Корзина
2 отзыва
Работаем по безналичному расчету
+375298610033
+375
29
861-00-33
+375
29
318-41-38
Доступные IT Технологии
Системы безопасности SIEM и DLP

Системы безопасности SIEM и DLP

Услуга

Цену уточняйте

Написать
Системы безопасности SIEM и DLP
Системы безопасности SIEM и DLP Услуга
Написать
  • +375 показать номер +375 (29) 861-00-33 услуги и оборудование
  • +375 (29) 318-41-38 услуги
  • +375 показать номер +375 (29) 861-00-33 услуги и оборудование
  • +375 (29) 318-41-38 услуги
  • Адрес и контакты
    • Телефон:
      +375 (29) 861-00-33, услуги и оборудование
      +375 (29) 318-41-38, услуги
    • Контактное лицо:
      Дмитрий
    • Адрес:
      ул. железнодорожная 27\2 301, Минск, Беларусь
    • Email:
      admin@itg.by
    • Skype:
      it-guards.com;

DLP-система (от англ. Data Leak Prevention – предотвращение утечки данных) представляет собой комплексный программный продукт, цель которого – предотвратить кражу, изменение и распространение конфиденциальной информации. Принцип работы DLP-систем заключается в анализе всего трафика, который находится в пределах защищаемой корпоративной сети. Внедрение DLP-системы помогает контролировать входящие и исходящие потоки данных и блокировать попытки несанкционированной передачи важных корпоративных данных.

DLP работает по принципу data-centric security. Он подразумевает не защиту серверов, программного обеспечения или сетей, а контроль безопасности данных, которые обрабатываются в системе.

Согласно этому принципу, все потоки информации разделяют на три категории:

Data-in-use – вся информация, с которой работают пользователи (создание и редактирование документов, медиа-контента).

Data-at-rest –информация, которая статично хранится на конечных устройствах пользователей и в местах общего доступа.

Data-in-motion – данные в процессе движения, передаваемые информационные потоки (транзакции, информация об авторизации, запросы «сервер-клиент» и другие).

Для обеспечения максимально возможной защиты информации в процессе внедрения DLP следует выполнять все рекомендации и использовать сразу несколько блоков защиты. Это позволит создать экономически выгодный, рабочий защитный контур. Внедрение DLP-системы должно выполняться поэтапно от подготовки до проектирования и настройки компонентов для работы под нагрузкой в компании.

SIEM – Security Information and Event Management

Системы мониторинга и управления информационной безопасностью

Задача SIEM — анализировать информацию, поступающую от различных систем, таких как антивирусы, DLP, IDS,  маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент. То есть, среди множества записей в системных журналах SIEM-решение обнаруживает следы неких подозрительных действий. Немаловажно, что с ее помощью можно выявить действия, которые внешне выглядят вполне безобидными, но в совокупности представляют угрозу.

1234

Исторически, технология SIEM получилась из слияния 2-х направлений

  • SIM – Управление информацией безопасности
  • SEM – Управление событиями безопасности

SIM – Управление информацией безопасности

Занимается сбором, хранением и анализом данных (взятых из журналов). Составляет отчеты по соответствию нормативным требованиям.

SEM – Управление событиями безопасности

Мониторит события безопасности в реальном времени, выявляет и реагирует на инциденты безопасности.

Основные функции SIEM-систем:

  • Сбор и объединение данных
  • Централизованное хранение журналов
  • Интеллектуальный анализ данных (Корреляция событий)
  • Оповещение об инцидентах
  • Оценка соответствия AC требованиям стандартов и регламентов

Компоненты SIEM-систем

  • Хранилища журналов
  • Сенсоры
  • Центр управления SIEM

От кого SIEM получает информацию?

Access Control, Authentication.

Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.

DLP-системы.

Сведения о попытках инсайдерских утечек, нарушении прав доступа.

IDS/IPS-системы.

Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.

Антивирусные приложения.

Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.

Журналы событий серверов и рабочих станций.

Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

Межсетевые экраны.

Сведения об атаках, вредоносном ПО и прочем.

Сетевое активное оборудование.

Используется для контроля доступа, учета сетевого трафика.

Сканеры уязвимостей.

Данные об инвентаризации активов, сервисов, ПО, уязвимостей, поставка инвентаризационных данных и топологической структуры.

