hệ thống soc. Về ranh giới giữa SIEM và SOC

Các cuộc thảo luận trên Diễn đàn SOC, diễn ra ở Moscow vào giữa tháng 11, không dừng lại trên các mạng xã hội và blog. Người điều hành phần toàn thể, Oleg Sedov, đã yêu cầu các diễn giả không tranh luận về các thuật ngữ và định nghĩa, hãy để phần này thảo luận thêm. Tôi muốn quay lại chủ đề đã bị hoãn lại bằng cách nói về các điều khoản, hay đúng hơn là về sự tồn tại của SIEM không có SOC và SOC không có SIEM.

"O" có nghĩa là gì?

Những người tham gia Diễn đàn SOC đã đưa ra nhiều câu trả lời khác nhau cho câu hỏi SOC là gì. Một số định nghĩa đã mãi mãi đi vào bộ sưu tập các câu cách ngôn của sự kiện và đáng được đề cập: “SOC và dịch vụ bảo mật thông tin là một và giống nhau”, “SOC là một chiếc kính gián điệp”, “Bạn có thể bọc bất cứ thứ gì trong một trình bao bọc SOC, thậm chí buộc các bộ điều chỉnh lên trên bằng một chiếc nơ. Tôi đặc biệt hài lòng với câu trả lời "trong SOC, chữ "O" là thừa, và mọi thứ đều rõ ràng."

Và nếu mọi thứ thực sự rõ ràng với Trung tâm bảo mật, thì chữ cái "O" có nghĩa là gì trong từ viết tắt? Theo nghĩa rộng, Vận hành được hiểu là các hoạt động vận hành, do đó, là “một chức năng nhằm thực hiện liên tục các hành động để sản xuất cùng một sản phẩm hoặc cung cấp dịch vụ định kỳ”. Hóa ra trong bối cảnh của chúng ta, Vận hành là việc thực hiện liên tục quy trình đảm bảo an toàn thông tin hoặc liên tục duy trì trạng thái an toàn của tài sản thông tin. Và từ khóa ở đây là “liên tục”.

Dịch vụ bảo mật thông tin đã tạo SOC của riêng mình bằng cách giới thiệu hàng tá loại công cụ bảo mật thông tin chưa? Dịch vụ IS có thực hiện các chức năng của SOC, theo yêu cầu, xem xét các ứng dụng và đồng ý / thu hồi quyền truy cập, đưa ra EDS, quy định các quy tắc về tường lửa không? Gọi SOC là quá trình vá lỗ hổng này đến lỗ hổng khác có đúng không? Rõ ràng là không.

Nhân tiện, đối với các đồng nghiệp phương Tây, không phải mọi thứ đều rõ ràng về thuật ngữ. “Nhóm đặc biệt, được chỉ định ở đây là SOC, có thể được gọi khác nhau ở các tổ chức khác nhau: CSIRT (Computer Security Incident Response Team - nhóm ứng phó sự cố bảo mật máy tính), CIRC (Computer Incident Response Center - trung tâm ứng phó sự cố máy tính), CERT ( Computer Emergency Response Team - đội ứng phó khẩn cấp máy tính) hoặc nhiều biến thể khác sử dụng các từ "mạng", "máy tính", "mạng", "sự cố", "hoạt động", "bảo vệ" hoặc "công ty" (C. Zimmerman. Mười Chiến lược của Trung tâm điều hành an ninh mạng đẳng cấp thế giới, 2014). Nhưng - hãy cảm nhận sự khác biệt: trong khi cộng đồng chuyên nghiệp Nga đang nói về SOC là gì, thì các đồng nghiệp phương Tây đang gọi cả thế hệ SOC.

Ví dụ, các nhà phân tích của Ernst & Young đã đếm được ba thế hệ. Các SOC ban đầu dựa vào các cảnh báo về các dấu hiệu xâm nhập và vi-rút đã biết, cho phép các tổ chức xác định các hồ sơ tấn công nổi tiếng. SOC thế hệ thứ hai đã nhận ra nhu cầu hoạt động 24x7 và triển khai các công cụ bảo vệ thông tin tích cực để giảm khoảng thời gian giữa việc phát hiện một cuộc tấn công đã biết và ngăn chặn nó. Thế hệ thứ ba của SOC được bổ sung các quy trình trao đổi thông tin, phân tích xu hướng tấn công và các công cụ được sử dụng, đồng thời được trang bị các chức năng tìm kiếm sự bất thường trong khối lượng dữ liệu lớn - tất cả những điều này nhằm thực hiện giám sát và bảo vệ chủ động.

Một sự phân chia chi tiết hơn, thành năm thế hệ, được thực hiện bởi các chuyên gia tư vấn từ HP Security Intelligence and Operations Consulting (SIOC). Họ đã phân tích sự phát triển của chủ đề SOC từ năm 1975 đến năm 2014, bắt đầu với việc tách biệt nhiệm vụ thường xuyên xem xét nhật ký kiểm toán của các sự kiện bảo mật thông tin và kết thúc bằng việc tạo ra các phương pháp chủ động để tìm ra các vectơ tấn công chưa được triển khai chống lại công ty.

SIEM tồn tại, nhưng SOC chưa bao giờ xuất hiện

Gần đây, một chủ đề thú vị đã được nêu ra trên một trong các blog: SIEM là sản phẩm hay quy trình? Trước hết, Quản lý sự kiện và thông tin bảo mật (SIEM) là một sản phẩm có logic thu thập, tổng hợp và lọc, thống nhất, lưu trữ và tìm kiếm, tương quan, thông báo và phản hồi, trực quan hóa, phân tích/điều tra các sự kiện bảo mật thông tin. Nhưng cùng với sản phẩm, người dùng thường nhận được mô tả về các chức năng và hướng dẫn, và đây đã là các quy trình. Đối với một số dịch vụ bảo mật thông tin, việc mua một sản phẩm như vậy sẽ trở thành điểm khởi đầu trong việc triển khai các quy trình SIEM, trong khi những dịch vụ khác thì ngược lại, sẽ cần một sản phẩm SIEM linh hoạt có thể được tùy chỉnh để phù hợp với các quy trình SIEM hiện có của công ty. Vâng, có thể xảy ra là một số quy trình SIEM đã tồn tại, nhưng chưa có sản phẩm SIEM nào.

Bạn có thể xem xét kỹ hơn các quy trình được xây dựng xung quanh sản phẩm SIEM. Có nhiều khuyến nghị nước ngoài về chủ đề này, chẳng hạn như đề xuất chia các quy trình thành ba nhóm (A. Chuvakin. Phân tích SIEM: Quy trình quan trọng hơn sản phẩm).

1. Các quy trình cơ bản (hỗ trợ) mô tả các quy trình sau:
   • thu thập và thiết lập kiểm tra nguồn gốc của các sự kiện an toàn thông tin;
   • đánh giá chất lượng công việc SIEM và sự phát triển của nó;
   • Cài đặt nội dung SIEM (quy tắc, báo cáo, bảng điều khiển, v.v.).
2. Các quy trình tuân thủ mô tả các quy trình sau:
   • xem xét thường xuyên các báo cáo sự kiện an toàn thông tin;
   • phản hồi đối với sự không tuân thủ được xác định với các yêu cầu quy định
3. Các quy trình liên quan đến giám sát và điều tra liên tục trong thời gian thực (đây là những lợi ích thực tế lớn nhất) mô tả các quy trình sau:
   • xác định thứ tự xử lý thông báo sự cố;
   • lập hồ sơ hành vi của người dùng và hệ thống để loại bỏ các cảnh báo sai;
   • phân tích các IoC sắp tới (chỉ số thỏa hiệp) và đánh giá mức độ liên quan của chúng với cơ sở hạ tầng và nguồn sự kiện trong SIEM;
   • ứng phó với các sự cố an toàn thông tin đã xác định;
   • giảm khả năng tái diễn các sự cố đã xử lý.

Mỗi thủ tục có chứa một số quy định và hướng dẫn. Một nhóm chuyên gia tư vấn bảo mật thông tin có thể biên soạn vài chục tài liệu ở các cấp độ khác nhau, dựa trên một số khuyến nghị, ví dụ: NIST SP 800-92 "Hướng dẫn quản lý nhật ký bảo mật máy tính" và SP 800-61 R2 "Hướng dẫn xử lý sự cố bảo mật máy tính “. Tuy nhiên, theo tôi, hướng chung của các văn bản này là rõ ràng.

SOC là gì?

Trong những năm gần đây, các nhà tích hợp và nhà sản xuất SIEM đã tích cực giới thiệu với công chúng ý tưởng rằng SOC là “nền tảng SIEM + quy trình SIEM + con người”. Làm thế nào chính xác là công thức này, là một cái gì đó quan trọng bị lãng quên?

