Блог

SIEM: кому, зачем и как?

Валерий Васильев
26.07.2016 12:04:30
Теги: SIEM

Недавний опрос издания Information Security magazine показал, что его 78% участников (из разряда ИТ- и ИБ-специалистов средних и крупных по североамериканским нормам компаний) планируют в ближайших год обзавестись системами SIEM.

Системы управления информацией и событиями безопасности (SIEM) предназначены для нормализации ИБ-логов разрозненных информационных и ИБ-систем и отдельных устройств, с тем чтобы максимально быстро обнаруживать корреляции между ними и адекватно реагировать на выявленные ИБ-события.

Инструментарий SIEM, выстроенный в систему, обязательно должен включать постоянную поддержку со стороны ИБ-персонала, суть которой сводится к обновлению данных и настроек. Однако, это является проблемой для большинства компаний, особенно с учетом использования облачных технологий и виртуализации. Даже крупным компаниям трудно без внешней поддержки со стороны специализированных ИБ-компаний поддерживать в актуальном состоянии, например, черные и белые списки IP и URL адресов.

Среди новых технологий, которые востребованы в SIEM, выделяют анализ больших данных, распознавание угроз (threat intelligence) и машинное обучение (machine learning). Именно их реализацию ищут заказчики, впервые внедряющие SIEM, и недовольные первыми внедрениями.

Основными драйверами, побуждающими компании приобретать инструменты SIEM, как показал опрос, являются потребность в анализе в реальном времени тревожных сообщений и безопасности данных (71%), более быстрое реагирование на угрозы и атаки (49%), соответствие требованиям регуляторов (48%) и повышение операционной эффективности компании (43%).
Из этих данных опроса можно сделать вывод, что первоначальный драйвер внедрения SIEM сместился с соответствия регулятивным требованиям на реальную защиту от современных угроз, среди которых прежде всего называются таргетированные атаки. Так, в июльском отчете компании Gartner утверждается, что 92% компаний не в состоянии сегодня детектировать взломы на ранних стадиях, а именно таргетированные атаки отличаются высокой скрытностью.

Интересно, что 78% опрошенных предполагают развертывать системы SIEM внутри компаний, 33% планируют использовать услуги провайдеров управляемых ИБ-услуг (MSSP) и 27% (!) будут полагаться на облачные Software as a Service. Именно вот этим 27% в системах SIEM важен функционал реального времени, чтобы мониторить виртуальные и облачные среды, хотя, как показал опрос, о потребности в таком функционале заявило несколько больше участников 36% - по-видимому, в расчете на рассматриваемые облачные перспективы.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

05.08.2016 12:09:07

Интерес компаний к внедрению SIEM-решений в своих информационных системах связан в первую очередь с практической необходимостью организовать и поддерживать действительно эффективную систему управления информационной безопасностью. Быстро разрастающийся парк различных средств доступа к корпоративным ресурсам, рост числа разнотипных средств защиты, высокий уровень территориальной распределенности элементов корпоративных ИС — все это приводит к постоянному росту потока поступающих событий информационной безопасности, требующих оперативного анализа и реагирования. Причем в условия беспрецедентного расширения номенклатуры услуг, предоставляемых через Интернет, такие информационные системы все чаще превращаются в объект пристального внимания злоумышленников.

Складывается странная ситуация: чем больше средств защиты внедряет организация, тем труднее ей своевременно и комплексно осмыслить поступающую от них информацию. Данных становится больше, а степень их использования фактически сокращается. Сегодня становится просто невозможно без применения специальных технических средств самостоятельно провести анализ и категорирование по степени критичности огромного числа регистрируемых событий ИБ, а уж тем более — провести ретроспективный анализ или выявлять паттерны событий в режиме реального времени. А это создает идеальные условия для успешной реализации различного рода атак, в особенности APT-атак. Именно нацеленность на решение указанных проблем мотивирует компании все больше обращать внимание на современные SIEM-решения.

Однако и в этом сегменте, как это уже не раз бывало при решении других задач ИБ и ИТ, сами по себе технические средства могут создавать у организации ложное чувство защищенности, если не отлажены регламенты и процессы, связывающие новые технические средства с компетенциями специалистов. Учитывая новизну и высокую сложность постоянного просеивания потока событий и выявления ложных срабатываний и истинных случаев атак, становится ясно, что по-настоящему эффективные SIEM-решения потребуют участия специализированных аутсорсинговых компаний, которые создадут своего рода ситуационные центры для комплексного анализа событий ИБ или пойдут еще дальше, превратив работу своих специалистов в таких центрах в коммерческую услугу.

Интересно

Статьи

Сказки о безопасности: Троян из техподдержки
Иоганн очень не любил зиму. И не потому что было холодно. Чаще всего температура держалась около нуля …

Кибербезопасность-2017: старые и новые проблемы
2017-й оказался еще одним трудным годом с точки зрения кибербезопасности. Достоянием общественности стали …

Сказки о безопасности: Инсайдерское ограбление
— Потапыч, сможете помочь? — Что случилось? — Нам нужна ваша консультация. У нас в банке …

Сказки о безопасности: Автомобильный медиа-центр
Погода этой зимой была какой-то странной. На улице снег сменялся дождем, постоянно за окном висели тучи …

Сказки о безопасности: Для определения местоположения можно обойтись без геолокации
Вчера была вьюга, а сегодня как в насмешку над понедельником утро выдалось солнечным. Так не хотелось …

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Насколько неанонимными будут теперь мессенджеры?
Еще одно законодательное новшество 2018 года – введение "запрета на анонимность мессенджеров". Именн ...

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

 

Панорама

PoE коммутаторы TP-Link
PoE-коммутаторы от TP-Link предназначены специально для работы по стандартам PoE (802.3af) или PoE+ (802.3at) для подачи питания различным устройствам.
Canon открывает перед партнерами новые горизонты и возможности
В начале осени компания Canon провела в Москве традиционную партнерскую конференцию. Двухдневное мероприятие было …
На пути к “умному” хранилищу
Вопрос хранения данных для современного бизнеса уже давно является одним из основных. Подробно об этой …

Интересно

 

Создание сайта - студия iMake
© 2018 АО «СК ПРЕСС».
Политика конфиденциальности персональных данных, информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.