Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматизация хаоса»
1. ПРЕДПОСЫЛКИ К ВНЕДРЕНИЮ
SIEM
SIEM в банковской сфере: попытка автоматизировать хаос?
Писаренко И.В.
Начальник Отдела методологии и контроля
Управления информационной безопасности
Департамента безопасности ВТБ 24 (ПАО)
к.т.н., доцент
2. Security Information and Event Management
Термин «SIEM» (Security Information and Event Management) появился в 2005 г.,
как симбиоз решений двух классов:
3. Современные SIEM-системы представляют собой мощный
инструмент защиты информации, позволяющий выявлять:
целевые атаки (APT)
сетевые атаки во внутреннем и внешнем периметрах
вирусные эпидемии или отдельные вирусные заражения,
неудаленные вирусы, бэкдоры и трояны
попытки несанкционированного доступа к
конфиденциальной информации
фрод и мошенничество
ошибки и сбои в работе информационных систем
уязвимости
ошибки конфигураций в средствах защиты и
информационных системах
попытки несанкционированного управления привилегиями
пользователей и служб
другие виды атак
4. SIEM-системы обеспечивают сбор, корреляцию, хранение и
анализ событий ИБ, поступающих из разных источников в
корпоративной сети
5. «Сложности» SIEM-систем:
SIEM-система – очень большая и сложная система,
требует глубоких знаний в области ИБ и ИТ (квалификация
специалиста по ИБ), знания инфраструктуры организации.
SIEM-система – «живая» и гибкая система,
с ней необходимо постоянно работать, обновлять существующие и
писать новые правила корреляции событий ИБ, подключать новые
источники событий ИБ (целое направление деятельности)
SIEM-система – достаточно дорогая система,
эффект от ее внедрения, возможно, проявляется не сразу (финансовые
вопросы)
Нужна ли SIEM-система для данной организации?
«Доросла» ли до нее служба ИБ?
6. Сложность ИТ-структуры организации и потребность в сборе
и обработке значительного количества событий ИБ для
выявления инцидентов ИБ
Автоматизация процесса обработки значительных объемов
поступающих из различных источников событий ИБ,
избавление от монотонной и рутинной работы, к тому же с
большой вероятностью пропуска важной информации
Построение центра управления информационной
безопасностью (SOC) на основе SIEM-системы
Централизация процесса управления ИБ, необходимость
хранить в одном месте всю информацию, иметь возможность
оперативного доступа к ней для анализа и реагирования на
инциденты ИБ
Усложнение инцидентов информационной безопасности
(скрытность, распределенность, целевая направленность)
Предпосылки использования SIEM-
систем
7. Дополнительный функционал современных SIEM-систем,
позволяющий расширить сферу ее использования (управление
рисками ИБ, оценка угроз ИБ)
Визуализация процесса управления инцидентами ИБ,
построение отчетов, предоставление необходимой
информации, сбор и анализ статистики по инцидентам ИБ
«Активность» службы ИБ, желание развивать систему
обеспечения ИБ
Соответствие требованиям регуляторов в области ИБ (PCI
DSS, ISO 27002 и т.п.)
Финансовая «возможность» организации в закупке SIEM-
системы
Предпосылки использования SIEM-
систем