Заказать звонок
Войти
Логин
Пароль
Зарегистрироваться
После регистрации на сайте вам будет доступно отслеживание состояния заказов, личный кабинет и другие новые возможности
Логин
Пароль
Зарегистрироваться
После регистрации на сайте вам будет доступно отслеживание состояния заказов, личный кабинет и другие новые возможности

Технологии ИБ

Технологии ИБ

Каталог
Останутся ли False-positive события после начала эксплуатации SIEM-системы в штатном режиме?
Останутся, но в гораздо меньшем количестве, чем в тестовый период. На итоговое количество ложно-положительных событий повлияет количество источников, информацию с которых обрабатывает SEIM, тщательность написания правил корреляции и размер накопленной в базе статистики.
Какой функционал является обязательным для DLP-решений?
DLP-система должна уметь перехватывать и анализировать передаваемые сообщения и файлы и блокировать их передачу при обнаружении конфиденциальных данных. DLP-система также должна предоставлять возможность архивировать все или выбранные перехваченные данные, анализировать и наглядно представлять действия пользователей и реакцию самой системы.
Какие режимы работы DLP существуют?
«Пассивный» и «активный». В «пассивном» режиме DLP не блокирует передачу информации, даже если обнаруживает нарушения политик безопасности. В таком варианте трафик на DLP переправляется с помощью маршрутизатора или специальных агентов-перехватчиков, устанавливаемых на почтовых и прокси-серверах. В «активном» режиме DLP ставится в разрыв и может блокировать утечки, принимая решения в реальном времени. Стоит отметить, многие DLP-системы технически не могут работать в «активном» режиме, что существенно сужает их применимость для реальных задач.
Может ли DLP работать в полностью «автоматическом» режиме?
Пожалуй, стоит назвать режим полуавтоматическим, ведь часто сотрудникам требуется переслать конфиденциальную информацию за пределы организации, что может требовать участия офицера безопасности для санкционирования такого действия. Но в целом при грамотной первоначальной настройке можно минимизировать трудозатраты на обслуживание DLP.
Может ли DLP работать в полностью «ручном» режиме?
Может, но такой режим потребует очень больших трудозатрат. В большинстве случаев целесообразнее выделить группу подозрительных сотрудников, контроль которых требует ручной проверки, а для всех остальных включить автоматическую реакцию на обнаруженные конфиденциальные данные.
Если DLP работает в «автоматическом» режиме, можно ли посмотреть журнал событий?
Журнал событий можно посмотреть в любом режиме работы. Проблемы могут возникнуть, когда потребуется проанализировать активность сотрудников (в том числе отправленные за пределы сети файлы и письма), ведь не все DLP-решения имеют возможность архивировать (создавать теневую копию) перехваченной информации.
Какие каналы утечек может контролировать DLP?
Конкретный список зависит от выбранного DLP-решения, но обычно это как минимум электронная почта, веб-трафик, интернет-пейджеры и/или USB-устройства и принтеры. Стоит обращать внимание на конкретный перечень каналов, например, многие разработчики под интернет-пейджерами могут подразумевать не ICQ, Mail.Ru Агент и Skype, а практически не распространенные в России и СНГ сервисы AIM, Yahoo! Messenger и Google Talk.
Можно ли анализировать текст, находящийся в графическом виде, допустим, скан документа?
Если DLP поддерживает распознавание текста (OCR), то можно. После распознавания такой текст проходит все стандартные фильтры, и содержащий его файл также может быть заблокирован.
Какие форматы файлов поддерживаются для анализа?
Все современные DLP поддерживают как минимум текстовые и офисные форматы. Конкретный список зависит от выбранного DLP-решения.
Зачем в DLP нужны регулярные выражения (шаблоны)?
Для обнаружения передачи данных, имеющих четко определенную структуру, например номеров паспортов, телефонов или автомобилей.
Может ли DLP-система узнать, кому принадлежит номер ICQ или логин «В Контакте»?