Системы инвентаризации и asset-management.

Поставляют данные для контроля активов в инфраструктуре и выявления новых.

Системы веб-фильтрации.

Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Основные протоколы и интерфейсы для сбора событий:

  • Syslog and Syslog-ng
  • SNMPv2 and SNMPv3
  • Opsec
  • HTTP, HTTPS
  • SQL, ODBC
  • WMI, WBEM (CIM)
  • FTP, SFTP
  • Socket Unix
  • Plain log
  • SSH
  • Rsync
  • Samba
  • NFS
  • SDEE, RDEP
  • OPSEC, CPMI

Что может делать SIEM система:

  1. Анализировать события и создавать инциденты при каких-то аномалиях: сетевого трафика, действиях пользователя, появлению неопознанных устройств и т.д.
  2. Проверка на соответствие международным стандартам. (PCI DSS, COBIT и т.д.)
  3. Мониторить события от устройств, серверов, критически важных систем используя внешние источники информации (методы как пассивного, так и активного анализа)
  4. Собирать доказательную базу по инцидентам
  5. Создание подробных отчетов

В среднем, компания без SIEM системы выглядит так:

1й2ц3у

 

 

А так выглядит компания с SIEM-системой:

у3ц2й1

 

Ключевые характеристики современных SIEM-систем:

  • Масштабируемость и гибкость развертывания
  • Сбор событий в реальном времени
  • Нормализация и категорирование событий
  • Мониторинг в реальном времени
  • Профилировка поведения
  • Расследование угроз
  • Управление журналами и отчёты по соответствию требованиям
  • Аналитика
  • Поддержка управления инцидентами
  • Мониторинг доступа к данным и активности пользователей
  • Мониторинг приложений
  • Простота развертывания и поддержки

Основные этапы внедрения SIEM:

  1. Обследовать инфраструктуру и выбрать способ внедрения (все события обрабатываются в одном месте, или будет распараллеливание?).
  2. Формируем и утверждаем ТЗ.
  3. Разрабатываем руководства администраторов и руководство пользователя.
  4. Устанавливаем и подготавливаем сервер SIEM (интеграция железки, её прописка в сети).
  5. Настройка источников событий. (настраиваем источники на отправку событий SIEM).
  6. Пишем правила реагирования на события. (на данном этапе себя покажут плохо настроенные источники)
  7. Тестовая эксплуатация и накопление статистики. (Один из самых важных этапов)
  8. Корректировка и написание дополнительных правил. (Обучение SIEM)
  9. Завершение тестирования.
  10. Перевод SIEM в полную боевую готовность.

Нужно понимать, что внедрение SIEM – это не дело 1-й недели. В среднем, правильное внедрение SIEM занимает от 6 месяцев.

Преимущества от SIEM ощутимы через 4-6 месяцев его работы в боевом режиме.

Основные вопросы, на которые вы должны дать себе ответ перед внедрением:

  1. Какие повседневные задачи планируете решать с помощью SIEM?
  2. Какое у вас общее число пользователей и сетевых элементов?
  3. Есть ли у вас филиалы, удаленные офисы, события которых нужно учитывать?
  4. Какие системы информационной безопасности у вас есть?
  5. Планируете ли вы анализировать сетевые потоки? (sFlow, netFlow)
  6. Есть ли в вашей инфраструктуре спец. устройства, события которых нужно учитывать?
  7. Как часто происходят инциденты, которые вам необходимо расследовать?
  8. Необходимо ли вас соответствовать каким-либо международным стандартам?

Кому нужен SIEM  в первую очередь?

  • Банковская сфера
  • Крупные предприятия
  • Географически распределенные предприятия

Основные игроки рынка SIEM:

  • HP (ArcSight)
  • IBM (Qradar)
  • McAfee (NitroSecurity)
  • RSA, EMC (envision, NetWitness)
  • LogRhythm
  • Novell (NetIQ)
  • CorreLog
  • SolarWinds (Log and Event Manager)
  • Splunk
  • Symantec (SSIM, SEP)
  • Trustwave SIEM OE
  • Цена: Цену уточняйте
Отзывы об услуге
Добавить отзыв

Отзывов пока нет, будьте первыми!