Перейти к основному содержанию

Каждая крупная компания, использующая большое количество разнородных средств обеспечения информационной безопасности, сталкивается с тем, что эти средства порождают объёмные массивы уведомлений и протоколов. При этом каждый такой массив требует внимательного изучения, потому что в нём могут содержаться признаки злонамеренной активности (они же – признаки инцидентов). Исследования показывают, что ручной труд по разбору журналов и записей отнимает у аналитиков много времени и сил, так что многие события остаются незамеченными, а среди сотен и тысяч тех, которые удалось обработать, весьма легко пропустить один-два значимых индикатора.

SIEM-системы (Security Information and Event Management, управление информацией и событиями в области безопасности) созданы специально для того, чтобы упростить работу специалистов и помочь им сосредоточить внимание на том, что действительно важно. Продукты и решения такого рода помогают извлечь максимальную выгоду из автоматизации труда: они самостоятельно собирают сведения от разных средств защиты информации, интегрируют их и отсеивают «шум» (рядовые незначимые события), в том числе – с помощью алгоритмов машинного обучения и технологий искусственного интеллекта. Человеку остаётся лишь углублённо изучить значимые уведомления и принимать решения о реагировании, если есть признаки киберпреступной деятельности.

Критерии выбора SIEM-системы во многом зависят от конкретного заказчика и от особенностей его инфраструктуры (что, впрочем, справедливо и для большинства других средств обеспечения информационной безопасности), но можно уверенно сказать, что ключевыми факторами являются цена и трудоёмкость внедрения, а также эффективность выбранного решения и возможность его адаптации к требованиям заказчика. Многим компаниям важно самостоятельно дорабатывать продукт и соединять его с имеющимися или планируемыми к приобретению системами, не прибегая ко внешней помощи.

В отношении цены и стоимости владения мы предлагаем широкий спектр вариантов, который удовлетворит даже самые взыскательные требования. Каждый способ и вид исполнения такой системы имеет свои преимущества. Разработки с открытым исходным кодом (open-source) подойдут тем, кто ищет бесплатную SIEM-систему, хотя в этом случае могут понадобиться дополнительные затраты на техническую поддержку и сопровождение. Коммерческие (платные) продукты проще внедрять и эксплуатировать, но при этом важно, чтобы их стоимость соответствовала получаемым результатам.

Выгодным вариантом для многих организаций является аутсорсинг информационной безопасности. SIEM-систему можно не только развернуть локально (on-premise), но и получить как услугу, когда обработка информации осуществляется в защищённом облаке. Соответственно, не обязательно покупать продукт: можно арендовать его на основе подписки и с не меньшей эффективностью вести мониторинг событий, автоматически обнаруживая потенциальные угрозы и получая сведения для расследования киберинцидентов.

Начните совершенствовать и упрощать работу вашего подразделения информационной безопасности уже сегодня. «Инфратех» окажет консультационные услуги по выбору наиболее эффективной SIEM-системы с учётом особенностей именно вашей компании и её информационных ресурсов, поможет внедрить решение и начать работу с ним с наименьшими затратами. Мы также возьмём на себя дополнительную доработку и настройку системы по мере развития вашего бизнеса или обеспечим обучение ваших специалистов, чтобы передать нужные компетенции внутрь компании.