СЕГМЕНТЫ РЫНКА ИКТ
АНАЛИТИКА
ИНФОЦЕНТР
|
|
Главная > Журнальный рубрикатор >
Дело >
Инцидентами безопасности надо управлять
Дело
|
| |
Инцидентами безопасности надо управлять |
16 июня 2009
Авторы:
|
![]() |
|
ИКС № 6 2009 стр. 65
|
Рейтинг:
2.00
Оценить материал >>>
Комментировать материал >>>
|
| Рубрики:
Рубежи обороны, ИТ
|
| |
| С развитием корпоративных сетей возрастает количество используемых систем, устройств и приложений, что в свою очередь делает сеть более уязвимой и повышает вероятность осуществления атак. Ущерб компании может быть нанесен вирусами, червями, кражей интеллектуальной собственности и конфиденциальных данных и т.д. Как в этих условиях правильно идентифицировать инциденты и обезопасить свою сеть от внешних и внутренних злоумышленников?
|
 Инциденты информационной безопасности
Вот уже несколько лет Институт компьютерной безопасности США – CSI проводит ежегодные исследования, посвященные информационной безопасности и компьютерным инцидентам.
Как показали результаты опроса-2008, в прошлом году от инцидентов ИБ пострадала почти половина респондентов (43%). Однако к этой цифре следует относиться с определенной долей скепсиса, поскольку можно предположить, что не все произошедшие инциденты были обнаружены и зафиксированы, т.е. на самом деле процент опрошенных, пострадавших от инцидентов, явно выше.
В вопросе о типах инцидентов ИБ, зафиксированных компаниями, первую позицию заняли вирусы (50%), которые вернули себе лидерство, утраченное в 2007 г., когда на первое место вышли инсайдерские злоупотребления. Далее в списке расположились соответственно инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти данные говорят о том, что одной из основных причин возникновения инцидентов является человеческий фактор и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.
В 2007 г. в исследовании CSI появился вопрос о количестве направленных атак, т.е. атак, целенаправленно совершаемых на заранее выбранную организацию. Как показали результаты опроса, в 2008 г. 27% респондентов подверглись хотя бы одной направленной атаке. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.
В рамках исследования респондентами был оценен ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на одного респондента составили $288 618. Цифра впечатляет. А значит, необходимо быть готовым к тому, что инциденты безопасности могут затронуть и вашу организацию.
Проблемы и задачи организации
Управление событиями. С увеличением в сети количества данных, поступающих из различных источников, значительно усложняется процесс их анализа. Специалисты, отвечающие за мониторинг и реагирование на инциденты, сталкиваются с проблемой правильной и своевременной идентификации инцидентов из того огромного потока информации, которая попадает на их консоли.
Также ИТ- и ИБ-специалисты должны следить за тем, чтобы вся ИТ-инфраструктура и используемые механизмы работы соответствовали корпоративным требованиям и требованиям регуляторов. Большинство организаций уже внедрили и используют широкий спектр различных средств безопасности, меры контроля, системы мониторинга и оповещения об инцидентах. Но все эти системы и устройства зачастую выполняют только свои, узкие, задачи и не могут дать полную информацию о происходящем в сети компании.
Обработка информации. Специалисты, занимающиеся мониторингом и реагированием на инциденты, должны наблюдать за всеми событиями, поступающими от межсетевых экранов, сетевых устройств, серверов, приложений, систем мониторинга и физического доступа. Все эти источники генерируют важную информацию, позволяющую составить общую картину безопасности.
Но так как каждый источник может ежедневно генерировать сотни и даже тысячи страниц логов, сотрудники, отвечающие за реагирование на инциденты, зачастую не имеют возможности быстро проанализировать и часть того, что поступает им на консоль. Просмотр всех логов вручную занимает много времени, а время, как известно, исчисляется деньгами, которые теряет компания из-за инцидента. Поэтому быстрая реакция здесь жизненно необходима. Нередко эти проблемы усугубляются нехваткой нужных специалистов.
Единая точка контроля. Каждый источник событий генерирует данные в своем формате. С расширением сети и типов устройств в ней становится очень сложно получить реальную картину происходящего. Аналитики вынуждены использовать различные инструменты и консоли для мониторинга событий в разрезе всей организации. Для того чтобы принять решение о необходимом действии по реагированию на какой-то конкретный инцидент, аналитику приходится просмотреть дюжину различных консолей и определить, что именно затрагивает каждое отдельное событие. Такая сложность и отсутствие интегрированности приводят к тому, что организация не может ответить на ключевые вопросы, с которыми она сталкивается каждый день и которые касаются определения того, кто или что пытается внедриться в ее сеть и приложения, и понять, какое влияние на бизнес оказывают эти вторжения.
Системы управления инцидентами
Эффективный мониторинг практически невозможен без интеллектуальных и автоматизированных инструментов, позволяющих консолидировать, анализировать и коррелировать события в разрезе инфраструктуры организации для снижения рисков и демонстрации соответствия обязательным требованиям регуляторов.
Для эффективного функционирования системы управления инцидентами информационной безопасности очень важно на стадии ее внедрения обеспечить ряд ключевых факторов. В первую очередь система управления должна быть снабжена входящим потоком событий информационной безопасности, адекватно отражающих состояние безопасности активов в рамках выбранной области действия. При выявлении инцидента и реагировании на него понадобятся данные о задействованных активах, их владельцах и степени критичности. При расследовании инцидентов потребуется доступ к событиям информационной безопасности, повлиявшим на инцидент, таким, например, как данные аудита действий пользователей и администраторов. При анализе инцидентов и предоставлении отчетности необходимо иметь возможность сопоставить активы, подвергшиеся воздействию в результате инцидента, чтобы определить риски для основных бизнес-процессов компании.
Основой для управления инцидентами может стать система сбора, обработки и хранения событий информационной безопасности. Она позволяет собирать данные со всех источников событий, приводить их к единому формату, осуществлять обработку путем определения уровня критичности того или иного события, а также связывать события, зафиксированные различными источниками (корреляция), выявляя и формируя информацию об инцидентах безопасности. Таким образом, перед оператором, работающим с системой, предстает полная картина происходящего в сети, позволяющая ему контролировать общий уровень безопасности, осуществлять анализ и расследования, а также принимать адекватные решения по реагированию на инциденты.
Подобные системы наделены возможностью рассылки оповещений о выявленных проблемах тем, кто в рамках должностных инструкций отвечает за работу с ними. Важной составляющей является и отчетность, которая позволяет отразить по различным срезам состояние безопасности тех или иных активов, проиллюстрировать определенные тренды и предоставить обобщенный материал по различным показателям.
На сегодняшний день многие стандарты и лучшие практики имеют раздел, посвященный управлению инцидентами безопасности. Но реальность, к сожалению, такова, что большинство организаций испытывают серьезные затруднения с внедрением этого процесса. Дело в том, что он схож с процессами управления непрерывностью бизнеса и восстановления его после аварий и характеризуется тем, что должен проистекать и поддерживаться постоянно. А это задача не из легких. Однако практика показывает, что процесс управления инцидентами неизбежен. И подготовиться к нему лучше заранее: при возникновении незнакомой проблемы, требующей быстрого и правильного разрешения, велика вероятность, что из-за незнания и непонимания того, кто и что должен делать, будет потеряно драгоценное время и компании может быть нанесен серьезный ущерб.
|
|
|
Оценить материал  |
Комментировать материал 
|
См. также:
DLP: куда утекают данные
Мониторинг безопасности из облака
Взаимность драйверов
Заметки реалиста
Защита в облаках – дело тонкое
Киберзащите требуется консолидация
Бои невидимого фронта
Безопасность по стандарту
Борьба с мошенничеством – этично или неэтично?
Технологические сети операторов. Посторонним вход воспрещен или Добро пожаловать?
|
Связанные компании:
Информзащита
|
Связанные персоны:
Наталья ЗОСИМОВСКАЯ
|
|
|
ОСНОВНЫЕ ТЕМЫ
|
|
| Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| |
1 |
2 |
3 |
4 |
5 |
6 |
| 7 |
8 |
9 |
10 |
11 |
12 |
13 |
| 14 |
15 |
16 |
17 |
18 |
19 |
20 |
| 21 |
22 |
23 |
24 |
25 |
26 |
27 |
| 28 |
29 |
30 |
31 |
|
|
|
|
|
Все о Телекоме, ИТ, Медиа
