дозволяє адміністраторам забезпечити фокус на реальних загрозах, дозволяючи їм оперативно реагувати на загрози безпеки мережі.

Крім роботи з звітною інформацією, сучасні SIEM-системи дозволяють проводити інвентаризацію мережевих активів, визначати вразливості мережевих активів та керувати процесом усунення виявлених вразливостей, визначати рівень загрози та можливі ризики. Ці можливості перетворюють SIEM-системи в єдину консоль контролю кібербезпеки, яка дозволяє не лише фіксувати різні кіберінциденти, але і визначати причини їх виникнення, можливі рішення та хто буде усувати загрози.

Наші проекти:

Компанія ДП «ЕС ЕНД ТІ УКРАЇНА» успішно реалізувала ряд проектів в цій області, включаючи «Райффайзен Банк Аваль» та «ПРАВЭКС-БАНК».

Наші партнери:

Рішення від ДП «ЕС ЕНД ТІ УКРАЇНА» базуються на продуктах таких виробників, як ArcSight (HP), Symantec, IBM, Alien Vault, GFI.