Средства централизованного управления информационной безопасностью
Компании «Энвижн Груп», системный интегратор и поставщик ИТ-решений, Positive Technologies, разработчик систем комплексного мониторинга ИБ, и ArcSight, разработчик средств мониторинга событий ИБ, провели технический семинар «Подходы к построению систем централизованного управления информационной безопасностью. Методики, решения, опыт реализации». На семинаре было рассказано о решениях для комплексного управления информационной безопасностью крупных компаний на основе Security Operations Center (SOC) – инновационной методологии для консолидации и централизованного управления гетерогенными системами информационной безопасности.
Тема SOC обсуждается еще с 2003 г., когда были разработаны первые простейшие системы для сбора и корреляций событий, однако только сегодня появилась реальная необходимость в их внедрении. Это обусловлено развитием ИТ и ростом угроз в области информационной безопасности. Ответное внедрение разнообразных средств защиты и аудита требует вести мониторинг огромного числа событий и проводить расследование возникающих инцидентов, что сегодня уже невозможно без центров управления информационной безопасностью.
В докладах на семинаре речь, в частности, шла о преимуществах централизованного управления системами информационной безопасностью, которые дает решение ArcSight ESM Enterprise Security Manager, обеспечивающее сбор, обработку и хранение гетерогенных событий безопасности, генерируемых практически любой информационной системой. Благодаря применению SOC уменьшается время реакции на инциденты информационной безопасности; как следствие, снижается ущерб от инцидента, снижается вероятность возникновения инцидентов ИБ, существенно уменьшается трудоемкость обработки событий ИБ.
Классическое построение системы управления ИБ влечет за собой обработку огромного количества поступающих событий при увеличении количества ложных срабатываний и росте объема хранимых данных. В результате уровень ИБ снижается, так как каждый администратор может контролировать не более четырех функциональных систем, так что практически все события, кроме наиболее критичных, остаются незамеченными. SOC реализует единый мониторинг всех событий безопасности корпоративной информационной системы, на 70% сокращая трудозатраты на анализ событий ИБ, уменьшает время реакции на инциденты ИБ с нескольких суток до десятков минут и дает возможность специалистам по ИБ сосредоточиться на действительно важных проблемах.
В процессе внедрения решения возникает естественный вопрос – строить свой центр управления или передать на аутсорсинге? Каждая из моделей имеет свои достоинства и недостатки, но в «Энвижн Груп» считают, что с учетом российской специфики необходимо строить собственный SOC, особенно если компании требуется высокий уровень обеспечения ИБ.
Важно отметить, что с появлением SOC в организации неизбежно меняются требования к персоналу, так как появляются новые роли, связанные с функцией контроля вопросов ИБ, а перед администраторами прикладных систем встают качественно новые задачи по фиксации и эскалации инцидентов.
На семинаре также обсуждались новшества и достоинства решения для контроля защищенности MaxPatrol компании Positive Technologies. Система контроля защищенности уже давно перестала быть просто набором сканеров уровня сети и приложений; в рамках концепции SOC система MaxPatrol решает важнейшие задачи инвентаризации ресурсов, контроля изменений, соответствия техническим нормам регулирования и т. д.
Представитель компании ArcSight представил на семинаре новый архитектурный подход в решении задач, возложенных на SOC, и показал новые возможности системы управления инцидентами безопасности ArcSight ESM. Управление учетными записями пользователей реализовано в ней на основе модуля ArcSight IdentityView. Решение не имеет аналогов на отечественном рынке и позволяет в ряде случаев отказаться от внедрения полнофункциональных систем класса Identity Management.