Наличие огромного количества продуктов точечной безопасности не защитит вашу организацию от взлома. Управление информацией о безопасности может предоставить недостающее звено.
Время от времени опросы аналитиков заявляют, что безопасность является приоритетом номер один для ИТ-директоров. Например, исследовательские компании Forrester и Gartner поместили безопасность во главу повестки дня ИТ-директоров на 2004 год, и эта тенденция, похоже, сохранится и в 2005 году. Приоритеты ИТ на 2005 год будут такими же, как и в этом году: безопасность и целостность данных, интеграция и обслуживание клиентов / CRM.
Сильный акцент на безопасности неудивителен, учитывая большое количество нарушений безопасности, происходящих во всем мире, и повышенное внимание организаций к управлению рисками, корпоративному управлению и соблюдению нормативных требований. Компании в сегодняшнем обществе, заботящемся о безопасности, слишком хорошо осведомлены об ущербе, который атака безопасности может нанести их корпоративным системам и конфиденциальным данным, не говоря уже о рыночной стоимости компании. К примеру, исследовательский провайдер Key Note оценивает, что нарушения безопасности в Великобритании в прошлом году обошлись компаниям более чем в 44 миллиарда фунтов стерлингов - цифра, которая, вероятно, вырастет еще больше в этом году.
Для борьбы с современными угрозами безопасности предприятиям необходим быстро расширяющийся спектр продуктов и услуг, имеющихся в их распоряжении. Типичная организация имеет в своем распоряжении множество независимых устройств инфраструктуры безопасности, таких как межсетевые экраны, системы обнаружения вторжений, сетевое оборудование, приложения, антивирус, вход в систему и службы каталогов, а также физические устройства безопасности, такие как считывание карты и системы ввода паролей. Неудивительно, что IDC прогнозирует, что к 2006 году глобальные компании потратят 45 миллиардов долларов на ИТ-безопасность.
Но по мере увеличения количества устройств безопасности в организации увеличивается и объем генерируемых данных, таких как журналы, предупреждения, события и т. д., Которые затем должны быть тщательно проанализированы экспертами по безопасности. Типичная компания FTSE 500 ежедневно подвергается более чем 50 миллионам событий, связанных с безопасностью, от заблокированного пакета до неудачного входа в систему или подлинного хакерского предупреждения. Количество событий растет с каждым годом, поэтому анализ каждого риска становится непреодолимой задачей для большинства организаций.
Хотя некоторые из этих предупреждений указывают на действительно опасные события, устройства безопасности нередко ошибочно выделяют огромное количество безопасных событий (также известных как «ложные срабатывания»). Это создает дополнительную нагрузку на аналитиков по безопасности, поскольку каждое событие необходимо исследовать и разрешать, отвлекая драгоценное время и ресурсы от «реальных» нарушений безопасности. Действительно, типичное предприятие будет получать тысячи ложных срабатываний каждый час, отвечать на 500 000 сигналов тревоги каждый месяц и вынуждено расследовать 1 000 приоритетных инцидентов.
Расширение данных - не единственная проблема, вызванная текущими настройками безопасности внутри компаний. Сегодняшние нарушения безопасности требуют подхода с несколькими источниками и целевыми объектами. Следовательно, уже недостаточно знать, какие «события» происходят в отдельных точках сети; организациям нужна централизованная и согласованная система управления безопасностью для изучения угроз из любого места - внутри или за пределами периметра.
Другая проблема с приложениями точечной безопасности заключается в том, что каждое из них имеет собственный формат сообщений, журнала и консоли, который необходимо преобразовать в общий стандарт, чтобы они могли интегрироваться друг с другом. Без этой общей номенклатуры и структуры аналитики безопасности постоянно находятся в режиме пожаротушения, не имея правильной информации для принятия обоснованных решений. Тем не менее, принятие правильных действий в нужное время является неотъемлемой частью успешного выполнения своей работы аналитиками безопасности.
Корпоративные банки принимают инвестиционные решения на основе актуальных, глубоких исследований, представленных своевременно и последовательно. Точно так же судья в суде принимает решение на основе четко сформулированного аргумента и при полном знании фактов. Аналитики безопасности не могут позволить себе роскошь обдумывать каждую сигнализацию безопасности и должны принимать мгновенные решения в качестве судьи, присяжных и инвестиционного банкира в одном лице.
Чтобы выполнять свою роль эффективно и результативно, аналитикам безопасности необходима централизованная архитектура управления безопасностью, которая преобразует их работу с наблюдения за несколькими консолями, изучения нескольких баз данных и просмотра нескольких журналов в одну, в которой используется одна база данных, один дисплей и скоординированный и общий набор инструментов для эффективного мониторинга и отслеживания информации о безопасности.
Эта модель, также известная как управление информацией о безопасности (SIM), не предназначена для увеличения рабочей нагрузки аналитика по безопасности, а для упрощения управления безопасностью. Программное обеспечение SIM максимизирует значительные инвестиции, сделанные организациями в точечные продукты безопасности, обнаруживает и устраняет угрозы безопасности по мере их возникновения и обеспечивает единое представление о состоянии безопасности предприятия, которое имеет такое же значение для бизнес-менеджеров, как и для профессионалов в области безопасности.