Những gì đã đạt được ở nước ngoài là sự khái quát hóa các ý kiến ​​​​và lấp đầy khái niệm SOC bằng những ý tưởng và chức năng mà hầu hết các chuyên gia đều đồng ý. “SOC là một nhóm giám sát an ninh doanh nghiệp tập trung được tạo ra để giảm thiểu rủi ro của một tổ chức bằng cách sử dụng các công nghệ và quy trình để phát hiện sự cố, ngăn chặn chúng, phân tích và giảm thiểu thiệt hại” (Tạo SOC, SANS, 2015). Hãy chú ý đến điểm mấu chốt “để giảm thiểu rủi ro của tổ chức”, thứ nhất, cho thấy sự hiểu biết về các rủi ro và thứ hai, thúc đẩy có chủ đích hoạt động kinh doanh theo hướng giảm thiểu chúng.

Hóa ra SOC không bắt đầu từ con người và công nghệ, mà trước hết là từ sự hiểu biết về sứ mệnh và nhiệm vụ cấp cao nhất của các hoạt động đó trong công ty. Sau đó, việc xây dựng SOC yêu cầu xác định các chỉ số thành công chính và KPI để đạt được chúng. Việc không có mục tiêu kinh doanh khi mua SIEM sẽ biến toàn bộ quy trình SIEM thành một sự giám sát vô nguyên tắc, theo thống kê của Solar Security, sẽ không còn thú vị đối với 80% công ty trong một năm.

Những ý tưởng sau đây có thể được sử dụng để tạo SOC:

• phòng chống tội phạm mạng nhằm rút tiền nhanh chóng khỏi công ty;
• duy trì bảo mật tài sản thông tin của công ty trong thời gian sáp nhập và mua lại;
• phòng chống gian lận tài khoản khách hàng và trộm cắp tiền;
• ngăn chặn sự xâm phạm thông tin khách hàng quan trọng nhận được để xử lý;
• phát hiện các hành vi vi phạm chế độ bí mật kinh doanh hoặc xử lý các loại thông tin bí mật khác.

Danh sách các tài liệu, theo Mười chiến lược của Trung tâm điều hành an ninh mạng đẳng cấp thế giới, phải được phát triển để tổ chức các hoạt động như vậy trong một công ty, cuối cùng sẽ giúp bạn “cảm nhận” SOC:

• điều lệ của SOC, được ký bởi người đứng đầu tổ chức,
• xác định nhiệm vụ và trách nhiệm của SOC;
• Quyền hạn của SOC - bổ sung điều lệ SOC với mô tả về nghĩa vụ của SOC và bắt buộc các bộ phận khác của công ty giúp đạt được các mục tiêu và mục tiêu của SOC;
• Kế hoạch phát triển SOC - một tập hợp các nhiệm vụ ngắn hạn và dài hạn dễ hiểu đối với nhóm SOC và các đối tác bên ngoài;
• các yêu cầu về vận hành, chức năng và hệ thống để thực hiện các nhiệm vụ SOC;
• ngân sách SOC;
• mô tả kiến ​​trúc của hệ thống con giám sát, v.v.

Vì vậy, một sản phẩm SIEM bên trong SOC là một trong những công nghệ tự động hóa các tác vụ thông thường liên quan đến xử lý nhật ký. Về nguyên tắc, SOC không có SIEM có thể đạt được các mục tiêu cấp cao - câu hỏi duy nhất là hiệu quả và sự trưởng thành của các phương pháp được sử dụng. Tuy nhiên, theo HP SIOC, đơn vị đã tiến hành hơn 110 cuộc kiểm tra 87 SOC, không một SOC nào không có SIEM đáp ứng được mức trưởng thành tối thiểu.

Sự hiểu biết đầy đủ nhất về cách tổ chức SOC đến từ báo cáo của Ernst & Young "SOC chống lại tội phạm mạng". Có thể lập luận rằng SOC bắt đầu với sự hỗ trợ của quản lý cấp cao, xác định nhiệm vụ, đầu tư và phát triển chiến lược, tiếp tục với việc tuyển dụng, xây dựng phương pháp luận, sử dụng các công nghệ và môi trường cần thiết để giảm thiểu rủi ro bảo mật thông tin, phân tích xu hướng và báo cáo định kỳ, và kết thúc bằng việc liên tục các quy trình cải tiến.

Hầu hết các nhiệm vụ SOC (chủ yếu là xử lý các sự kiện bảo mật thông tin trong SIEM, phân tích xu hướng tấn công, tổng hợp thông tin về mối đe dọa, điều tra sự cố) có thể được thuê ngoài cho nhà cung cấp MSSP. Tuy nhiên, bạn thấy đấy, rất khó để thuê ngoài ý tưởng và sứ mệnh thành lập SOC trong một công ty, chịu trách nhiệm về các sự cố và tổn thất. Và trách nhiệm của nhà cung cấp MSSP sẽ được thảo luận riêng trong thời gian tới.

Điều kiện thành lập Trung tâm điều hành an toàn thông tin

Theo các chuyên gia an ninh thông tin Nga, hiện tại mức độ bảo mật thông tin trong các công ty Nga không cao lắm so với các công ty phương Tây, nhưng tốc độ phát triển cao hơn nhiều lần. Điều này không chỉ do các quy định và luật mới, chẳng hạn như 152-FZ, PCI DSS, STO BR, mà còn do nhận thức rằng bảo mật thông tin cần được xử lý nghiêm túc, xây dựng các quy trình một cách có hệ thống. Mặt khác, có nguy cơ không chỉ mất các yếu tố cơ sở hạ tầng mà còn có thể gây ra tổn thất tài chính thực sự.

Sisyphean lao động

Trong một cơ sở hạ tầng đang phát triển nhanh chóng, bây giờ không có hàng chục thiết bị, mà là hàng trăm, thậm chí hàng nghìn. Một số bộ định tuyến hoặc tường lửa có thể là vài chục. Tất cả chúng đều đi qua một lượng thông tin khổng lồ, tất cả các sự kiện xảy ra trên thiết bị đều được ghi lại trong nhật ký nội bộ. Nhưng trên thực tế, chúng vô dụng vì không thể giám sát tập trung nhiều sự kiện như vậy, phân tích và xác định các sự cố vi phạm chính sách bảo mật thông tin.

Vì vậy, ví dụ, trong hầu hết mọi tổ chức, chúng tôi thấy tình huống mà quyền truy cập của người dùng vào thông tin tài chính và giao dịch trong cơ sở dữ liệu không được ghi lại. Và trong trường hợp truy cập trái phép hoặc rò rỉ thông tin từ cơ sở dữ liệu, không thể theo dõi ai đã thực hiện thay đổi đối với các bảng, truy cập được thực hiện từ đâu và ai đã sao chép dữ liệu quan trọng.

Theo đó, mặc dù có rất nhiều phần mềm chống vi-rút, màn hình và các công cụ bảo vệ thông tin tích cực khác, nhưng không có bức tranh nào về những gì đang xảy ra trong cơ sở hạ tầng. Tất cả các yếu tố bảo vệ được định cấu hình và hoạt động riêng lẻ, nhưng không có liên kết duy nhất nào giữa chúng cho phép sử dụng hiệu quả một bộ công cụ bảo vệ, xác định sự cố nhanh nhất có thể và học cách hành động chủ động.

Bạn có thể cải thiện hiệu quả của bộ công cụ bảo mật thông tin, thiết bị mạng và ứng dụng khác nhau như thế nào? Các chuyên gia của Jet Infosystems nhìn thấy giải pháp cho nhiều vấn đề hiện tại về cung cấp bảo mật thông tin và tăng hiệu quả bảo vệ doanh nghiệp trong việc xây dựng trung tâm kiểm soát an ninh thông tin. Hãy xác định ý nghĩa của khái niệm này, những yếu tố nào có thể được bao gồm, làm thế nào để đạt được hiệu quả trong việc xác định và loại bỏ các sự cố bảo mật thông tin.

Thực hành SOC ở Nga

Trước khi đưa ra ý kiến ​​​​chuyên gia và đưa ra bất kỳ khuyến nghị nào, chúng tôi sẽ xem xét một số cách tiếp cận để tổ chức các Trung tâm kiểm soát an ninh thông tin ở Nga. Nói chung, SOC là một phần của quy trình quản lý bảo mật thông tin tổng thể cùng với quản lý rủi ro, kiểm soát rò rỉ thông tin và kiểm soát truy cập. Trong hầu hết các công ty Nga xây dựng SOC, tất cả các quy trình này tiến hành song song với việc phát triển chiến lược bảo mật thông tin.

Cái chính là con người

Hãy xem xét các ví dụ cụ thể, nổi bật nhất. Một trong những Trung tâm kiểm soát an toàn thông tin lớn nhất thuộc về một nhà mạng viễn thông. Công ty bao gồm một số quốc gia và sử dụng hơn 40.000 người. Các quy mô như vậy áp đặt các chi tiết cụ thể của riêng chúng khi làm việc với thông tin, đặc biệt là về đăng ký các sự kiện liên quan đến bảo mật thông tin. Trung tâm Điều hành An ninh dựa trên ba lĩnh vực cơ bản - quy trình, con người và công nghệ. Mỗi thành viên SOC đều biết vai trò và trách nhiệm của họ, quy tắc phản hồi và quy trình tương tác với những người khác.

Được thực hiện trong công ty này, bao gồm một số lĩnh vực chính. Đầu tiên, nó là một hệ thống con tương quan và thu thập sự kiện bảo mật thông tin thu thập nhật ký từ hơn 2000 thiết bị. Dữ liệu đến từ nhiều nguồn khác nhau - từ thiết bị mạng, ứng dụng, hệ điều hành, cơ sở dữ liệu. Hệ thống con giám sát giao dịch cơ sở dữ liệu bao gồm tất cả các DBMS chính của các nhà sản xuất và phiên bản khác nhau. Hệ thống con bảo vệ cơ sở dữ liệu được tích hợp vào SOC và là một trong những nguồn sự kiện bảo mật thông tin có sẵn để phân tích trong bảng điều khiển giám sát chính. Hệ thống con để giám sát trạng thái bảo mật thông tin và kiểm soát các lỗ hổng đang được phát triển tích cực, đây cũng là một thành phần của tổ hợp công nghệ bảo vệ thông tin.

Tính độc đáo của SOC của công ty này nằm ở cách tiếp cận tích hợp để bảo mật thông tin. Trọng tâm không phải là quá nhiều về công nghệ, mà là các quy trình và con người. Chính các nhân viên của công ty sẽ đưa ra phản ứng kịp thời đối với các sự kiện và sự cố, xác định và loại bỏ các lỗ hổng cũng như các mối đe dọa tiềm ẩn nhanh nhất có thể. Nhờ một bảng điều khiển duy nhất, họ thu thập thông tin tập trung từ các hệ thống con khác nhau trong thời gian thực.

Phân công lao động

Một ví dụ thú vị khác về cách tiếp cận xây dựng Trung tâm điều hành an ninh thông tin đến từ một công ty trong ngành dầu mỏ. Trên thực tế, ban lãnh đạo công ty mong đợi các chỉ số SOC về bảo mật dữ liệu quan trọng, tốc độ xác định và loại bỏ sự cố, cũng như một số chỉ số SLA khác. Công ty này đã quyết định tự xác định các chỉ số quan trọng về mức độ bảo mật thông tin và không xây dựng Trung tâm kiểm soát bảo mật thông tin của riêng mình mà giao các chức năng này cho một công ty thầu chuyên về bảo mật thông tin. Trong trường hợp này, tất cả mọi người đã làm những gì anh ấy giỏi. Công ty dầu mỏ đặt ra các yêu cầu dựa trên nhu cầu của doanh nghiệp và công ty chuyên gia đã giải quyết các vấn đề dẫn đến kết quả mong muốn.

Đây là hai ví dụ nổi bật nhất trong các công ty Nga. Cả hai đều hiệu quả và giải quyết các vấn đề kinh doanh tốt như nhau. Nếu bạn có kế hoạch phát triển một trung tâm kiểm soát an ninh thông tin trong công ty của mình, trước hết, bạn nên chú ý đến đặc thù của ngành, mức độ yêu cầu của quản lý cấp cao đối với an ninh thông tin và sự cần thiết phải tách các chức năng quản lý an ninh thông tin thành một bộ phận riêng biệt. đơn vị chức năng.

Nhiều hơn không có nghĩa là tốt hơn

Operational Information Security Management Center - đảm bảo và tự tin về mức độ an toàn thông tin

Một trong những công cụ mạnh mẽ nhất để quản lý hiệu quả bảo mật thông tin của bất kỳ doanh nghiệp nào là Trung tâm điều hành bảo mật (SOC), cho phép bạn kiểm soát và duy trì mức độ bảo mật thông tin mà doanh nghiệp yêu cầu.

Theo kinh nghiệm cho thấy, tính bảo mật của các quy trình kinh doanh quan trọng của công ty, bao gồm bảo mật thông tin, là một trong những yêu cầu của thực tiễn kinh doanh hiện đại. Về vấn đề này, các công ty đang thực hiện một loạt các biện pháp tổ chức và kỹ thuật để đảm bảo an toàn thông tin. Tuy nhiên, việc giới thiệu chỉ các phương tiện bảo vệ, theo quy luật, không hiểu được mức độ bảo mật thông tin nhận được tương ứng với mức độ yêu cầu như thế nào, và do đó, không nói lên hiệu quả của toàn bộ hệ thống bảo mật thông tin nói chung . Đánh giá nội bộ và bên ngoài là không đủ để giải quyết vấn đề này, vì chúng là định kỳ.

Nếu không giám sát liên tục bảo mật thông tin trong thời gian thực, sẽ rất khó để có thông tin đầy đủ và đáng tin cậy về các sự kiện và lỗ hổng hiện có, cài đặt hiện tại và hoạt động chính xác của các công cụ bảo vệ.

Các công ty đồng thời triển khai một phần quy trình của hệ thống quản lý bảo mật thông tin (ISMS) theo tiêu chuẩn ISO 27001 (quy trình quản lý sự cố IS, quản lý lỗ hổng, quản lý thay đổi, kiểm soát việc tuân thủ các yêu cầu của pháp luật và ngành), đồng thời thực hiện một phần của các yêu cầu của chuẩn PCI DSS (yêu cầu của mục 1, 6 , 10, 11, 12).

Trong các công ty có cơ sở hạ tầng CNTT phát triển và một số lượng lớn các công cụ bảo vệ khác nhau, việc xây dựng một bức tranh hoàn chỉnh mà không có các phương tiện kỹ thuật chuyên dụng là rất khó khăn.

Ngoài ra, các công cụ bảo mật được triển khai chỉ nhằm mục đích giảm khả năng xảy ra sự cố bảo mật thông tin. Nếu sự cố xảy ra mà không có sự can thiệp kịp thời thì thiệt hại có thể rất nghiêm trọng. Do đó, điều quan trọng là phải ứng phó kịp thời với các sự cố được xác định trong quá trình giám sát.

Đồng thời, các yêu cầu ngày càng tăng của luật pháp và quy định trong lĩnh vực bảo mật thông tin (FZ số 152 "Về dữ liệu cá nhân", PCI DSS, ISO / IEC 27001:2005, SOX, Basel II, STO BR IBBS-1.0- 2006, STR-K) nói về sự cần thiết phải tuân thủ chúng và tiến hành kiểm tra định kỳ việc thực hiện chúng.

Phản ứng nhanh với các sự cố, quản lý lỗ hổng và kiểm soát việc tuân thủ các yêu cầu của luật pháp, quy định và chính sách nội bộ của công ty, các công ty rất khó kiểm tra nhanh chóng và chính xác trạng thái của mức độ bảo mật để tuân thủ yêu cầu, cũng như duy trì an ninh ở mức thích hợp.

Theo kết luận của các chuyên gia của chúng tôi, theo quy định, chỉ xây dựng các công cụ bảo vệ mà không giải quyết các vấn đề này không phải là một chiến lược hiệu quả để đảm bảo an toàn thông tin trong công ty.

Tập trung quản lý an toàn thông tin vận hành

Trung tâm An ninh Thông tin của Jet Infosystems đã phát triển và đang triển khai một giải pháp toàn diện cho các nhiệm vụ đã thảo luận ở trên - Trung tâm Điều hành An ninh (SOC).

Trung tâm quản lý vận hành IS là một tập hợp các quy trình quản lý IS đang hoạt động và có liên quan (giám sát, quản lý sự cố IS, quản lý lỗ hổng, kiểm kê tài sản, quản lý thay đổi, kiểm soát chính sách bảo mật) và quá trình tự động hóa của chúng thông qua việc triển khai các hệ thống kỹ thuật có liên quan được kết nối chặt chẽ và bổ sung cho nhau:

• Giám sát trạng thái IS (giám sát sự kiện IS, kiểm tra hành động của người dùng, quản lý lỗ hổng/kiểm soát cấu hình);
• quản lý sự cố an toàn thông tin;
• kiểm soát việc tuân thủ các yêu cầu của luật pháp, tiêu chuẩn quốc tế và ngành, chính sách nội bộ của công ty.

SOC cung cấp một bức tranh toàn cảnh về tình trạng bảo mật thông tin hiện tại trong công ty, cho phép bạn nhanh chóng loại bỏ các sai lệch đã phát hiện và đảm bảo mức độ bảo mật thông tin được chỉ định. Với sự trợ giúp của nó, bạn có thể theo dõi các sự kiện liên quan đến bảo mật thông tin xảy ra trong hệ thống thông tin, phân tích và so sánh chúng với dữ liệu khác, kiểm soát các lỗ hổng hiện có, kiểm soát cấu hình, theo dõi mức độ tuân thủ các yêu cầu của pháp luật, quy định và chính sách của công ty, và nhanh chóng ứng phó với các sự cố đã được xác định IB.

Trung tâm quản lý vận hành IS cho phép bạn giám sát và quản lý bảo mật thông tin của công ty trong thời gian thực, đảm bảo rằng mức độ bảo trì IS yêu cầu đã đạt được và duy trì, giám sát việc đạt được các chỉ số hiệu suất mục tiêu (KPI) bảo trì IS đã đặt ra.

Các yếu tố chính đảm bảo tính hiệu quả của các trung tâm đó là: việc thực hiện các quy trình
giám sát, lỗ hổng và quản lý sự cố; phân công trách nhiệm hợp lý giữa các nhân viên trong công ty; phát triển và thực hiện các quy định để ứng phó với các sự cố an toàn thông tin và phân tích sau đó.

Cơm. 1. Trung tâm điều hành tác nghiệp đảm bảo an toàn thông tin.

Giám sát trạng thái IS

Giám sát trạng thái IS bao gồm một số hệ thống.

Hệ thống quản lý (giám sát) sự kiện IS (Hệ thống quản lý thông tin bảo mật, SIMS) triển khai một cách tiếp cận tích hợp để giải quyết các vấn đề thu thập, phân tích (tương quan) và giám sát các sự kiện bảo mật thông tin đến từ các công cụ bảo mật khác nhau. Nó giúp giải quyết các nhiệm vụ sau:

• . quản lý một khối lượng lớn các sự kiện an toàn thông tin;
• có được một bức tranh hoàn chỉnh về những gì đang xảy ra trong hệ thống thông tin từ quan điểm bảo mật thông tin;
• giám sát mức độ bảo mật hiện tại (giám sát việc đạt được các chỉ số hiệu suất cụ thể (KPI) của bảo trì IS);
• phát hiện kịp thời các sự cố an toàn thông tin;
• thu thập dữ liệu thực để phân tích và đánh giá rủi ro;
• đưa ra quyết định sáng suốt về quản lý an ninh thông tin;
• tuân thủ các yêu cầu của luật pháp và quy định để giám sát các sự kiện bảo mật thông tin (ISO/IEC 27001:2005, PCI DSS, STO BR IBBS, Luật liên bang số 152-FZ
  "Dữ liệu cá nhân", v.v.).

Hệ thống quản lý sự kiện bảo mật thông tin được đại diện trên thị trường. Chúng khác nhau về chức năng, phạm vi nhiệm vụ cần giải quyết, phạm vi. Jet Infosystems sử dụng các sản phẩm linh hoạt, mạnh mẽ và không ngừng cải tiến có hỗ trợ kỹ thuật chất lượng cao ở Liên bang Nga và các nước CIS: , Trình quản lý thông tin bảo mật Symantec (SSIM).

Hệ thống kiểm tra hành động của người dùng cung cấp đăng ký và phân tích hành động của người dùng (chủ yếu ở cấp cơ sở dữ liệu), gửi thông báo trong thời gian thực và chuẩn bị báo cáo về việc ai có quyền truy cập vào thông tin nào và cách những hành động này có thể vi phạm yêu cầu của cơ quan quản lý bên ngoài hoặc quy tắc bảo mật thông tin nội bộ của công ty.

Hệ thống kiểm tra hành động của người dùng kiểm soát các hành động độc hại của người dùng, bảo vệ chống rò rỉ thông tin bí mật và cung cấp câu trả lời cho các câu hỏi: “Ai? Bạn đã làm gì? Khi? Ở đâu? Ở đâu? Ở đâu? Bằng cách nào?", chuẩn bị các báo cáo của các cấp khác nhau (từ người đứng đầu công ty đến quản trị viên bảo mật thông tin).

Trung tâm bảo mật thông tin của Jet Infosystems triển khai hệ thống kiểm tra hành động của người dùng dựa trên các sản phẩm đã được chứng minh tốt IBM Infosphere Guardium và Imperva, tính năng đầu tiên tích hợp dễ dàng với các sản phẩm ArcSight ESM và tính năng thứ hai có một trong những chức năng tường lửa ứng dụng web mạnh mẽ nhất trên thị trường (Tường lửa ứng dụng web).

Hệ thống Quản lý Lỗ hổng/Kiểm soát Cấu hình cung cấp dữ liệu thời gian thực về các lỗ hổng hiện có, theo dõi động lực loại bỏ chúng, giám sát các thay đổi và tự động hóa các tác vụ như kiểm kê tài nguyên và kiểm soát cấu hình. Việc tìm kiếm các lỗ hổng của các tài nguyên quan trọng được thực hiện liên tục theo nhiều cách khác nhau: quét mạng, kiểm tra thâm nhập, kiểm tra hệ thống, phân tích bảo mật của DBMS và ứng dụng web. Jet Infosystems triển khai hệ thống này dựa trên sản phẩm MaxPatrol (Công nghệ tích cực).

Quản lý sự cố an toàn thông tin

Hệ thống quản lý sự cố an toàn thông tin thực hiện đăng ký, phản hồi kịp thời và giải quyết hiệu quả các sự cố bảo mật thông tin, thực hiện toàn bộ chu trình làm việc với chúng. Mức độ thiệt hại gây ra cho nó phụ thuộc vào mức độ nhanh chóng và thành thạo của công ty phản ứng và giải quyết sự cố bảo mật thông tin đã phát sinh. Vì vậy, việc chuẩn bị giải quyết sự cố có tầm quan trọng đặc biệt.

Giai đoạn chuẩn bị bao gồm lập kế hoạch, xác định người chịu trách nhiệm, phân chia trách nhiệm, xây dựng kế hoạch giải quyết sự cố, v.v.

Cơm. 2. Hệ thống quản lý sự cố an toàn thông tin.

Trong quá trình quản lý các sự cố an toàn thông tin, điều quan trọng không chỉ là giải quyết chúng mà còn phải phân tích mức độ hiệu quả của quá trình này. Cần kiểm tra định kỳ các kế hoạch đã xây dựng để luôn cập nhật và cải tiến kịp thời. Ngoài ra, điều quan trọng là phải phân tích các sự cố trong quá khứ để tiếp tục điều chỉnh các hoạt động hiện tại và thực hiện các biện pháp bảo vệ chủ động.

Nếu phân tích cho thấy những sai lệch nhỏ, thì các hành động khắc phục sẽ được thực hiện. Tuy nhiên, nếu các lỗi hệ thống được phát hiện, sự kém hiệu quả của các kế hoạch được áp dụng, v.v. - kích hoạt giai đoạn chuẩn bị.

Xây dựng Hệ thống quản lý sự cố an toàn thông tin liên quan đến việc triển khai quy trình quản lý sự cố an toàn thông tin và (tùy chọn) tự động hóa quy trình đó.

kiểm soát tuân thủ

Hệ thống kiểm soát tuân thủ cho phép bạn thực hiện kiểm tra công nghệ thường xuyên về sự tuân thủ của hệ thống thông tin với các chính sách bảo mật nội bộ của công ty, tiêu chuẩn kỹ thuật, yêu cầu quy định, tiêu chuẩn quốc tế, v.v.

Hệ thống này tạo cơ hội xác định tiêu chuẩn nội bộ dựa trên các tiêu chuẩn quốc tế (ISO 27001), khuyến nghị của nhà sản xuất, "thực tiễn tốt nhất" NSA, NIST, CIS, yêu cầu nội bộ. Và cũng liên tục giám sát việc tuân thủ các tiêu chuẩn đối với thiết bị mạng, hệ thống ứng dụng (ERP, CRM), hệ điều hành UNIX và Windows, các DBMS khác nhau.

Jet Infosystems triển khai hệ thống kiểm soát tuân thủ dựa trên các sản phẩm MaxPatrol (Công nghệ tích cực).

Làm thế nào để xây dựng Trung tâm điều hành an ninh?

Có nhiều lựa chọn khác nhau để xây dựng SOC tùy thuộc vào mức độ trưởng thành và các nhiệm vụ hiện tại của công ty: từ việc triển khai các hệ thống riêng lẻ đến các giải pháp phức tạp. Khi thực hiện các dự án quy mô lớn phức tạp trong một số tình huống, việc triển khai theo giai đoạn là tối ưu, khi ở mỗi giai đoạn, phạm vi của SOC được tăng lên cả về phạm vi lãnh thổ (ví dụ: đầu tiên - trụ sở chính, sau đó - khu vực) và chức năng hệ thống (hệ thống quản lý sự kiện IS, sau - hệ thống quản lý lỗ hổng).

Làm thế nào để sử dụng SOC để giải quyết các vấn đề kinh doanh?

Theo chúng tôi, hiệu quả của việc triển khai và sử dụng các phương tiện kỹ thuật là tối đa nếu công ty hiểu rõ các nhiệm vụ cần giải quyết bằng các công cụ SOC. Dưới đây là bảng tóm tắt với các tác vụ cấp cao có thể có mà Trung tâm Điều hành An toàn Thông tin giúp giải quyết.

Chúng tôi chỉ xem xét một phần trong số các nhiệm vụ điển hình nhất mà ban lãnh đạo công ty có thể đặt ra cho bộ phận đảm bảo an toàn thông tin của công ty. Nhưng điều đáng chú ý là các vấn đề được liệt kê là điều kiện tiên quyết để triển khai Trung tâm kiểm soát hoạt động an toàn thông tin.

Doanh nghiệp được lợi gì khi triển khai SOC?

Đầu tiên, với sự trợ giúp của SOC, có thể tổ chức một quy trình cải tiến liên tục các biện pháp bảo vệ để đảm bảo an ninh. Phân tích liên tục các sự kiện hiện tại và sự cố bảo mật thông tin, tìm ra nguyên nhân xảy ra sự cố với sự tham gia của các bộ phận khác nhau cho phép chúng tôi đánh giá hiệu quả của các biện pháp bảo vệ hiện tại, hiểu những thiếu sót của chúng và phát triển các đề xuất thay thế hoặc điều chỉnh chúng.

Thứ hai, sự ra đời của SOC làm giảm chi phí trực tiếp và gián tiếp. Với một đội ngũ nhân viên nhỏ, khi "không đủ tay", SOC cho phép bạn giảm các tài nguyên cần thiết để xử lý thủ công các sự kiện bảo mật thông tin và tăng số lượng phương tiện bảo vệ được kiểm soát. Đồng thời, nó không yêu cầu tăng nhân viên mà ngược lại, nó cho phép bạn tối ưu hóa công việc của nhân viên bằng cách đưa dữ liệu vào một bảng điều khiển và tự động hóa quá trình phân tích các sự kiện bảo mật thông tin đang diễn ra.

Thứ ba, thông qua Trung tâm kiểm soát an ninh thông tin, có thể tách biệt quyền kiểm soát đối với các hệ thống CNTT. Theo quy định, các công cụ bảo mật, việc quản lý và vận hành chúng thuộc thẩm quyền của bộ phận CNTT, trong khi bảo mật thông tin chỉ được giao các chức năng kiểm soát. SOC có lẽ là công cụ kiểm soát duy nhất trong tay các bộ phận bảo mật thông tin, cho phép họ theo dõi các hành động trong hệ thống CNTT, giúp giảm thiểu tác động của yếu tố con người một cách khách quan và tăng mức độ bảo mật thông tin của công ty.

Thứ tư, sự hiện diện của Trung tâm quản lý vận hành đơn giản là cần thiết trong quá trình mua bán, sáp nhập. Trung tâm quản lý vận hành cho phép bạn đưa công ty liên kết tuân thủ một cách hiệu quả các tiêu chuẩn bảo mật thông tin được thông qua trong tổ chức mẹ. SOC không chỉ giúp nhanh chóng phát hiện sự khác biệt mà còn theo dõi việc loại bỏ chúng với khả năng thiết lập và kiểm soát các KPI liên quan cho các bộ phận chịu trách nhiệm về việc sáp nhập.

Và cuối cùng, dữ liệu do SOC cung cấp sẽ tinh chỉnh đáng kể việc đánh giá rủi ro, đây là cơ sở để lựa chọn các biện pháp bảo vệ nhất định. Ngoài ra, việc chính thức hóa các thủ tục giúp giảm chi phí gián tiếp của công ty, vì các vấn đề phê duyệt mà không có lý do định tính sẽ chiếm một lượng đáng kể thời gian làm việc của nhân viên.

Tất cả những mục đích và mục tiêu này đạt được bằng phương tiện gì? Hãy cùng tìm hiểu nhanh về công nghệ của Trung tâm Điều hành An toàn Thông tin.

Cơm. 3. Một bảng với các nhiệm vụ cấp cao khả thi mà Trung tâm Điều hành An toàn Thông tin hỗ trợ giải quyết.

Các thành phần của Trung tâm điều hành an toàn thông tin vận hành

Như đã lưu ý trước đó, SOC là một tập hợp các biện pháp tổ chức và kỹ thuật. Một công ty quyết định triển khai SOC trước hết cần quan tâm đến việc thành lập một bộ phận hoặc nhóm chuyên gia riêng quản lý Trung tâm. Đây phải là các nhà phân tích, quản trị viên và người điều hành bảng điều khiển giám sát tập trung. Điều quan trọng không kém là chính thức hóa các quy trình xác định và giải quyết các sự cố an toàn thông tin. Và nếu phần tổ chức ít nhiều rõ ràng, thì khi lựa chọn công nghệ, hầu hết khách hàng đều phải đối mặt
với khó khăn.

Cơm. 4. Phân bổ lỗ hổng theo loại nghiêm trọng.

MaxPatrol - Hệ thống giám sát trạng thái IS

Hệ thống giám sát trạng thái IS là một trong những nền tảng cơ bản và được khuyến nghị triển khai ở giai đoạn đầu tiên khi xây dựng hệ thống bảo mật thông tin doanh nghiệp. Jet Infosystems sử dụng các sản phẩm MaxPatrol do Positive Technologies sản xuất làm nền tảng công nghệ để xây dựng SOC.

MaxPatrol là một hệ thống chuyên gia được sử dụng để phát hiện lỗi trong việc bảo vệ tài nguyên CNTT. Ứng dụng của hệ thống cho phép:

• cập nhật thông tin về khu công nghệ thông tin;
• phát hiện kịp thời những thay đổi trái phép;
• tự động tiến hành kiểm tra để duy trì hệ thống máy tính ở trạng thái an toàn.

Do tất cả những điều trên, hệ thống cho phép bạn phát hiện và loại bỏ kịp thời các lỗ hổng bảo mật. Mục tiêu chính của việc sử dụng hệ thống thường là giám sát hiệu quả của các quy trình bảo mật thông tin, kiểm soát các thay đổi và chính sách bảo mật, kiểm kê tài sản CNTT và đánh giá tính bảo mật của cơ sở hạ tầng của công ty.

Giải pháp MaxPatrol là một hệ thống cấp chuyên gia. Thành phần quan trọng nhất của nó là cơ sở kiến ​​thức được cập nhật hàng ngày chứa thông tin toàn diện về các mối đe dọa IS hiện có (virus, trojan, lỗ hổng phần mềm ứng dụng, v.v.). Cơ sở kiến ​​thức được duy trì bởi các chuyên gia đầu ngành. Thông tin chứa các khuyến nghị chi tiết để loại bỏ các thiếu sót đã xác định, các yêu cầu về trình độ của nhân viên bảo trì. Kiểm tra heuristic độc đáo cho phép bạn phát hiện các lỗ hổng mới và kiểm tra các hệ thống không chuẩn và hệ thống do chính bạn thiết kế.

Hệ thống MaxPatrol cho phép bạn tự động hóa và tập trung hóa các quy trình đánh giá hiệu quả quản lý dịch vụ CNTT và IS, giám sát trạng thái bảo mật thông tin, tuân thủ các tiêu chuẩn và tìm kiếm các lỗ hổng trong hệ thống thông tin ở mọi quy mô. Điều này giúp có thể kịp thời nhận được bức tranh hoàn chỉnh về trạng thái bảo mật, của toàn bộ hệ thống và của từng nút riêng lẻ.

Cơm. 5. Thông tin về mức độ tuân thủ của cơ sở hạ tầng của công ty với các yêu cầu của CIS.

Các điều kiện tiên quyết để mua và triển khai hệ thống MaxPatrol là gì?

Thông thường, các quy trình kiểm kê, đánh giá bảo mật và kiểm soát các chính sách bảo mật được thực hiện không thường xuyên hoặc trong khoảng thời gian dài. Điều này dẫn đến thực tế là thông tin mất đi sự liên quan và tình hình trở nên mất kiểm soát. Phương pháp tiếp cận tích hợp và các công cụ tự động hóa thông minh được triển khai trong MaxPatrol đảm bảo giảm thiểu chi phí lao động cần thiết để giải quyết các nhiệm vụ giám sát an ninh thông tin và CNTT, cho phép phát hiện kịp thời các sự cố, tăng khả năng quản lý và bảo mật của hệ thống thông tin.

Sử dụng cơ sở kiến ​​thức sâu rộng và được cập nhật liên tục của MaxPatrol, quản trị viên có thể nhanh chóng tạo các mẫu cấu hình hệ thống tham chiếu, theo dõi các chính sách bảo mật hệ thống không tuân thủ và giải quyết hiệu quả các lỗ hổng đã xác định. Cơ chế tạo báo cáo cho phép bạn theo dõi các thay đổi về bảo mật của các nút và bộ phận riêng lẻ, cũng như kiểm soát các số liệu kinh doanh, chẳng hạn như mức độ tuân thủ các tiêu chuẩn, hiệu quả của việc loại bỏ sự không nhất quán và mức độ kiểm soát cơ sở hạ tầng thông tin. Hình 5 là Báo cáo tuân thủ PCI DSS cấp cao nhất (Điểm chuẩn của CIS).

Một trong những yếu tố ảnh hưởng đến tính liên tục của các dịch vụ, tài nguyên và hệ thống CNTT là trạng thái cài đặt cấu hình của chúng, không có dịch vụ và phần mềm trái phép trên máy trạm và máy chủ, sự hiện diện của các bản cập nhật và bản vá đã cài đặt. Các lỗi và lỗ hổng mới được phát hiện hàng ngày trong các hệ thống ứng dụng, dịch vụ mạng và hệ điều hành.

Bộ phận CNTT quản lý một lượng lớn phần mềm và phần cứng không đồng nhất - máy trạm, máy chủ và thiết bị mạng của trụ sở chính và văn phòng lãnh thổ - phải được kiểm soát và giám sát những gì đang xảy ra trong đó. Nếu điều này không được thực hiện, thì sẽ không thể quản lý cơ sở hạ tầng CNTT.

Kết quả là:

Cài đặt thiết bị mạng không tuân thủ các chính sách và khuyến nghị riêng được phát triển của nhà sản xuất;
- các dịch vụ trái phép đang chạy trên máy chủ, các cổng trái phép đang mở;
phần mềm không có giấy phép hoặc trái phép được cài đặt trên máy trạm;
- cài đặt của máy trạm không tương ứng với các chính sách và khuyến nghị riêng được phát triển của nhà sản xuất;
- phần mềm diệt virus không được cập nhật trên máy trạm và máy chủ;
- phần mềm hệ thống không cập nhật và không cài đặt các bản vá bảo mật mới nhất.

Điều này làm tăng nguy cơ xảy ra lỗi và hỏng hóc trong quá trình vận hành các dịch vụ, tài nguyên và hệ thống CNTT. Các lỗi và lỗi thường xuyên trong công việc của các dịch vụ CNTT dẫn đến sự vô tổ chức của các quy trình làm việc và thời gian chết của nhân viên do không thể thực hiện nhiệm vụ công việc của họ, và cuối cùng là thiệt hại kinh tế do không có sẵn tài nguyên. Hạ tầng CNTT khó kiểm soát nếu không có tiêu chuẩn kỹ thuật nhất định. Do đó, cần phải xác định các yêu cầu (tiêu chuẩn) kỹ thuật cụ thể cho các hệ thống và kiểm soát chúng bằng các công cụ tự động hóa phù hợp. Làm thủ công rất mất thời gian và không hiệu quả.

Để nâng cao hiệu quả, Jet Infosystems khuyến nghị tạo các quy trình nội bộ cung cấp khả năng kiểm soát tự động liên tục các hệ thống thông tin. Kiểm soát phải thực hiện giám sát liên tục và theo dõi các thay đổi trong cài đặt của thiết bị mạng, hệ điều hành của máy chủ và máy trạm.

Các bước quan trọng:

• tổ chức kiểm soát sự tuân thủ của hệ thống thông tin với yêu cầu nội bộ doanh nghiệp và yêu cầu của nhà sản xuất;
• phát hiện và loại bỏ kịp thời các sai lệch về SHTT;
• đánh giá hiệu quả của bộ phận CNTT và quy trình kiểm soát hạ tầng CNTT.

Do đó, việc sử dụng MaxPatrol sẽ tự động hóa và tập trung hóa các quy trình quản lý và kiểm soát cơ sở hạ tầng CNTT, đồng thời ngăn chặn các loại sự cố khác nhau. Ví dụ: các cuộc tấn công của những kẻ xâm nhập bên ngoài và bên trong, việc sử dụng phần mềm không được cấp phép, sự không phù hợp với các yêu cầu của tiêu chuẩn kỹ thuật và chính sách nội bộ. Đồng thời, thiệt hại kinh tế do không có sẵn tài nguyên và mất thông tin bí mật sẽ giảm và một số yêu cầu bảo mật thông tin do hệ thống thanh toán quốc tế áp đặt sẽ được đáp ứng.

Giải pháp dựa trên MaxPatrol bao gồm những gì?

Hệ thống MaxPatrol dựa trên kiến ​​trúc ba tầng, đảm bảo khả năng mở rộng cao và cho phép hệ thống được triển khai trong các mạng công ty lớn. Thành phần chính của sản phẩm là MP Server - module quản lý sản phẩm. Đây là thành phần máy chủ thực hiện tất cả các chức năng chính của máy quét bảo mật phân tán: quét, thu thập dữ liệu, xử lý và lưu dữ liệu vào cơ sở dữ liệu cũng như tạo báo cáo. Mỗi Máy chủ MP bao gồm một mô-đun Máy quét MP thực hiện chức năng quét. Nếu cần, các máy quét bổ sung có thể được thêm vào Máy chủ MP, cho phép bạn tăng hiệu suất và tính đến cấu trúc liên kết mạng khi quét (ví dụ: sự hiện diện của tường lửa và các công cụ bảo mật). Ngoài ra, một máy quét bổ sung có thể được di chuyển ra ngoài phân đoạn mạng được nghiên cứu và quét đồng thời cả bên trong và bên ngoài mạng.

Máy chủ Hợp nhất (Máy chủ Hợp nhất MP) tích lũy thông tin từ nhiều Máy chủ MP khác nhau và cho phép bạn xây dựng một bức tranh hoàn chỉnh về tính bảo mật của một hệ thống thông tin phân tán lớn. Cơ sở dữ liệu nội bộ hoặc DBMS bên ngoài của công ty có thể được sử dụng làm kho lưu trữ thông tin. Microsoft SQL Server 2000/2005 được sử dụng như một DBMS bên ngoài.

Máy chủ cập nhật cục bộ (MP Local Update Server)được sử dụng như một điểm hỗ trợ duy nhất cho cơ sở tri thức và các mô-đun thực thi của các thành phần được cập nhật.

Máy chủ di động (Máy chủ di động MP)được sử dụng như một công cụ làm việc thuận tiện cho các kiểm toán viên trong lĩnh vực bảo mật thông tin. Giải pháp này rất lý tưởng cho các cuộc kiểm tra thâm nhập và kiểm toán của kiểm toán viên nội bộ. Sự hiện diện của mô-đun hợp nhất tích hợp sẵn cho phép, sau khi kiểm tra các mạng và bộ phận ở xa về mặt địa lý (hoặc các phân đoạn bị cô lập về mặt vật lý), sử dụng các kết quả trong báo cáo chung do sản phẩm chuẩn bị dựa trên Máy chủ hợp nhất MP.

Rõ ràng, sản phẩm MaxPatrol là một giải pháp của công ty để theo dõi tình trạng bảo mật thông tin và có thể giải quyết mọi vấn đề phức tạp ở mọi quy mô. Giải pháp có thể mở rộng dễ dàng, tất cả các thành phần của nó đều tập trung.

Cơm. 6. Một ví dụ về kiến ​​trúc MaxPatrol cho một công ty phân bố theo địa lý.

Quản lý sự cố an toàn thông tin

Việc quản lý sự cố an toàn thông tin trong Trung tâm quản lý và giám sát an toàn thông tin được thực hiện bằng một tập hợp các quy trình, thủ tục của tổ chức. Họ cung cấp đăng ký, phản hồi nhanh chóng và giải quyết hiệu quả các sự cố bảo mật thông tin, cũng như toàn bộ chu trình làm việc với các sự cố. Mức độ thiệt hại gây ra cho nó phụ thuộc vào mức độ nhanh chóng và thành thạo của công ty phản ứng và giải quyết sự cố bảo mật thông tin đã phát sinh. Về vấn đề này, việc chuẩn bị để giải quyết các sự cố có tầm quan trọng đặc biệt.

Giai đoạn chuẩn bị cho việc thực hiện các quy trình bao gồm lập kế hoạch, xác định người chịu trách nhiệm, phân tách trách nhiệm, xây dựng kế hoạch giải quyết sự cố, v.v. Hơn nữa, các sự cố IS được đăng ký, phản hồi và giải quyết trực tiếp.

Trong quá trình quản lý các sự cố an toàn thông tin, điều quan trọng không chỉ là giải quyết chúng mà còn phân tích hiệu quả của các biện pháp được thực hiện. Cần kiểm tra định kỳ các kế hoạch đã xây dựng để cập nhật và điều chỉnh kịp thời. Ngoài ra, cần phân tích các sự cố đã xảy ra để có biện pháp bảo vệ chủ động.

Nếu phân tích cho thấy những sai lệch nhỏ, thì các hành động khắc phục sẽ được thực hiện. Nếu phát hiện lỗi hệ thống, tính không hiệu quả của các kế hoạch được áp dụng, v.v., thì giai đoạn chuẩn bị sẽ được kích hoạt.

Cơm. 7. Nâng cao hiệu quả công tác bảo vệ.

Hệ thống quản lý (giám sát) sự kiện IS

Hệ thống quản lý sự kiện IS, là một phần của Trung tâm, triển khai phương pháp tích hợp để giải quyết các vấn đề thu thập, phân tích (tương quan) và kiểm soát các sự kiện IS từ các công cụ bảo vệ khác nhau. Điều này giúp xác định hiệu quả các sự cố IS trong thời gian thực với việc chuyển tiếp chúng sang hệ thống quản lý sự cố, để có được dữ liệu thực để phân tích và đánh giá rủi ro, đưa ra các quyết định hợp lý và đầy đủ để đảm bảo IS.

Hệ thống tương quan và thu thập sự kiện an toàn thông tin là một loại “lốp xe”, một công cụ cơ bản để xác định và điều tra các sự cố an toàn thông tin. Trong hầu hết các trường hợp, mục tiêu của việc triển khai các hệ thống giám sát sự kiện là giảm thiểu thiệt hại từ các sự cố an toàn thông tin bằng cách phát hiện và ứng phó kịp thời với chúng. Bằng cách chính thức hóa và tự động hóa quy trình quản lý sự cố, có thể giảm chi phí, cũng như tăng mức độ tuân thủ các yêu cầu của tiêu chuẩn Nga và quốc tế.

Việc giới thiệu các hệ thống thuộc loại này giúp tăng đáng kể hiệu quả của dịch vụ bảo mật thông tin và sẽ cung cấp cho tất cả các bộ phận công nghệ của công ty một công cụ để xử lý sự kiện tự động.

Nói về hiệu quả của bảo mật thông tin, chúng ta không được quên rằng hiệu quả đạt được là do hành động của những người làm việc trong dịch vụ bảo mật. Dưới đây chúng tôi cung cấp một bảng tóm tắt về sự tương ứng của các vai trò, yêu cầu và các công cụ SOC cần thiết cho một đơn vị bảo mật thông tin điển hình.

Theo chúng tôi, các sản phẩm phổ biến và hoàn chỉnh nhất về mặt kỹ thuật tại thời điểm này là ArcSight Enterprise Security Manager, RSA enVision, Symantec Security Information Manager.
Các sản phẩm này cho phép bạn thực hiện hầu hết mọi nhiệm vụ liên quan đến việc thu thập các sự kiện, phân tích và xác định các mối đe dọa đối với bảo mật thông tin. Dưới đây chúng tôi sẽ xem xét từng người trong số họ một cách riêng biệt và tập trung vào những lợi thế và sự khác biệt của họ.

Hãy bắt đầu đánh giá với sản phẩm ArcSight của HP, công ty dẫn đầu thị trường Nga và thế giới về các giải pháp SIEM (Quản lý sự kiện và thông tin bảo mật).

ArcSight ESM

sản phẩm công ty ArcSight, được HP mua lại gần đây, hiện đang dẫn đầu ngành, cả về số lượng triển khai ở Nga và nước ngoài, cũng như về chức năng. Nó được cài đặt cả ở dạng phần mềm và ở dạng hệ thống phần mềm và phần cứng, mang lại sự linh hoạt độc đáo trong việc lựa chọn kiến ​​trúc triển khai và lập kế hoạch khả năng mở rộng của giải pháp. Điều này giúp có thể kiểm soát chi tiết và dự đoán được chi phí của toàn bộ hệ thống.

Các giải pháp Arcsight được thiết kế để thu thập, xử lý, tương quan và ứng phó với các sự kiện bảo mật thông tin, có các đặc tính về khả năng mở rộng, độ tin cậy, khả năng mở rộng và khả năng chịu lỗi. Các giải pháp được xây dựng trên cơ sở của sản phẩm Giải pháp bảo mật doanh nghiệp ArcSight, mà cốt lõi là sản phẩm ArcSight ESM (Trình quản lý bảo mật doanh nghiệp). Sản phẩm này cung cấp khả năng thu thập, xử lý và lưu trữ các sự kiện bảo mật có thể đến từ nhiều nguồn khác nhau. ArcSight ESM hỗ trợ tích hợp với một số lượng lớn các hệ thống và thiết bị ứng dụng (tổng cộng khoảng ba trăm) và đi kèm với hàng nghìn quy tắc tương quan được cài đặt sẵn.

Hệ thống bao gồm tác nhân Flex Connector, cho phép tích hợp với bất kỳ loại ứng dụng và thiết bị nào.

Lưu trữ và phân tích nhật ký kiểm tra được thực hiện bằng giải pháp Máy ghi nhật ký ArcSight- một tổ hợp phần mềm và phần cứng có thể thu thập và phân tích tất cả dữ liệu trong nhật ký kiểm tra của tổ chức, cung cấp kho lưu trữ nén và kinh tế để lưu trữ nhật ký.

Để thu thập thông tin đơn giản và hiệu quả hơn về các sự kiện bảo mật, hệ thống phần cứng và phần mềm có thể được sử dụng như một phần của giải pháp dựa trên ArcSight. Đầu nối ArcSight. Các thiết bị này là cấp độ đầu tiên thu thập và xử lý các sự kiện, đưa nhật ký về định dạng ArcSight. Tiếp theo, các sự kiện đã xử lý từ Thiết bị kết nối được gửi tới cơ sở dữ liệu ESM hoặc tới Bộ ghi nhật ký.

Kiến trúc giải pháp dựa trên sản phẩm cổ điển ArcSight trình bày trên Với kiến ​​trúc này, các sự kiện chuẩn hóa được lưu trữ trong cơ sở dữ liệu ESM và các bản ghi sự kiện ban đầu có thể được gửi đến các thiết bị Logger để lưu trữ và báo cáo cho các kiểm toán viên có yêu cầu giữ nguyên các bản ghi.

Cơm. 8. Kiến trúc hệ thống thu thập và phân tích sự kiện an toàn thông tin dựa trên sản phẩm ArcSight.

Để biết thêm thông tin về các sản phẩm ArcSight, hãy truy cập trang web của nhà sản xuất tại www.arcsight.com.

ArcSight ESM cho phép bạn thu thập và phân tích các báo cáo vi phạm bảo mật từ các hệ thống phát hiện xâm nhập, tường lửa, hệ điều hành, ứng dụng, hệ thống chống vi-rút và bất kỳ nguồn sự kiện nào khác. Thông tin này được thu thập tại một trung tâm duy nhất, được xử lý và phân tích theo các quy tắc được chỉ định để xử lý các sự kiện liên quan đến bảo mật.

Công nghệ ArcSight ESM cung cấp khả năng xử lý các sự kiện bảo mật theo bốn giai đoạn: chuẩn hóa, tổng hợp, tương quan và trực quan hóa. Trong giai đoạn chuẩn hóa và tổng hợp, các sự kiện bảo mật được thu thập từ tất cả các hệ thống phát hiện xâm nhập (tường lửa, hệ điều hành, ứng dụng và hệ thống chống vi-rút) và được rút gọn thành một định dạng thông báo Định dạng Sự kiện Chung (CEF) duy nhất. Các thông báo được tạo ra có tương quan với nhau. Các cơ chế tương quan dựa trên cả phương pháp thống kê và các quy tắc được tạo thêm. ArcSight ESM hiển thị kết quả tới một bảng điều khiển tập trung (được phát triển bằng công nghệ Java) hoạt động trong thời gian thực.

Tổng hợp sự kiện là quá trình loại bỏ các sự kiện trùng lặp để giảm lượng dữ liệu đến và tiết kiệm thời gian cho quá trình xử lý và phân tích tiếp theo. Điều này đặc biệt quan trọng, chẳng hạn như khi quét các cổng, khi các sự kiện tương tự được tạo ra nhiều lần bởi tường lửa. Tập hợp sự kiện cũng được sử dụng để loại bỏ các bản sao khỏi nhiều hệ thống IDS.

Các cơ chế tương quan không kém phần thú vị và quan trọng khi làm việc với các sự kiện. ArcSight ESM kết hợp độc đáo hai công nghệ tương quan, tức là xác định các cuộc tấn công không thể được xác định từ một sự kiện duy nhất. Đầu tiên là dựa trên các quy tắc tương quan và phân tách các báo cáo vi phạm an ninh sai lệch khỏi các sự cố quan trọng. Nó kích hoạt các quy tắc chính sách bảo mật. Các kịch bản hoạt động đáng ngờ có thể được tạo bởi các nhà phát triển phần mềm, công ty tư vấn và chính người dùng. Công nghệ thứ hai - tương quan thống kê - dựa trên việc phân loại và đánh giá các mối đe dọa và được sử dụng để xác định các vi phạm và bất thường bảo mật tiềm ẩn. Cả hai công nghệ đều khác nhau trong cách chúng hoạt động và bổ sung cho nhau.

Các sự kiện có thể được tương quan không chỉ từ nhật ký hệ điều hành hoặc nhật ký thiết bị mạng mà còn cả các sự kiện phức tạp hơn từ các thành phần SOC khác nhau. Vì thế,
Gần đây, một kế hoạch tập trung phân tích các sự kiện nhận được từ các sản phẩm SOC khác nhau, chẳng hạn như MaxPatrol, Imperva, IBM Guardium và thậm chí các hệ thống SIM khác, chẳng hạn như Cisco MARS hoặc enVision, đã trở nên phổ biến và chứng minh tính hiệu quả của nó. . Việc triển khai này làm giảm tốc độ xử lý sự kiện và tăng cơ hội phát hiện các mối đe dọa.
Sử dụng khả năng trực quan hóa của ArcSight ESM, người vận hành, nhà phân tích và quản trị viên có thể nhanh chóng có được tất cả thông tin về trạng thái bảo mật của mạng và nếu cần, điều tra và ứng phó với các vi phạm bảo mật trước khi chúng bắt đầu ảnh hưởng đến các tài nguyên thông tin quan trọng. Các giải pháp ArcSight độc đáo ở chỗ chúng có thể được sử dụng bởi cả chuyên gia bảo mật, nhà phân tích hoặc kiểm toán viên, cũng như người đứng đầu bộ phận bảo mật thông tin, theo dõi các chỉ số cấp cao thông qua bảng điều khiển trực quan.

