В апреле на РусКрипто я делал
доклад о глобальных системах обнаружения и предотвращения вторжения. Тогда, в контексте появления 31-го Указа Президента о национальной системе обнаружение, предотвращения и реагирования на атаки, эта тема была актуальна. Сейчас эта тема становится очень модной и в области корпоративной ИБ. Как собирать информацию с разрозненных источников информации, анализировать ее, коррелировать и представлять в виде, понятном бизнесу.
Для этой задачи можно использовать системы мониторинга различных событий:
|
Консоль управления Cisco Cyber Threat Defense |
|
Консоль управления Cisco ISE |
Но такие системы дают хоть и важную, но все-таки низкоуровневую информацию об эффективности каких-то технологических процессов (контроль доступа, неуспешные попытки аутентификации, инвентаризация подключаемых к сети узлов, число атак или утечек информации и т.п.). Это важно, но ничего не говорит о том, насколько это связано с задачами предприятия в целом и службы ИБ в частности. Тут нужна система немного иного масштаба, которая бы могла показывать информацию не только технологическую, но и о состоянии процессов ИБ, оргмерах, уровне зрелости и т.д. Как например, делается на некоторых критически важных объектах в отношении инцидентов с физической/контртеррористической защищенностью.
|
Система AlertEnterprise |
Можно ли для этой задачи настроить SIEM? Теоретически, при наличии мощного API для написания коннекторов... Можно. Но все-таки задача SIEM - немного иная. Она собирает и анализирует технологическую информацию. Нужны решения по бизнес-аналитике, заточенные под ИБ. Есть ли такие системы? Да, есть. Причем как отечественной разработки, так и зарубежной. Я не буду подробно рассматривать каждую из них (все-таки это сугубо индивидуальная тема и каждый вкладывает в такую систему свой взгляд, свой опыт и свое понимание эффективности ИБ). Я просто приведу список, который вы сможете проанализировать уже сами:
Правильное использование таких Security BI систем позволит собрать все данные от разнородных систем и процессов на единой платформе и работать с ними уже по своему усмотрению. После внедрения в такие решения можно даже загнать то, что сложно автоматизировать - оценку процессов повышения осведомленности, проведение регулярных встреч с руководством, сравнение разных отделов с точки зрения ИБ и т.п.
Правда, надо заметить, что внедрение таких систем - это уже из разряда высшего пилотажа. Ведь это даже не SIEM, которая требует наличие установленных везде источников данных в виде МСЭ, IPS, антивирусов, сканеров безопасности. Это система будет покруче, т.к. помимо данных от SIEM (или напрямую от сенсоров средств защиты) она получает и другие, "процессные" и "организационные" данные. А значит, что процессы должны быть выстроены или, как минимум, начато их построение.
ЗЫ. Кстати, у BitSight есть интересная услуга/продукт - BitSight SecurityRating, которая позволяет сравнивать схожие компании по уровню ИБ. В свое время такая услуга (Security Benchmarking) была у KPMG и если не вдаваться в суть идеи (она на самом деле не так уж и реализуема), то многие руководители хотят знать, как они соотносятся с другими аналогичными компаниями и конкурентами. По сути, это самая высшая метрика, когда компании сравниваются друг с другом (выше может быть только сравнение государств, но до этого пока никто не додумался).
|
Портал BitSight SecurityRating |