Система SIM работает, собирая соответствующие данные о безопасности из сети и передавая информацию в централизованный менеджер, где она эффективно хранится для обработки в реальном времени, аудита и расследования, а также соответствия нормативным требованиям. Программное обеспечение SIM развертывает агентов в существующей инфраструктуре, которые могут использовать различные протоколы - например, SNMP (простой протокол управления сетью) или системный журнал, а также Checkpoint OPSEC - для сбора данных безопасности и пересылки их диспетчерам на сервере, где события консолидируются. , отфильтрованные и взаимно коррелированные. Затем эти менеджеры передают соответствующую информацию на консоль специалистов по безопасности.
Получив коррелированное представление об активности угроз, состоянии уязвимости и стоимости активов, аналитик безопасности может уверенно принять решение о правильном ответе на событие и расставить приоритеты для действий, чтобы минимизировать общий уровень риска для организации.
В отличие от точечных продуктов безопасности, программное обеспечение SIM-карты в реальном времени выполняет корреляцию событий безопасности на устройствах разных производителей с течением времени. Это дает группе безопасности точное представление о потенциальной опасности, с которой сталкивается организация, и позволяет сосредоточить свои ресурсы на наиболее серьезных уязвимостях.
Поскольку безопасность в ближайшее время вряд ли упадет из поля зрения ИТ-директора, организациям имеет смысл приложить все усилия для извлечения максимальной выгоды из своих ресурсов безопасности. В сегодняшней среде, где угрозы с несколькими источниками и несколькими целями становятся нормой, инструменты точечной безопасности сами по себе не обеспечивают полной защиты. Вместо этого именно то, как организации используют свою объединенную силу, останавливает атаку на ее пути.
Обеспечение управления информацией о безопасности
Убедитесь, что вы можете сопоставить информацию о безопасности со всех уровней сети - будь то вход в систему сотрудником или внешние нарушения безопасности. Убедитесь, что любая SIM-система, которую вы просматриваете, автоматизирует сбор информации о безопасности, а также процессы расследования и разрешения проблем.
При расчете и составлении отчетов о рисках безопасности убедитесь, что другие факторы, такие как стоимость активов, роль бизнес-процесса и последствия соблюдения нормативных требований, также принимаются во внимание, чтобы аналитики могли получить более полное представление о каждом событии безопасности.
Иэн Чиджи - управляющий директор ArcSight по региону EMEA.
Время от времени опросы аналитиков заявляют, что безопасность является приоритетом номер один для ИТ-директоров. Например, исследовательские компании Forrester и Gartner поместили безопасность во главу повестки дня ИТ-директоров на 2004 год, и эта тенденция, похоже, сохранится и в 2005 году. Приоритеты ИТ на 2005 год будут такими же, как и в этом году: безопасность и целостность данных, интеграция и обслуживание клиентов / CRM.
Сильный акцент на безопасности неудивителен, учитывая большое количество нарушений безопасности, происходящих во всем мире, и повышенное внимание организаций к управлению рисками, корпоративному управлению и соблюдению нормативных требований. Компании в сегодняшнем обществе, заботящемся о безопасности, слишком хорошо осведомлены об ущербе, который атака безопасности может нанести их корпоративным системам и конфиденциальным данным, не говоря уже о рыночной стоимости компании. К примеру, исследовательский провайдер Key Note оценивает, что нарушения безопасности в Великобритании в прошлом году обошлись компаниям более чем в 44 миллиарда фунтов стерлингов - цифра, которая, вероятно, вырастет еще больше в этом году.
Для борьбы с современными угрозами безопасности предприятиям необходим быстро расширяющийся спектр продуктов и услуг, имеющихся в их распоряжении. Типичная организация имеет в своем распоряжении множество независимых устройств инфраструктуры безопасности, таких как межсетевые экраны, системы обнаружения вторжений, сетевое оборудование, приложения, антивирус, вход в систему и службы каталогов, а также физические устройства безопасности, такие как считывание карты и системы ввода паролей. Неудивительно, что IDC прогнозирует, что к 2006 году глобальные компании потратят 45 миллиардов долларов на ИТ-безопасность.
Но по мере увеличения количества устройств безопасности в организации увеличивается и объем генерируемых данных, таких как журналы, предупреждения, события и т. д., Которые затем должны быть тщательно проанализированы экспертами по безопасности. Типичная компания FTSE 500 ежедневно подвергается более чем 50 миллионам событий, связанных с безопасностью, от заблокированного пакета до неудачного входа в систему или подлинного хакерского предупреждения. Количество событий растет с каждым годом, поэтому анализ каждого риска становится непреодолимой задачей для большинства организаций.
