В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Сейчас SOC на основе SIEM-продуктов помогает компаниям решать ряд ключевых задач:
Однако угрозы и атаки с каждым годом становятся все более сложными и зачастую направленными против определенной группы организаций (например, СМИ) или же конкретной компании. Очевидно, что подобные целенаправленные противоправные действия совершаются подготовленными людьми, имеющими определенную квалификацию, и поэтому их чрезвычайно сложно обнаружить стандартными средствами защиты (антивирус, IPS). Для выявления подобных действий нужен максимально возможный объем данных для анализа и в идеальном варианте необходимо анализировать не только логи, но и весь трафик с целью выявления аномальной активности и определения степени ущерба. То есть для получения достоверной картины происходящего в Сети в настоящее время уже недостаточно одних только лог-файлов с устройств и приложений.
Новые SIEM-системы, собирающие и анализирующие значительно большее количество информации, позволяют расширить получение данных в следующих областях:
Решить существующие проблемы призвано новое поколение SIEM-систем, использующих технологии глубокого анализа пакетов (Deep Packet Inspection) и работающих с Big data - информацией, на несколько порядков превышающей анализируемые и хранимые в настоящее время объемы, а также более разнообразной и более динамичной по сравнению с данными, собираемыми на текущий момент. Данные системы позволяют осуществлять полную запись всех пакетов в сети, что в сочетании с логами и другими источниками данных позволяет осуществлять более глубокий анализ. Новый подход при поиске аномалий и инцидентов в таких системах можно выразить так: последовательно удалять сено из стога (хорошо известные факторы) до тех пор, пока не останутся одни иголки (негативные факторы).
Новые SIEM-системы, собирающие и анализирующие значительно большее количество информации, позволяют расширить получение данных в следующих областях:
Добавление функционала захвата пакетов и восстановления сессий в следующем поколении SIEM-решений имеет важное значение для аналитиков, поскольку позволяет перейти на совершенно новый уровень изучения и приоритезации угроз. К примеру, традиционные SIEM-системы могут сообщить аналитику, что у некоего компьютера было зафиксировано соединение с сервером злоумышленника, но они не смогут ответить на вопрос, что было при этом передано. Захват пакетов и воспроизведение сессий в сочетании со сбором лог-файлов может дать аналитикам понимание того, что было обнаружено и скомпрометировано злоумышленником. В качестве конкретного примера новой SIEM-системы можно привести продукт Security Analytics компании RSA (ЕМС).
Специалисты компании "Открытые Технологии" отмечают, что SOC, построенный на традиционных SIEM-системах, продолжает оставаться эффективным средством обнаружения аномалий по конкретным правилам, установленным сотрудниками ИБ. Однако на смену им постепенно начинают приходить новые поколения SIEM-решений, оперирующие значительно большими объемами информации, что позволяет аналитикам найти угрозы и аномалии, о которых они даже не подозревали.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013