Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Cистема мониторинга, анализа и корреляции событий ИБ (SIEM)

    Угрозы
    • Более 200 различных семейств вредоносного ПО, используемого для целенаправленных атак (APT).
    • Более 1100 постоянно работающих центров управления вредоносным ПО.
    • Около 20000 постоянно работающих доменов, используемых для распространения вредоносного ПО.
    • Фрагментация и диверсификация атак APT-групп.
    Цели создания системы SIEM
    • Сокращение времени реагирования и повышение вероятности выявления инцидентов ИБ.
    • Возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям.
    • Снижение потерь в результате реализации рисков ИБ.
    • Внедрение процессов управления инцидентами.
    Задачи, которые решает система
    • Оперативное обнаружение, реагирование и контроль обработки инцидентов ИБ.
    • Возможность оперативного контроля состояния ИБ для высшего руководства компании.
    • Создание единого центра мониторинга ИБ компании.
    • Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления инцидентами ИБ.
    • Мониторинг соответствия отраслевым стандартам: PCI DSS, IT Governance, NERC CIP и другим.

    Постоянно увеличивающиеся и обновляемые возможности злоумышленников для проведения целенаправленных атак на информационные ресурсы компаний, отсутствие гарантированной защиты от современных методов ведения таких атак выводят на первый план:

    • оперативность обнаружения проникновения в корпоративную сеть компании и выявление атак на ранних стадиях их проведения;
    • возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям;
    • возможность быстрого адекватного реагирования по результатам расследования инцидентов.

    Проблема заключается в том, что объём событий, регистрируемых оборудованием и программным обеспечением корпоративной сети за сутки, может превышать несколько миллионов. Неавтоматизированные методы анализа таких объёмов событий невозможны — с большой вероятностью можно сказать, что часть критичных событий будет пропущена, а на часть инцидентов реакции не будет. Не обладая системой мониторинга, анализа и корреляции событий ИБ, многие компании очень часто узнают о взломе их систем слишком поздно, когда прямой или косвенный ущерб бизнесу уже нанесён.

    Компания ЭЛВИС-ПЛЮС предлагает эффективное решение проблемы оперативного обнаружения инцидентов информационной безопасности и обеспечения централизованного сбора и анализа событий ИБ. Предлагаемая Система мониторинга, анализа и корреляции событий ИБ создается на основе продуктов одного из производителей – мировых лидеров в сегменте средств управления информацией и событиями ИБ (SIEM – Security Information and Event Management) по оценке Gartner – McAfee, IBM QRadar, HPE ArcSight или отечественного продукта MaxPatrol SIEM.

    ЭЛВИС-ПЛЮС имеет многолетний успешный опыт проектирования и внедрения Системы в таких организациях как Главный Центр Связи ЦБ России, ФГУП ГНИВЦ ФНС России, ФСК ЕЭС, СО ЕЭС и др.

    Ключевые возможности SIEM-системы
    • Оперативный сбор событий ИБ из различных источников корпоративной сети: ОС, СУБД, IPS, FW/VPN, средств антивирусной защиты и других средств обеспечения ИБ.
    • Возможность сбора событий с любых новых источников без привлечения производителя.
    • Преобразование различных событий к единому формату (нормализация), анализ событий от различных источников во временном интервале (корреляция).
    • Доступ ко всем журналам регистрации событий ИБ через единую консоль.
    • Обнаружение инцидентов ИБ в режиме реального времени и инструменты для их расследования.
    • Гибкое масштабирование и возможности по расширению функциональности системы в соответствии с потребностями бизнеса.
    Архитектура и основные функции системы на примере продуктов HPE ArcSight и McAfee SIEM
     

    Для решения задач соответствия требованиям российского законодательства, а также соответствия российским и/или международным стандартам компания ЭЛВИС-ПЛЮС может предложить реализацию Системы в части требуемых функций по сбору и длительному хранению событий ИБ на базе решений класса Log Management, являющихся составной частью решений класса SIEM.


     

    На уровне сбора осуществляется сбор и первичная обработка событий ИБ от устройств, а также обеспечивается гарантированная доставка событий на уровень ядра Системы.

    На уровне ядра выполняется анализ полученных событий в режиме близком к реальному времени, их хранение, а также уведомление о нарушении политик ИБ и выявленных инцидентах.

    Уровень управления предусматривает использование интерфейсов администрирования на рабочих станциях технического персонала и их руководителей для управления, мониторинга, анализа событий ИБ и получения отчётности.

    Преимущества от внедрения SIEM
    • Ускорение реакции на критичные для бизнеса инциденты информационной безопасности, сокращение срока их расследования, как следствие — уменьшение финансовых потерь, повышение конкурентоспособности и имиджа компании.
    • Снижение затрат на управление и мониторинг средств ИБ
    • Повышение эффективности работы подразделения ИБ компании.