BIS Journal №1(12)/2014

13 мая, 2014

ИБ-аналитика: когда возможностей больше, чем задач

Сегодня часто говорится о том, что в банках внедрено множество разнородных средств защиты, «выдающих» большие объемы информации, а их своевременные обработка и анализ практически невозможны (особенно при повсеместном дефиците специалистов в ИБ-подразделениях). И в данном случае само собой напрашивается использование системы, которая сможет объединить данные от имеющихся средств защиты.

 

Часто в качестве такого инструмента рассматривают SIEM-системы. И действительно, они позволяют собирать информацию о событиях ИБ с разных источников, агрегировать и коррелировать их. Но достаточно ли этого? В точности ли этот инструмент необходим? И только ли с его помощью можно обработать большой объем разнородных данных от средств защиты?

И ЦЕЛОГО SIEM`а МАЛО...

Подробное рассмотрение задач, с которыми сталкиваются подразделения ИБ, показывает, что некоторые из них действительно требуют анализа данных, поступающих от имеющихся средств защиты, но носят более глобальный характер, чем анализ технических событий ИБ, обеспечиваемый SIEM-системами.

В крупных территориально распределенных структурах часто отсутствует централизованный контроль ИБ в удаленных офисах. Иногда в головных и филиальных офисах различаются и системы обеспечения ИБ (например, используются разные антивирусы), что усложняет задачу централизации контроля ИБ. Обычно ее решают посредством отчетов, регулярно направляемых филиалами в головной офис. При этом их полнота и достоверность иногда может вызывать вопросы, а сам подход связан с весомыми трудозатратами. Например, в крупном банке на подготовку еженедельных отчетов о состоянии ИБ в центральном офисе и 10 филиалах, только у одного специалиста ИБ центрального офиса, собирающего воедино все отчеты от филиалов, может уходить 6–7 часов (и это без учета трудозатрат в филиалах).

Еще один вариант столь же трудоемкой и сложной задачи – подготовка для службы внутреннего контроля различных отчетов по специфическим формам о выполнении требований по ИБ. Кроме того, никто не отменяет идею демонстрации руководству эффективности процессов обеспечения ИБ (и подразделения ИБ в целом). К сожалению, зачастую значения технических показателей и динамика их изменения не прозрачны для бизнес-руководства и требуют повторного «перелопачивания» данных и «изобретения» критериев анализа и отчетов, «понятных» топ-менеджменту.

Очевидно, что для решения перечисленных задач SIEM-решения, оперирующего глубоко технической информацией о событиях ИБ, недостаточно. А «перевод» данных, полученных от SIEM, в общечеловеческие категории связан с дополнительными ресурсозатратами на их анализ.

НОВАЯ АНАЛИТИКА – НОВЫЙ ВЗГЛЯД НА ИБ

Полноценно решать задачи подразделения ИБ может высокоуровневая аналитическая система, не являющаяся в полном смысле «технической» и оперирующей конкретными событиями ИБ или уязвимостями на серверах. Эта система – некий ситуационный центр, позволяющий быстро оценить состояние ИБ, его динамику, эффективность тех или иных мероприятий, выявить узкие места в части ИБ, скорректировать оперативные задачи подразделения ИБ и вектор развития ИБ в целом. Не углубляясь при этом в технические детали.

Она поистине формирует новое видение ИБ: ее пользователями могут быть и специалисты ИБ, и представители бизнеса (не столь глубоко понимающие специфику ИБ), а функционал позволяет в максимально наглядной форме, в рамках «единого окна» видеть актуальное состояние дел в сфере ИБ с желаемым уровнем детализации. И это не требует постоянного анализа многочисленных событий ИБ, формирования регулярных отчетов о работе систем безопасности или «ручного» поиска дополнительной информации из других источников.

В качестве такой системы мы используем в своих проектах продукт собственной разработки – Jet inView Security – систему, позволяющую в рамках одного интерфейса почти мгновенно «спускаться» от высокоуровневых данных на более низкий уровень (вплоть до перехода в консоли систем-источников). Этот продукт сочетает в себе функционал Business Intelligence и Data Mining и позволяет оперативно и с минимальными трудозатратами аккумулировать и анализировать информацию из разных подсистем ИБ и бизнес-систем с последующими ее преобразованием и подачей в виде аналитических панелей различного уровня детализации.

ИЛЛЮСТРАЦИЯ 1. Аналитика в интерфейсе Jet inView Security

ПОВОРОТ ЛИЦОМ К БИЗНЕСУ

Как уже говорилось, сфера ИБ далеко не всегда прозрачна для топ-менеджмента и это сопряжено с рядом проблем. Например, бизнес не всегда досконально понимает куда уходят затраченные на ИБ деньги и какой эффект они дают. Руководители подразделений ИБ, в свою очередь, сталкиваются со сложностями при демонстрации отдачи от деятельности ИБ, эффекта от вложенных в нее средств.

Это обуславливает актуальность создания иерархии показателей результативности и эффективности ИБ (от бизнес-метрик, до технических показателей), позволяющих количественно и качественно оценить ожидаемые результаты от применения мер по защите информации и определить степень соответствия внедряемых и уже внедренных процессов ожиданиям компании. Jet inView Security автоматически рассчитывает значения метрик по поступающим от подсистем ИБ данным, позволяет выявить реальные и потенциальные недостатки в обеспечении ИБ, своевременно принять меры по устранению их причин.

При возникновении инцидентов ИБ система позволяет оперативно собрать и сопоставить информацию из не связанных между собой источников, провести поведенческий анализ работы не только систем, но и пользователей. Например, – произошла утечка информации? Нужно быстро посмотреть, кто, когда и куда отсылал по почте или сохранял на флешку файлы с критичной информацией, с кем эти люди общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю и т.д.). Jet inView Security позволяет делать это за считанные секунды.

И подобных примеров применения системы может быть масса. Например, можно оценить эффективность работы сотрудников, получив ответы на такие вопросы, как «сколько времени они проводят в интернете?», «на сколько опаздывают на работу?» и т.п. При этом единственное ограничение по получению данных – наличие источников, из которых можно взять интересующую информацию.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.11.2024
Правкомиссия одобрила проект поправок о налогообложении криптотранзакций
12.11.2024
Хакер сёрфит на утечке. Волновой эффект инцидента MOVEit Transfer всё ещё силён
11.11.2024
Расходы на российские софт и хард зачтут с двойным коэффициентом
11.11.2024
Минцифры (не) меняет правила. Как поправки играют сразу в обе стороны
11.11.2024
RED Security: ИБ стала обязательным элементом устойчивого развития бизнеса
11.11.2024
Консорциум для исследований безопасности ИИ-технологий принял сразу четыре новые организации
11.11.2024
Русы и персы. Первая стадия интеграции «Мир» и Shetab запущена
11.11.2024
Этика vs. деньги. Должны ли «белые шляпы» выбирать
08.11.2024
В Совфеде прошёл круглый стол на тему страхования киберрисков при утечке ПДн
08.11.2024
Сняться ли австралийцам бенгалы? ВПО атакует кошатников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных