Использование SIEM системы как метод обеспечения информационной безопасности финансовых учреждений

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Использование SIEM системы как метод обеспечения информационной безопасности финансовых учреждений

сетевой безопасность информационный финансовый

П.Ф. Гошка

Учреждение образования «Белорусская государственная академия связи»

Минск, 220114, Беларусь

В связи с развитием цифровой экономики и активным использованием информационных технологий во всех сферах государства, обеспечение информационной безопасности является одно из наиболее актуальных проблем. Особенно остро проблему информационной безопасности ощущают финансовые учреждения, поскольку они в большей степени подвержены атакам. Утеря конфиденциальной информации финансовых учреждений приводит к их финансовым и репутационным потерям.

По данным исследования уровня информационной безопасности, которое проводилось экспертами «СёрчИнформ»:

- 38% компаний столкнулись с утечками конфиденциальных данных, 28% организаций смогли пресечь утерю данных;

- 46% данных пытались украсть рядовые сотрудники, 17% руководители, 8% бухгалтера, экономисты и секретари, 7% системные администраторы, и только 5% внешние злоумышленники;

- инструменты, которые используют чаще всего: 82% антивирусные программы, 66% брандмауэр, 52% Proxy-сервер, 50% Служба каталогов (Active Directory), 28% DLP система, 15% IDS/IPS, 7% SIEM система. [1]

Системы обеспечения информационной безопасности должны обеспечивать защиту информации как на сетевом, так и на прикладном уровнях, которые защищают как от внутренних, так и от внешних угроз [2]. Большинство систем безопасности работают отдельно друг от друга, без возможности обмениваться событиями информационной безопасности. При этом все средства информационной безопасности могут работать гораздо более эффективно, если информация об обнаруженных ими инцидентах будет централизованно собираться и обрабатываться [2].

SIEM система обеспечивает централизованный сбор и анализ событий информационной безопасности, поступающих из различных систем, таких как DLP системы, антивирус, IDS системы, сетевого оборудования, в зависимости от того с какими системами безопасности SIEM интегрирована. Так, например, подозрительные действия в интернет-банкинге можно обнаружить путем анализа и корреляции событий, поступающих от платежных систем.

Рассмотрим простой пример, как SIEM-система, интегрированная с другими системами безопасности, реагирует на инциденты информационной безопасности, которые в последующем могут привести к утере конфиденциальной информации:

- служба каталогов передаёт в SIEM систему: вход в учетную запись администратора в нерабочее время;

- DLP система передаёт в SIEM систему: пересылка логина и пароля учетной записи;

- служба каталогов передаёт в SIEM систему: авторизация в системе с неизвестной рабочей станции;

- DLP система передаёт в SIEM систему: попытка пересылки большого числа писем и баз данных. [3]

Проанализировав данные события информационной безопасности можно сделать вывод, что администратор дает либо больше прав пользователю, либо данные чужой учетной записи, и можно сделать заключение о сговоре администратора и сотрудника.

Зачастую внедрение SIEM системы не доводится до конца, и тем самым заявленные цели не достигаются за год и более с момента внедрения. Это связанно с тем, что большинство финансовых учреждений недооценивают важность и объем планирования перед внедрением, не осознают, что включение логов безопасности значительно увеличивает нагрузку на сервер, а также недооценивают ресурсы, необходимые для функционирования SIEM-системы [4].

Таким образом для успешного внедрения SIEM системы необходимо оценить масштаб, так как это служит основой для планирования, развертывания SIEM системы, также нужно быть готовым, что с момента внедрения до получения конечной цели может пройти не один месяц, а даже год. Не стоит перегружать внедряемую систему попыткой изначально поместить в SIEM всё что есть, избыточное количество логов, может привести к сложным операционным и архитектурным изменениям, которые могут быть непосильны. Важнейшую роль играет также подбор квалифицированных кадров, так как система требует постоянную настройку и обслуживание для правильного реагирования на изменения угроз.

В случае правильного внедрения SIEM системы и корректного интегрирования со всеми системами безопасности, финансовое учреждение получает централизованную базу событий информационной безопасности, которые анализируются и коррелируются, что может обеспечить обнаружение атаки на информационную систему еще на этапе её подготовки, а также появляется возможность более детально изучать действия сотрудников в информационной сети, с целью предотвращения утечки конфиденциальной информации.

Размещено на Allbest.ru