Это зависит от конкретной DLP-системы. Технически DLP в момент получения конкретных данных должна также получить IP и логин сотрудника, использующего в это время рабочую станцию.
Требуется ли SIEM-системе поддержка при работе в штатном режиме?
Да. Во-первых, необходимо собственно обслуживание сервера; во-вторых, при динамике инфраструктуры организации требуется периодическая корректировка правил.
Можно ли сделать поддержу для нового источника событий?
SIEM-системы всех ведущих вендоров работают с источниками, которые отправляют события как SYSLOG. Если же новый источник – какая-то специфическая программа, то, как правило, для нее можно написать обработчик событий или коннектор (но это потребует дополнительных трудозатрат либо дополнительных денежных затрат).
Возможно ли самостоятельное написание правил корреляции?
Да. Но нужно представлять себе логику работы в целом, т.к. добавление правил может привести к изменениям в логике работы других правил по формированию инцидента.
Какому производителю SIEM системы отдать приоритет?
Нет однозначно лучшего варианта. Выбор вендора зависит от инфраструктуры компании, ее потребностей и, не в последнюю очередь, финансовых возможностей.
Возможно ли предотвращение нарушений ИБ при использовании SIEM-системы?
Нет. SIEM-система предназначена для сбора и анализа информации и накопления статистики. Она может предупредить о возможной угрозе, зафиксировать произошедший инцидент и предоставить доказательства для внутреннего или судебного разбирательства.
Каким образом будет проходить внедрение SIEM-системы?
Есть ряд обязательных этапов при внедрении SIEM-системы в структуру организации. Каждый из них важен и обязателен для дальнейшей эффективной работы. Попытки сократить временные или денежные затраты на процессе внедрения приведут к тому, что эффективность работы будет низкой, а срок окупаемости системы увеличится до бесконечности.
Мы хотим установить SIEM-систему. Что для этого нужно?
1. Большая (более 1000 машин) или географически разветвленная инфраструктура. 2. Уже действующие системы ИБ - от антивирусов до DLP, IDS, IDM и т.д Чем больше таких систем, тем лучше. 3. Деньги. 4. Время. На установку и настройку системы потребуется от полугода (в зависимости от размера организации), период окупаемости еще продолжительнее, а первые заметные результаты вы получите через 5-6 месяцев работы системы в штатном режиме.
Кому нужна SIEM-система? (Для кого предназначена SIEM-система?)
Есть несколько категорий потребителей, однозначно нуждающихся в установке этой системы: 1. Предприятия с большой (более 1000 машин) или географически разветвленной инфраструктурой. 2. Банки и другие финансовые организации. 3. Организации, уже пострадавшие в результате произошедшего нарушения ИБ.
Если SIEM-система не защищает сама по себе, зачем она нужна?
SIEM нужна для сбора и анализа информации из большого количества источников, что вручную сделать не всегда возможно. Кроме того, на основании накопленных статистических данных, SIEM-система может устанавливать взаимосвязь между несколькими безобидными по отдельности событиями, если вместе они угрожают ИБ компании. Также она может предоставить доказательную базу для внутреннего или судебного расследования, при возникновении подобных инцидентов.
В чем разница между SIEM первого и второго поколения?
SIEM второго поколения может собирать и анализировать информацию из большего количества источников, в том числе из виртуальной инфраструктуры, отслеживать изменение активности пользователей и активность приложений, не нуждаясь в дополнительном аппаратном или программном обеспечении.
Что такое SIEM-система? Достаточно ли ее работы для обеспечения информационной безопасности компании?
SIEM-система – это система управления событиями ИБ. Она предназначена для анализа информации, поступающей из других источников - DLP, IDS, антивирусов, железа (Fortinet, маршрутизаторов и т.д.) и дальнейшего выявления отклонения от норм по определенным критериям. Для полного обеспечения ИБ компании одной SIEM-системы не достаточно.