BIS Journal: SIEM в финансовой сфере
Статья Андрея Бирюкова, АМТ-ГРУП
Обеспечение защитных мер в финансовых организациях, как правило, связано с серьезными расходами, на что в наше кризисное время готовы пойти далеко не все заказчики. Однако, иногда у заказчиков уже имеются все нужные средства, необходимо лишь их настроить. Поговорим об одном из таких средств.
SIEM И ДРУГИЕ СРЕДСТВА ЗАЩИТЫ
Системы обеспечения ИБ состоят из различных компонентов, обеспечивающих защиту информационных ресурсов как на сетевом, так и на прикладном уровнях, защищающих как от внутренних, так и от внешних угроз. При этом все эти сложные и дорогие средства могут работать гораздо более эффективно, если информация об обнаруженных ими инцидентах будет централизованно собираться и обрабатываться. Так, например, атаки на внутреннюю инфраструктуру банка можно своевременно обнаружить, если сопоставлять события от сетевых средств безопасности, сканеров уязвимостей и антивирусных систем. Также подозрительные действия в онлайн банкинге можно обнаруживать при помощи корреляции и анализа событий от платежных систем.
Для централизованного сбора и обработки событий ИБ используются решения класса SIEM (Security Information and Event Management). Данные комплексы осуществляют сбор, нормализацию (то есть разбиение по значащим полям), хранение и корреляцию информации о событиях. Наиболее распространенными решениями класса SIEM на рынке являются HP ArcSight, IBM QRadar, MaxPatrol SIEM и другие. Данные продукты, как правило, представляют собой программные или программно-аппаратные комплексы, собирающие события со всех критичных элементов инфраструктуры и средств защиты. Совокупная стоимость их внедрения даже для средних организаций исчисляется десятками миллионов рублей, что делает проблематичным внедрение подобных систем “с нуля”. Также здесь следует отметить, что существуют решения, предназначенные только для сбора и хранения событий и не осуществляющие их корреляцию. Обычно их используют для соответствия нормативным требованиям. Они не являются SIEM и в дальнейшем в статье не рассматриваются.
Ссылка на оригинал: https://ib-bank.ru/bisjournal/post/525