Развертывание систем мониторинга, анализа и защиты сетевой инфраструктуры — это:
- централизованное управление событиями и инцидентами ИБ за счет единой системы управления;
- оперативное обнаружение, расследование и реагирование на инциденты, управление ими;
- рост эффективности управления рисками при сбоях и попытках атак;
- соответствие политике ИБ и нормативным требованиям.
На сегодняшний день среди систем мониторинга и управления информационной безопасностью существуют три наиболее популярные решения, которые собирают и анализируют события безопасности от различных приложений, операционных систем, сетевых устройств, телекоммуникационного оборудования и систем информационной безопасности:
- SEM (Security Event Management),
- SIM (Security Information Management),
- SIEM (Security Information and Event Management).
SEM-решения собирают и анализируют события информационной безопасности и записей в журналах аудита от телекоммуникационного оборудования, сетевых устройств, систем безопасности, а также от пользовательских и серверных приложений. Оповещения об инцидентах происходят практически в реальном времени.
SIM-решения собирают, анализируют и расследуют инциденты ИБ от пользовательских приложений, операционных систем, систем информационной безопасности, серверов приложений, баз данных, а также от сетевых и телекоммуникационных устройств. Кроме того, решения этого класса проводят анализ пользовательской активности и контролируют соблюдение требований по ИБ.
Наибольшей популярностью пользуются системы SIEM, которые сочетают в себе возможности SIM- и SEM-решений. SIEM-система:
- быстро распознает атаки и нарушения политики ИБ;
- соотносит в онлайн режиме события от разных устройств, выявляет инциденты ИБ, распределяет их по степени важности и автоматически на них реагирует;
- формирует базы знаний по инцидентам;
- проводит аудит и расследование инцидентов;
- оценивает уровень угроз для отдельных корпоративных ресурсов.