НовостиСобытияКонференцииФорумыIT@Work
Идеи и практики автоматизации:

Блог

Отлавливаем сноуденов

Сергей Бобровский
24.07.2013 12:22:25
Теги: SIEM

Какие SIEM-продукты сегодня помогут своевременно выявить инсайдера в своей структуре?

В развитие темы Security Information Event Management.
По версии Gartner, лидеры на SIEM рынке сегодня таковы: HP/ArcSight, IBM/Q1 Labs, McAfee/Nitro Security и EMC-RSA/Netwitness. Около них компании Quest Software, Novell, Symantec, NetIQ, Tripwire, LogRhythm, Red Lambda, Trustwave, Sensage и Splunk.

9 июля LogRhythm сообщила о внедрении её патентованной платформы SIEM 2.0 Big Data Security Analytics в юридической фирме Blank Rome LLP, обслуживающей компании из Fortune 500, и будет ежедневно анализировать десятки млн. записей в логах.

16 июля HP представила расширение линейки ArcSight средствами защищённой аналитики Больших данных и технологиями мониторинга и поиска «подозрительных» событий. Такие системы помогли бы своевременно отловить Сноудена например smile:) Они отлично подходят для нахождения сотрудников-«предателей», злоумышленников, любых лиц, планирующих нехорошие действия через корпоративную сеть -- с помощью ArcSight Threat Detector 2.0 и облачного HP ArcSight Threat Response Manager.

В этот же день, что показательно в плане уровня конкуренции на данном рынке, Trustwave сообщила об успешном проекте защиты крупнейшего медицинского фонда Великобритании Southern Health NHS Foundation Trust. Система будет контролировать деятельность 9 тысяч сотрудников в 150 английских городах. Интересно, что в Англии действует т.н. правительственный экстранет, и подключение компаний к нему должно происходить по нормативам безопасности и приватности Good Practice Guide 13, а в Евросоюзе они регулируются через EU Data Protection Law.

Из инновационных SIEM-продуктов надо упомянуть MLSecProject, в котором активно используются технологии машинного обучения, он будет на днях официально представлен на хакерской конференции Black Hat 2013.
Этот продукт оказался столь хорошим, что его даже отметил eWeek smile:)
http://www.eweek.com/security/researcher-proposes-using-machine-learning-to-improve-network-defense

Любителям же не обращаться к услугам специально обученных специалистов, а тратить кучу собственного (видимо, не слишком дорогого))) времени на изучение и внедрение, порекомендую опенсорсную SIEM-систему OS SIM (The Open Source SIEM) http://sourceforge.net/projects/os-sim/

Она развивается уже десять лет и представляет собой весьма зрелое решение.


Комментариев: 2

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

26.07.2013 00:54:02

А что, DLP-система InfoWatch Traffic Monitor Enterprise (комплексное модульное решение по защите информации от внутренних угроз, которое позволяет контролировать основные каналы утечки информации) к SIEM-продуктам не относится и "отлавливанию Сноуденов" не способствует?

26.07.2013 11:37:06

Отлавливанию сноуденов способствует, но к SIEM не относится. DLP более узкий/технологичный подход, решающий конкретные задачки, а SIEM подразумевает не столько защиту, сколько "комплексное" управление политиками безопасности в целом, включая и DLP-системы.

InfoWatch Traffic Monitor Enterprise кстати подходит для работы в рамках SIEM не очень хорошо, потому что у нее нету API к внешним системам, в отличии от многих других DLP-решений.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии