Как программное обеспечение SIEM может обеспечить соблюдение политики информационной безопасности
Введение
Какие бы усилия ни предпринимали компании для обеспечения соблюдения политик безопасности, реальность доказывает, что даже применение четких правил не может гарантировать защиту от небрежности персонала, вызывающей непрекращающуюся головную боль сотрудников службы безопасности. Отчет о защите от киберугроз за 2016 год показывает, что низкая осведомленность сотрудников о безопасности является препятствием номер один. В то же время исследование PwC о глобальном состоянии информационной безопасности говорит о том, что сами сотрудники являются наиболее цитируемым источником инцидентов. И, наконец, IBM X-Force Research утверждает, что 15,5% всех атак осуществляются непреднамеренными субъектами, которые создают серьезные проблемы с безопасностью, даже не осознавая этого.
Действительно, нерадивые нарушители — это своего рода бомба замедленного действия, и игнорировать их — значит подвергать компанию повторным инсайдерским угрозам. Поскольку введения набора правил недостаточно для обеспечения долгосрочной корпоративной защиты, мы предлагаем вам рассмотреть возможность внедрения решения SIEM, которое будет обеспечивать соблюдение политик информационной безопасности и поможет превратить разрозненные действия вашей компании в непрерывную стратегию безопасности.
фигура 1
Выявление нарушений политики информационной безопасности
Хотя решения SIEM обычно внедряются для защиты компаний от внутренних и внешних угроз, они также могут служить полезными инструментами для обнаружения Таким образом, они позволяют администраторам безопасности выявлять небрежное поведение пользователей и устранять критические нарушения, которые могут привести к серьезным нарушениям.
Внедряя решение SIEM, администраторы безопасности получают возможность постоянно регистрировать каждое действие пользователя в соответствии с установленной политикой безопасности, собирая данные в режиме реального времени по всей сети. Например, IBM QRadar, лидер магического квадранта Gartner в области управления информацией о безопасности и событиями, способен консолидировать события журнала и сетевые потоки, нормализовать и коррелировать необработанные данные и предоставлять актуальную информацию о потенциальных нарушениях политики безопасности (правонарушениях).
Если выявленное нарушение оказывается реальным нарушением, администратор безопасности может детально изучить и тщательно расследовать, кто, когда и как нарушил определенное правило безопасности. Обеспечивая постоянную видимость соблюдения политики безопасности, решение SIEM позволяет расставить приоритеты, какие нарушения являются наиболее важными и потенциально могут оставить дверь открытой для последующих внешних атак.
Здесь мы привели примеры возможных нарушений политики безопасности, которые можно выявить с помощью SIEM-решения.
Разблокированные экраны
Такое базовое правило безопасности, как блокировка экрана компьютера, до сих пор является одним из самых нарушаемых. Пользователи постоянно забывают заблокировать свои компьютеры и уходят на обед в столовую или на встречу. Эта банальная история может на самом деле закончиться плачевно, если во время отсутствия сотрудника украдут конфиденциальные данные или в мгновение ока по сети распространится вредоносный вирус.
Решение SIEM может стать полезным инструментом на пути к выявлению разблокированных экранов и компьютеров, оставленных без присмотра, поскольку оно способно собирать журналы контроля доступа по периметру и регистрировать пользователей, покинувших здание без предварительного выхода из системы. Зафиксированный выход из здания, которому не предшествовал выход из системы, может рассматриваться как нарушение политики безопасности.
Доступ к IP-адресам с плохой репутацией
Даже самые надежные сотрудники могут непреднамеренно наткнуться на сайт, содержащий вредоносное ПО или вирусы, подвергающие опасности корпоративную сеть. Хуже, если сотрудник регулярно посещает небезопасные сайты. Без каких-либо мер эта игра в рулетку может продолжаться до тех пор, пока сеть не будет окончательно заражена. Отличительной особенностью решения SIEM является то, что оно может хранить список потенциально вредоносных IP-адресов, включая хосты вредоносных программ, источники спама, анонимные прокси и т. д. Таким образом, система автоматически собирает каждый случай подключения к опасному ресурсу.
Используя QRadar и расширение лицензии на использование канала X-Force Threat Intelligence, системные администраторы могут включать вредоносные IP-адреса и URL-адреса в правила корреляции и выявлять любые нежелательные подключения, сделанные пользователем. Каждое нарушение политики, связанное с этими адресами, автоматически помечается и становится доступным для дальнейшего изучения.
Конфиденциальные данные хранятся локально
Хотя сотрудники обычно имеют выделенные хранилища данных, они, как правило, пренебрегают безопасностью и хранят конфиденциальные данные локально прямо на своих компьютерах, что может привести к серьезным утечкам данных. Цена небрежной потери данных может не только опустошить корпоративный бюджет, но и подорвать репутацию компании, если на карту поставлена личная информация клиентов.
Вот пример SterlingBackcheck, крупнейшей в мире компании, предоставляющей услуги по проверке биографических данных, которая сообщила об украденном ноутбуке со 100 000 записей личных данных, необходимых для проверки биографических данных, таких как номера социального страхования и адреса, друзья и партнеры, а также другая информация, позволяющая для идентификации человека.
Настраивая решение SIEM, администратор безопасности получает возможность идентифицировать пользователей, хранящих конфиденциальную информацию на своих личных устройствах, путем обнаружения определенных ключевых слов в именах файлов (например, «соглашение», «конфиденциально», «отчет» и т. д.) и их содержимого с помощью анализ событий аудита безопасности.
Повторяющиеся нарушения
С помощью SIEM-решения администраторы безопасности могут различать повторяющиеся случаи и распознавать хронические нарушения, которые легко не заметить в бесконечных потоках разрозненных событий безопасности.
Например, применяя QRadar для мониторинга повторяющихся нарушений, администраторы безопасности получают возможность отслеживать сеансы пользователей, связанные с определенными IP-адресами, в течение определенного периода времени, что позволяет отсортировать несколько нарушений политики безопасности, совершенных одним и тем же пользователем. Более того, с развернутым модулем Incident Forensics можно детально исследовать, как именно произошло нарушение политики, и найти его первопричину.
Меньше усилий, больше пользы
Решение SIEM позволяет руководителям высшего звена по безопасности повысить эффективность своих усилий по обеспечению соблюдения политик безопасности за счет:
Сведение к минимуму ручной работы. Ручной сбор и анализ данных безопасности через межсетевые экраны, сети и приложения очень непрактичны и отнимают много времени, не говоря уже о попытках обнаружить повторяющиеся нарушения. Решения SIEM позволяют существенно сократить усилия по сбору актуальной информации и выявлению нарушений политик безопасности, так как обработка данных происходит автоматически.
Экономия критического времени. Нарушая политики безопасности, сотрудники подвергают реальной опасности всю компанию. Если нарушение вовремя не обнаружить и не изолировать, это может привести к серьезным нарушениям, массовым утечкам данных и, как следствие, значительным денежным потерям. Решение SIEM позволяет оперативно отслеживать нарушения политики безопасности в режиме реального времени, так что даже незначительные отклонения могут быть выявлены и своевременно устранены отделом безопасности.
Вывод
Недобросовестные инсайдеры могут стать источником серьезных нарушений, даже не подозревая об этом. Поэтому важно не только ввести строгую политику безопасности, но и обеспечить постоянный контроль за ее выполнением. Внедрение SIEM-решения для обеспечения соблюдения политик безопасности может стать следующим продвинутым шагом, позволяющим быстро обнаруживать нарушения правил, что увеличивает ценность усилий отдела безопасности по обеспечению защиты их корпоративных сред.