С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo request, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.Читать полностью »
Метка «SIEM»
SIEM для ИТ и ИБ
2013-03-19 в 7:52, admin, рубрики: compliance, SIEM, Анализ и проектирование систем, Блог компании Positive Technologies, информационная безопасность, политика безопасности, метки: compliance, SIEM, политика безопасностиSIEM: ответы на часто задаваемые вопросы
2013-03-12 в 13:11, admin, рубрики: SIEM, информационная безопасность, метки: SIEM, информационная безопасностьВместо предисловия
Я приветствую всех, кто читает этот пост!
В последнее время мне стали часто задавать вопросы, связанные с SIEM. Окончательно добило общение с товарищем, с которым мы собрались вечером попить пивка и как-то незаметно перешли на тему, связанную с безопасностью. Он сказал, что они собираются внедрять SIEM — потому что «она помогает защитить инфраструктуру». И даже нашли людей, которые им соглашаются сделать это «за недорого и быстро». Вот тут-то я и насторожился… Как выяснилось, они думали, что внедрение SIEM разом избавит их от неприятностей вроде утечки данных, и к тому же будет недорогим и быстрым — мол, нашли систему, которая не требует настройки. Ну и дела, подумал Штирлиц, и решил накропать свои соображения по этому поводу, дабы отправлять вопрошающих к печатному источнику. Постараюсь быть кратким и охватить наиболее часто задаваемые вопросы.
Читать полностью »
Соответствие стандартам и политикам в сканерах уязвимостей и SIEM
2013-02-28 в 10:31, admin, рубрики: compliance, SIEM, Анализ и проектирование систем, Блог компании Positive Technologies, информационная безопасность, политика безопасности, метки: compliance, SIEM, политика безопасностиАнглийский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).
Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).Читать полностью »
SIEM-системы: а есть ли перспективы у OpenSource?
2012-11-24 в 13:53, admin, рубрики: ossim, SIEM, информационная безопасность, метки: ossim, SIEM, информационная безопасность Хочу поприветствовать всех, кто читает эту заметку.
Изначально, хотел откомментировать статью «Cистема управления безопасностью OSSIM» в «песочнице» ( habrahabr.ru/post/157183/ ), но комментарий получался очень большим. Основной вопрос — к какому типу SIEM относится OSSIM?
Сейчас много людей интересуется SIEM, но представление о них складывается, в основном, по красивым маркетинговым листовкам. В большинстве случаев, эти листовки отвечают достаточно скупо на вопрос «Зачем нужна SIEM?», уделяя большее внимание рекламированию конкретного «современного» SIEM-продукта.
Читать полностью »
Cистема управления безопасностью OSSIM
2012-11-02 в 16:24, admin, рубрики: ossim, SIEM, информационная безопасность, метки: ossim, SIEM OSSIM — продукт Alienvault Lab, который включает в себя инструменты по инспектированию сети, обнаружению вторжения, его предотвращения, оперативного оповещения и других инструментов с открытым исходном кодом. Данное решение позволяет быстро обнаруживать уязвимости в сети и так же оперативно их устранять. Эта система очень гибкая в настройках системы корреляции с подробным выводом отчётов и разнообразными инструментами управления. Система позволяет подключать новые сенсоры, с которых, получая новые события безопасности, OSSIM, следуя заданным правилам, записывает в журнал, оповещает об этом администратора и пытается устранить проблему. OSSIM так же полезен в многопользовательской системе.
Читать полностью »