Ганжур М.А., Акушуев Р.Т., Шатомиров И.С.
Донской государственный технический университет
ИНФОРМАЦИЯ О БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ СОБЫТИЯМИ
Аннотация
В данной работе рассматриваются вопросы, касающиеся безопасности и управления событиями. Преимущества и недостатки, а также принцип работы
Ключевые слова: информационная безопасность, безопасность событий, управление событиями, компьютерная безопасность.
Keywords: information security, event security, event management, computer security.
Несколько систем безопасности могут отчитываться перед централизованной системой управления информацией и событиями безопасности (SIEM), объединяя журналы и оповещения из нескольких разрозненных источников. Можно найти различные комбинации ссылок на аббревиатуру SIEM из-за эволюции возможностей и последующего разнообразия имен, прикрепленных к продуктам SIEM на протяжении многих лет, таких как “инцидент безопасности и управление событиями” или “инцидент безопасности и мониторинг событий.» Это все одно и то же—технология сбора, анализа и корреляции событий и предупреждений, генерируемых системами мониторинга.
Платформы SIEM принимают файлы журналов, находят общие черты (такие как типы атак и возникновение угроз) и суммируют результаты за определенный период времени. Например, все журналы и оповещения, брандмауэров, персональных брандмауэров, антивирусных сканеров и операционных систем могут быть связаны друг с другом. События из всех журналов затем собираются, анализируются и сообщаются из одного места. SIEMs предлагают максимальную корреляцию событий, предоставляя вам одно место, чтобы получить быстрый результат безопасности вашей системы или получить информацию о тенденциях. SIEMs также может координировать обновления сигнатур и продуктов.
SIEMs имеют огромное преимущество перед отдельными системами, потому что они имеют возможность собирать и анализировать множество различных источников информации, чтобы определить, что происходит на самом деле. В результате SIEM может значительно уменьшить ложные срабатывания, проверяя информацию на основе других данных. Эти данные поступают из многих источников, включая рабочие станции, серверы, вычислительную инфраструктуру, базы данных, приложения, сетевые SIEMs имеют огромное преимущество перед отдельными системами, потому что они имеют возможность собирать и анализировать множество различных источников информации, чтобы определить, что происходит на самом деле. В результате SIEM может значительно уменьшить ложные срабатывания, проверяя информацию на основе других данных. Эти данные поступают из многих источников, включая рабочие станции, серверы, вычислительную инфраструктуру, базы данных, приложения, сетевые устройства и системы безопасности. Поскольку все эти источники генерируют огромное количество данных в реальном времени, продукты SIEM должны быть быстрыми и эффективными, со значительным объемом памяти и вычислительной мощности.
Сегодняшние сетевые атаки часто бывают сложными-медленными, многогранными и скрытными. Злоумышленники используют множество методов, чтобы обойти меры безопасности. Медленные атаки могут распространять вредоносный сетевой трафик в течение нескольких дней, недель или даже месяцев, скрываясь внутри массивных потоков данных в любой сети. Многогранные атаки используют различные методы в надежде, что хотя бы одна из них увенчается успехом или что распределенный характер атак отвлечет внимание от источника. Скрытые атаки используют неясные или нестандартные аспекты сетевых технологий и протоколов, чтобы проскользнуть мимо традиционных возможностей мониторинга, которые были запрограммированы на основе предположения, что сетевой трафик всегда будет следовать обычным стандартам.
SIEM является одним из наиболее важных инструментов, используемых сотрудниками служб безопасности и мониторинга, поскольку он обеспечивает универсальную видимость во многих различных областях среды обработки информации и атак на эти области.
SIEM принимает все данные и принимает решения, поэтому администратор безопасности может сосредоточиться на наиболее важных предупреждениях. По этой причине корреляция событий является наиболее важной особенностью SIEM. Модуль корреляции каждого продукта является его наиболее отличительной особенностью. Чем лучше анализ, тем чище конечный результат. По сути, SIEM — это своего рода система искусственного интеллекта, работающая так же, как человеческий мозг, объединяя различные элементы, которые по отдельности могут быть не важны, но вместе образуют картину критической ситуации в области безопасности. SIEM делает это намного быстрее, чем любой человек, что дает администратору безопасности преимущество во времени, чтобы он мог быстро реагировать на атаки.
Анализ событий безопасности в реальном времени возможен только с помощью SIEM. Тысячи, или даже миллионы событий происходят каждую секунду в большинстве сетей. Ни один человек не может надеяться увидеть, усвоить и понять их все сразу. Для сравнения, судебные расследования, в которых следователь смотрит на несколько различных источников данных, чтобы решить, кто что сделал и когда, часто занимают недели интенсивных, целенаправленных усилий. Это слишком большой срок для эффективного ответа на атаку. Чтобы остановить атаку, требуется анализ в реальном времени.
Поскольку он собирает так много данных со всего предприятия, SIEM может сделать больше, чем предупреждение. Он может предоставить системным и сетевым администраторам расширенные возможности поиска, которые они не найдут ни на одной другой платформе. По этой причине SIEM представляет собой отличную общую платформу, которая может сделать работу каждого администратора проще и эффективнее. Таким образом, SIEM-это не только инструмент безопасности, но и ценный инструмент управления ИТ.
SIEM также может выполнять исторический и судебно-медицинский анализ на основе информации журнала, которую он собирает. В зависимости от того, сколько
памяти выделено SIEM, на борту или по сети, он может сохранять журналы и оповещения в течение достаточно длительного периода времени, чтобы он мог исследовать прошлые события. Исследователи безопасности могут копаться в журналах, чтобы узнать, что произошло в предыдущей ситуации, а системные администраторы могут просматривать прошлые события для устранения неполадок и оценки функциональных проблем.
Литература:
- Ю.Ф. Каторин., А.В. Разумовский, А.И. Спивак. Защита информации и техническими средствами — 2012г.
- Варлатая С.К. Аппаратно-программные средства и методы защиты информации 2007 г.