SIEM СИСТЕМА КАК ИНСТРУМЕНТ РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

SIEM SYSTEM AS A TOOL FOR INVESTIGATING INFORMATION SECURITY INCIDENTS

Evgeniy Boldyrev

student, Department of Information Systems and Technologies, Northern (Arctic) Federal University named after M.V. Lomonosov,

Russia​, Arkhangelsk

АННОТАЦИЯ

Многие компании до сих пор пренебрежительно относятся к обеспечению информационной безопасности, они убеждены, что их информация полностью защищена. Тем не менее, с развитием информационных технологий появляются новые уязвимости в операционных системах и программном обеспечении, которые активно используют злоумышленники для проведения различного рода атак, приводящих, в свою очередь, к нанесению непоправимого ущерба для компании.

Для выявления, анализа и предотвращения инцидентов информационной безопасности существуют различные средства защиты, такие как: CASB (Cloud access security broker), DLP (Data Leak Prevention), EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management) и др. В данной статье речь пойдет о SIEM системах и о необходимости их применения специалистами информационной безопасности.

ABSTRACT

Many companies are still dismissive of ensuring information security, they are convinced that their information is completely protected.  Nevertheless, with the development of technology, new vulnerabilities appear in operating systems and software that are actively used by cybercriminals to carry out various kinds of attacks, which in turn lead to irreparable damage to the company.

Various means of protection exist for identifying, analyzing and preventing information security incidents, such as: CASB (Cloud access security broker), DLP (Data Leak Prevention), EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management), etc.  This article will focus on SIEM systems and the need for their application by information security specialists.

Ключевые слова: информационная безопасность, SIEM системы, инциденты, анализ данных, утечка.

Keywords: information security, SIEM system, incidents, data analysis, data breach.

SIEM (Security Information and Event Management) сочетает в себе две технологий:

а) SIM (управление информацией о безопасности) – собирает и хранит различные события от информационных систем для их последующего анализа;

б) SEM (управление событиями безопасности) – осуществляет мониторинг систем в режиме реального времени, уведомляет специалистов информационной безопасности о важных проблемах, которые выявляются при корреляции данных на основе различных правил (триггеры, условия, счетчики).

Из определения становится понятно, что SIEM система не может напрямую остановить атаку. Так для чего же необходима эта система.

В первую очередь, SIEM система представляет из себя большую доказательную базу. Она консолидирует множество событий от различных источников, находящихся в локальной сети компании, например, серверы, операционные системы, брандмауэры, антивирусное программное обеспечение, системы предотвращения вторжений и др. В случае возникновения ситуации, когда необходимо доказать причастность конкретного человека, либо понять причину возникновения инцидента ИБ, достаточно выстроить цепочку условий для реконструкции серии событий, по которым можно понять, была ли атака успешной или нет.

Зачастую, в крупных компаниях источниками различных событий могут быть десятки систем, которые генерирую сотни тысяч событий, что приводит к необходимости автоматизации обработки больших объемов данных. SIEM система позволяет производить фильтрацию, классификацию, агрегацию и корреляцию событий, а также генерацию отчетов и предупреждений в режиме реального времени, тем самым, повышая эффективность обработки инцидентов, экономя время и ресурсы специалистов ИБ.

Более эффективная обработка инцидентов в конечном итоге ускоряет локализацию инцидентов, тем самым уменьшая степень ущерба.

Таким образом, SIEM система является мощным инструментом специалиста информационной безопасности.

Список литературы:

1. Шаханова М.В. Современные технологии информационной безопасности. М.: Проспект, 2017. – 216 с.