В настоящее время компаниями и предприятиями всё чаще поднимается вопрос об информационной безопасности [1]. Большой оборот оборудования и серверов в корпоративном секторе заставляет мошенников внедрять все более современные технологии для хищения данных с серверов. Например, компания может б у сервера купить у третьей организации. Но там на эти сервера был вирус (троян). Таким образом вирус попадает в новую сеть и злоумышленник получает доступ к данным новой компании. Для предотвращения такого деяния существует множество способов. Одним из основных способов защиты и информационной безопасности организации является обеспечение централизованной защиты всех устройств и серверов корпоративной сети от различных угроз: вирусов, вредоносных программ, атаки киберпреступников, фишинга и др. [2]
С задачей безопасности данных рядовых пользователей, в целом успешно справляются ведущие компании-производители антивирусов. Для бизнес-сектора существуют системы для операционного и интеллектуального анализа – DLP системы (англ. Data Leak Prevention) или системы предотвращения утечек информации, которые в совокупности с антивирусами обеспечивают целостный контроль всей корпоративной сети [3]. Основными возможностями таких систем являются: полный контроль предотвращение и отслеживание различного рода угроз [4], а также ведение логов каждого события, происходящего в системе, куда входит информация о каждом действии пользователя.
Для своевременного реагирования на инциденты безопасности необходимо иметь возможность отслеживать любые угрозы безопасности в реальном времени. Это открывает возможность другим производителям разрабатывать системы комплексного анализа угроз информационной безопасности. Существует целый класс подобных систем, который носит название SIEM (Security information and event management) [5]. Данная область анализирует события безопасности, которые отправляются всеми сетевыми устройствами и программами в режиме онлайн. Один из лидеров среди решений для такого анализа является программный продукт Splunk. Данное решение применимо для нахождения и ликвидации неполадок в IT-отрасли, мониторинга и анализа проблем в системе, предупреждения вредоносных атак, оптимизации работы предприятия и повышения производительности [6].
Например, в среду Splunk можно подгрузить систему доступа в помещения и проводить дальнейший мониторинг логов перемещения персонала или подключить Google-аналитику и посмотреть сколько было подключений на сайт и проверить зависимость с публикацией какого-либо материала на предмет последующих атак на сайт. Современные DLP-системы, в свою очередь, не могут решать таких задач, за неимением возможности адаптировать приложение под нужды компаний.
Операционные системы, приложения и сетевые устройства генерируют текстовые сообщения о событиях (так называемые лог-файлы), которые происходят с ними: пользователь входит в систему, создается файл какой-либо, сетевое соединение открывается для удаленного хоста и т.д.
Лог-файлы – это файлы, которые содержат в себе информацию о всех регистрируемых событиях, записанные хронологическом порядке, по заранее определенным правилам. Ценность таких журналов событий заключается в том, что по ним можно отслеживать разного рода сбои и ошибки в системе, понять причины их появления, а также ликвидировать источники формирования таких событий для недопущения повторных ошибок.
Исходя из этих данных можно также выявлять какой пользователь и на каком компьютере пытается запустить подозрительный файл, на каких машинах установлены обновления баз антивируса, на каких нет и т. д.
SIEM системы анализируют события безопасности, которые отправляются всеми сетевыми устройствами и программами в режиме реального времени. То есть SIEM предназначен для сбора данных – лог-файлов воедино, и последующей их обработки, анализа, мониторинга и управления. Также стоит отметить, что SIEM системы с каждым годом выходят на передовые позиции в связи с двумя очень важными свойствами – централизация и виртуализация. Такие системы могут централизовать вокруг себя терабайты информации с абсолютно разных источников и управлять ею, а также предлагают доступные решения в виртуальном облачном пространстве.
С каждым годом рынок SIEM-систем неуклонно растет в условиях экспоненциального роста информации, но такая тенденция началась лишь в последние годы, когда стандартные программы с большими объёмами данных перестали справляться.
Стоит понимать, что SIEM системы бессмысленно использовать как средство борьбы с вирусами и атаками, они не способны сами решать инциденты в области ИБ. Они в первую очередь должны работать вкупе с DLP –системами, IPS/IDS системами, антивирусами, журналами событий и другими.
Список использованных источников:
- Трофимов В.В., Трофимова Л.А., Минаков В.Ф., Барабанова М.И., Макарчук Т.А., Лобанов О.С. Единое информационное пространство взаимодействия субъектов научной и инновационной деятельности. Монография. – СПб, изд-во СПбГЭУ. – 103 с.
- Лаборатория Касперского: Об угрозах ИБ [Электронный ресурс] http://www.kaspersky.ru/internet-security-center/threats/riskware (дата обращения: 24.04.2018)
- Балашов П. А. Разработка структуры системы службы безопасности предприятия – [Электронный ресурс] http://pandia.ru/text/77/164/7240.php (дата обращения: 24.04.2018)
- Vacca John R. Computer and Information Security. — Waltham : Elsevier, 2013.
- Шабуров А. С., Борисов В. И. Разработка модели защиты информации корпоративной сети на основе внедрения SIEM-системы //Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. – 2016. – №. 19. – С. 111-124.
- Malik S. Network Security Principles and Practices. – Indianapolis, USA : Cisco Press, 2012.
Автор: Холодов Владислав Вячеславович, Санкт-Петербургский государственный экономический университет, Программа «Прикладная информатика в экономике и управлении»,