Информационная безопасность: существующие решения
- 04.04.2013 10:24
Практически все SIEM-решения, представленные на рынке, обеспечивают процессы мониторинга, обладают необходимой гибкостью и легко адаптируются к особенностям IT-инфраструктуры. Большинство решений реализуют и процедуру обработки инцидентов.
Следует заострить внимание на том, что без участия руководства компании и соответствующей нормативной базы эффективное функционирование процесса невозможно.
Как правило, SIEM-решения состоят из трех уровней:
Управляющая программа-интерфейс.
База данных событий ИБ.
Ядро системы, которое обрабатывает инциденты и взаимодействует с агентами, собирающими информацию от приложений и средств защиты.
Система мониторинга обычно выделенной инфраструктуры не имеет и разворачивается поверх имеющейся корпоративной сети. Программные агенты настраиваются на сбор и фильтрацию инцидентов, а сервер приложений, составляющий ядро системы, преобразует поступающую информацию в вид подходящий для анализа. Как правило, база данных сохраняет всю первичную информацию, собранную агентами, и результаты её анализа сервером.
Наиболее популярные на сегодняшний день SIEM-решения:
• Novell Sentinel
• CA Security Command Center
• GFI Events Manager
• Cisco MARS
• Arcsight ESM
• Checkpoint Smart Defence
• GFI Network Server
• GFI LANguard
• Symantec SIM
• NetForensics nFX
• IBM TSOManager
• Checkpoint Eventia.
Большинство систем работает с разнородной IT-инфраструктурой, поддерживает большое количество приложений и аппаратных устройств. Однако, есть определенные нюансы, о которых следует помнить при выборе подходящего решения. Все системы производят контроль соответствия ИБ зарубежному законодательству (при настройке систем локальные особенности могут учитываться) и международным стандартам: GLBA, SOX, COBIT, FISMA, ISO 17799, HIPAA, PCI. Cisco MARS – ориентирована на поддержку оборудования исключительно одного производителя – Cisco.
Данное ограничение делает невозможным использования системы в гетерогенной среде. По качеству и количеству предустановленных правил корреляции и оценок значимости событий система Symantec Security Information предпочтительнее большинству конкурирующих решений. Однако, это вовсе не означает, что IBM TSOM или NetForensics не подлежат настройке для обработки событий нужным образом.