Системы управления событиями информационной безопасности

MaxPatrol SIEM

Инновационное решение класса SIEM для управления событиями и информацией ИБ с целью выявления инцидентов в режиме реального времени. MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации. MaxPatrol SIEM - ключевой элемент новой платформы средств безопасности Positive Technologies, в основе которой лежит построение полной модели инфраструктуры, сбор и анализ всей доступной информации об активах и событиях.

В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов. Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report). Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).

На практике эффективность работы SIEM-систем оказывается низкой и их использование многими компаниями не меняет тяжелую ситуацию с качеством и временем выявления инцидентов ИБ.

Основные причины низкой эффективности традиционных SIEM-систем:

  • Сложность внедрения и большие трудозатраты при эксплуатации. При внедрении сложно оценить трудоемкость и сроки окончания работ по интеграции системы с инфраструктурой заказчика и настройки механизмов выявления инцидентов ИБ. Трудоемкий процесс поддержания работоспособности SIEM и учета новых угроз продолжается и в ходе эксплуатации системы.
  • Отсутствие автоматизированной передачи экспертизы ИБ в продукт. Даже если производитель SIEM-системы имеет знания о новых угрозах и сценариях атак, он может поделиться ими только в ручном режиме — через специализированные форумы или рассылку бюллетеней.
  • Большое запаздывание в учете изменений инфраструктуры. Каждый день в IT-инфраструктурах крупных компаний происходят конфигурационные изменения, но существующие средства ИБ адаптируются к изменениям с большой задержкой, так как процесс учета этих изменений слабо автоматизирован.

 

Подробнее
ПТ Ведомственный центр

«ПТ Ведомственный центр» — система управления инцидентами (IRP), построенная в соответствии с методическими рекомендациями по созданию центров ГосСОПКА. В основе «ПТ Ведомственный центр» — автоматизация и управление знаниями, которые позволяют выстроить процесс реагирования для достижения определенных регулятором целей. С помощью системы осуществляется:

  • сбор данных об инцидентах;
  • регистрация инцидентов путем создания заявок на их обработку (карточек инцидентов) как в ручном, так и в автоматическом режиме;
  • реагирование на инциденты (координация действий, определение причин, локализация инцидента, планирование мер по ликвидации последствий, контроль ликвидации последствий);
  • обмен данными об инцидентах с главным центром ГосСОПКА;
  • применение методических рекомендаций главного центра ГосСОПКА в процессе мониторинга информационной безопасности.
Подробнее
ViPNet TIAS

ViPNet TIAS (Threat Intelligence Analytics System) — программно-аппаратный комплекс предназначенный для автоматического выявления инцидентов на основе анализа событий информационной безопасности. 

На десятки тысяч событий регистрируемых сенсорами обнаружения вторжений приходятся единицы реальных инцидентов информационной безопасности. 

ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет действительно значимые угрозы, являющиеся инцидентами информационной безопасности. 

Автоматическое выявление инцидентов информационной безопасности в ViPNet TIAS строится на основе комбинирования двух методов: 

  • Сигнатурный метод анализа, основанный на использовании метаправил выявления инцидентов.
  • Математическая модель принятия решений, разработанная на основе статистического анализа угроз с использованием методов машинного обучения.

База метаправил и математическая модель принятия решений разрабатывается и обновляется экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак — Threat Intelligence.

Сценарии использования 

  • Системы обнаружения вторжений ViPNet IDS сетевого и хостового уровня генерируют события информационной безопасности.
  • ViPNet TIAS автоматически собирает информацию о событиях с подключенных к нему сенсоров ViPNet IDS и серверов ViPNet IDS HS.
  • ViPNet TIAS анализирует события с помощью обученной математической модели и метаправил.
  • В результате анализа одно или несколько нежелательных, или неожиданных событий, предполагающих высокую вероятность нарушения работы сети или представляющих угрозу для безопасности, определяются как инцидент информационной безопасности.
  • При обнаружении инцидентов ViPNet TIAS регистрирует данный факт, определяет зависимые события, обогащает их информацией с дополнительных источников и генерирует рекомендации по устранению последствий;
  • ViPNet TIAS с помощью веб-интерфейса и по электронной почте оповещает о произошедшем инциденте.
  • Специалист по информационной безопасности расследует инциденты, устраняет причины и последствия их возникновения в сети.
Подробнее
[x]
Оставить запрос

Имя

Номер телефона

Электронная почта

Комментарий

Нажимая кнопку «Отправить», вы соглашаетесь с нашей политикой конфиденциальности.