Хотя некоторые из этих предупреждений указывают на действительно опасные события, устройства безопасности нередко ошибочно выделяют огромное количество безопасных событий (также известных как «ложные срабатывания»). Это создает дополнительную нагрузку на аналитиков по безопасности, поскольку каждое событие необходимо исследовать и разрешать, отвлекая драгоценное время и ресурсы от «реальных» нарушений безопасности. Действительно, типичное предприятие будет получать тысячи ложных срабатываний каждый час, отвечать на 500 000 сигналов тревоги каждый месяц и вынуждено расследовать 1 000 приоритетных инцидентов.
Расширение данных - не единственная проблема, вызванная текущими настройками безопасности внутри компаний. Сегодняшние нарушения безопасности требуют подхода с несколькими источниками и целевыми объектами. Следовательно, уже недостаточно знать, какие «события» происходят в отдельных точках сети; организациям нужна централизованная и согласованная система управления безопасностью для изучения угроз из любого места - внутри или за пределами периметра.
Другая проблема с приложениями точечной безопасности заключается в том, что каждое из них имеет собственный формат сообщений, журнала и консоли, который необходимо преобразовать в общий стандарт, чтобы они могли интегрироваться друг с другом. Без этой общей номенклатуры и структуры аналитики безопасности постоянно находятся в режиме пожаротушения, не имея правильной информации для принятия обоснованных решений. Тем не менее, принятие правильных действий в нужное время является неотъемлемой частью успешного выполнения своей работы аналитиками безопасности.
Корпоративные банки принимают инвестиционные решения на основе актуальных, глубоких исследований, представленных своевременно и последовательно. Точно так же судья в суде принимает решение на основе четко сформулированного аргумента и при полном знании фактов. Аналитики безопасности не могут позволить себе роскошь обдумывать каждую сигнализацию безопасности и должны принимать мгновенные решения в качестве судьи, присяжных и инвестиционного банкира в одном лице.
Чтобы выполнять свою роль эффективно и результативно, аналитикам безопасности необходима централизованная архитектура управления безопасностью, которая преобразует их работу с наблюдения за несколькими консолями, изучения нескольких баз данных и просмотра нескольких журналов в одну, в которой используется одна база данных, один дисплей и скоординированный и общий набор инструментов для эффективного мониторинга и отслеживания информации о безопасности.
Эта модель, также известная как управление информацией о безопасности (SIM), не предназначена для увеличения рабочей нагрузки аналитика по безопасности, а для упрощения управления безопасностью. Программное обеспечение SIM максимизирует значительные инвестиции, сделанные организациями в точечные продукты безопасности, обнаруживает и устраняет угрозы безопасности по мере их возникновения и обеспечивает единое представление о состоянии безопасности предприятия, которое имеет такое же значение для бизнес-менеджеров, как и для профессионалов в области безопасности.
Система SIM работает, собирая соответствующие данные о безопасности из сети и передавая информацию в централизованный менеджер, где она эффективно хранится для обработки в реальном времени, аудита и расследования, а также соответствия нормативным требованиям. Программное обеспечение SIM развертывает агентов в существующей инфраструктуре, которые могут использовать различные протоколы - например, SNMP (простой протокол управления сетью) или системный журнал, а также Checkpoint OPSEC - для сбора данных безопасности и пересылки их диспетчерам на сервере, где события консолидируются. , отфильтрованные и взаимно коррелированные. Затем эти менеджеры передают соответствующую информацию на консоль специалистов по безопасности.
Получив коррелированное представление об активности угроз, состоянии уязвимости и стоимости активов, аналитик безопасности может уверенно принять решение о правильном ответе на событие и расставить приоритеты для действий, чтобы минимизировать общий уровень риска для организации.
В отличие от точечных продуктов безопасности, программное обеспечение SIM-карты в реальном времени выполняет корреляцию событий безопасности на устройствах разных производителей с течением времени. Это дает группе безопасности точное представление о потенциальной опасности, с которой сталкивается организация, и позволяет сосредоточить свои ресурсы на наиболее серьезных уязвимостях.
Поскольку безопасность в ближайшее время вряд ли упадет из поля зрения ИТ-директора, организациям имеет смысл приложить все усилия для извлечения максимальной выгоды из своих ресурсов безопасности. В сегодняшней среде, где угрозы с несколькими источниками и несколькими целями становятся нормой, инструменты точечной безопасности сами по себе не обеспечивают полной защиты. Вместо этого именно то, как организации используют свою объединенную силу, останавливает атаку на ее пути.
Обеспечение управления информацией о безопасности
Убедитесь, что вы можете сопоставить информацию о безопасности со всех уровней сети - будь то вход в систему сотрудником или внешние нарушения безопасности. Убедитесь, что любая SIM-система, которую вы просматриваете, автоматизирует сбор информации о безопасности, а также процессы расследования и разрешения проблем.
При расчете и составлении отчетов о рисках безопасности убедитесь, что другие факторы, такие как стоимость активов, роль бизнес-процесса и последствия соблюдения нормативных требований, также принимаются во внимание, чтобы аналитики могли получить более полное представление о каждом событии безопасности.
Иэн Чиджи - управляющий директор ArcSight по региону EMEA.