Cơm. 9. Kết hợp các thành phần SOC khác nhau bằng ArcSight.

Việc triển khai hệ thống giám sát dựa trên các sản phẩm ArcSight giúp tự động hóa quy trình ra quyết định để ứng phó với các sự kiện vi phạm an ninh. Đồng thời, việc sử dụng các hệ thống giám sát cũng giúp tăng đáng kể hiệu quả của các phương tiện bảo vệ đã được lắp đặt trong tổ chức.

Câu hỏi đặt ra một cách tự nhiên, những sự kiện nào có thể và nên được theo dõi? Cấu hình báo cáo nào, thông số nào sẽ hiển thị trên bảng điều khiển giám sát trực tuyến?

Theo kinh nghiệm của chúng tôi, nếu chúng ta nói về các nhiệm vụ chung và trọng tâm của báo cáo, thì theo quy định, chúng ta đang nói về việc tạo báo cáo về tần suất kích hoạt quy tắc tường lửa và thay đổi cài đặt thiết bị mạng. Điều này cho phép bạn tối ưu hóa hoạt động của tường lửa bằng cách điều chỉnh thứ tự kích hoạt các quy tắc và kiểm tra cài đặt linh hoạt. Điều quan trọng nữa là báo cáo về sự hiện diện của các công cụ chống vi-rút và các bản cập nhật của chúng trên các hệ thống được giám sát, thông báo về các thay đổi cấu hình đối với các hệ thống quan trọng, ghi lại quyền truy cập vào tệp kiểm tra, giám sát tính toàn vẹn của dữ liệu tệp và kiểm tra tài nguyên hệ thống nội bộ.

Cơm. 10. Ví dụ về bảng điều khiển quản lý sự kiện vận hành dành cho nhà phân tích.

Việc thực hiện các tác vụ liên quan đến quản lý tài khoản người dùng thường được thực hiện bằng cách kiểm soát các thay đổi chính sách mật khẩu (theo dõi các thay đổi về đặc quyền tài khoản người dùng trong miền, thay đổi và thêm người dùng mới, tạo tài khoản có quyền quản trị viên cục bộ, tạo và xóa tài khoản trong một khoảng thời gian ngắn thời gian).

Thông thường, các hệ thống lớp SIEM được định vị là hệ thống giám sát hành động của tất cả người dùng. Đây là một khái niệm khá mơ hồ. Vậy có thể làm gì với ArcSight? Các chuyên gia của chúng tôi lưu ý rằng việc theo dõi hiệu quả và thú vị nhất một số lần liên tiếp (số N được đặt trong hệ thống) đăng ký miền không thành công trong vòng X phút, phát hiện đăng ký trong hệ thống thông tin của người dùng đang đi công tác hoặc trong kỳ nghỉ. Ngoài ra, sẽ rất hữu ích khi kiểm soát việc sử dụng quyền truy cập quản trị vào hệ thống thông tin (tài nguyên) bằng các giao thức không an toàn và việc sử dụng các đặc quyền quản trị của những người dùng chưa được cấp quyền truy cập đó. Hệ thống tài khoản người dùng là một trong những lỗ hổng trong bất kỳ cơ sở hạ tầng nào. Sử dụng các giải pháp ArcSight, bạn có thể kiểm soát việc sử dụng các tài khoản do nhà sản xuất thiết bị đặt, cũng như theo dõi việc sử dụng lại các tài khoản người dùng đã hoạt động trong hệ thống. Hệ thống trực quan hóa các tác vụ này và các tác vụ được áp dụng khác và hiển thị chúng trên màn hình, điều này rất thuận tiện.

Cơm. 11. Một ví dụ về "nút lớn màu đỏ" rất được các nhà lãnh đạo yêu thích trong giao diện ArcSight.

Hầu như bất kỳ tổ chức nào cũng có thiết bị của Cisco trong đội tàu của mình, ở các công ty lớn, số lượng của nó có thể lên tới vài trăm chiếc. Điều này dẫn đến các vấn đề với việc xử lý một số lượng lớn các sự kiện do thiết bị tạo ra. Một số công ty giới hạn việc lưu giữ nhật ký trong một vài giờ, khiến việc điều tra các sự cố xảy ra hàng tháng hoặc thậm chí vài tuần là không thể. Các hệ thống như ArcSight không chỉ cho phép lưu trữ tất cả các sự kiện từ các thiết bị của Cisco trong một thời gian dài mà còn giải quyết một số tác vụ được áp dụng, chẳng hạn như phát hiện và ngăn chặn truy cập trái phép vào mạng công ty hoặc các cuộc tấn công mạng vào mạng và các dịch vụ riêng lẻ. Hệ thống có thể kiểm tra các hành động của quản trị viên thiết bị mạng. Trong số các sự kiện thú vị, họ thường chỉ ra việc theo dõi mục nhập / xuất cảnh đối với các thiết bị có thông báo về các sự kiện ủy quyền trên Cisco ACO cho các tài khoản tích hợp từ các phân đoạn mạng bị cấm hoặc các sự kiện theo dõi về các thay đổi trong cấu hình thiết bị của Cisco. Ngoài ra, có thể theo dõi hoạt động nhằm mục đích quét mạng hoặc sự hiện diện của phần mềm độc hại trên mạng nội bộ của công ty. Phạm vi nhiệm vụ cần giải quyết là vô cùng rộng và chỉ bị giới hạn bởi trí tưởng tượng của quản trị viên ArcSight hoặc chuyên gia bảo mật thông tin.

Tầm nhìn RSA

Theo chúng tôi, một đối thủ mạnh khác trong thị trường thu thập và phân tích sự kiện bảo mật thông tin là giải pháp RSA enVision do EMC sản xuất. Nền tảng RSA enVision cho phép một tổ chức xây dựng một giải pháp quản lý nhật ký ba trong một, tích hợp, duy nhất giúp đơn giản hóa việc tuân thủ của ngành, cải thiện bảo mật và giảm rủi ro, đồng thời tối ưu hóa cơ sở hạ tầng CNTT và bảo trì. Tất cả những lợi ích này đạt được thông qua việc tự động thu thập, phân tích, thông báo sự cố, kiểm tra nhật ký sự kiện, báo cáo và lưu trữ an toàn tất cả nhật ký.

Cơm. 12. Trực quan hóa hành động của người dùng và phát hiện người vi phạm.

Hệ thống RSA enVision giải quyết được nhiều vấn đề. Đây là tập hợp các sự kiện từ thiết bị và kiểm tra hành động của quản trị viên / người dùng IS. Hệ thống cũng cung cấp sự tương quan sự kiện, lưu trữ các sự kiện bảo mật thông tin với khả năng phân tích và xử lý tiếp theo trong khoảng thời gian ít nhất ba năm, kiểm soát việc thu thập dữ liệu từ tất cả các thiết bị, bao gồm cả mạng công nghệ và thông báo trong trường hợp xảy ra lỗi.

Đồng thời, RSA enVision cho mỗi sự kiện IS đã nhận chứa thông tin sau:

• Địa chỉ IP (ID, tên máy chủ) của nút;
• Địa chỉ IP (ID, tên máy chủ) của thiết bị đầu cuối mà từ đó các lệnh được thực thi;
• tên người dùng;
• loại tin nhắn;
• thời gian và ngày của tin nhắn;
• nội dung ban đầu của thư, được chia nhỏ thành các trường.

Nền tảng RSA enVision cho phép bạn trích xuất các tệp nhật ký đồng thời từ hàng chục nghìn thiết bị, bao gồm máy chủ Windows, tường lửa Checkpoint và bộ định tuyến Cisco mà không cần
cài đặt các tác nhân trên chúng, đảm bảo tính liên tục và đầy đủ của việc thu thập dữ liệu.

Joachim Kuehne, Giám đốc Kinh doanh Khu vực Cấp cao, HP:

“Đảm bảo an toàn và bảo mật thông tin trong một tổ chức không phải là một nhiệm vụ tầm thường. Trước đây, trọng tâm là virus, bot, sâu máy tính và hack từ bên ngoài tổ chức. Hiện tại và trong tương lai gần, các công ty ngày càng phải chú ý nhiều hơn đến việc rò rỉ thông tin, gian lận tài chính và các loại hành động gian lận bắt nguồn từ chính nhân viên của tổ chức. Tất cả các yêu cầu pháp lý mới và các hành vi lập pháp liên quan đến bảo mật thông tin đều nhằm mục đích xác định và ngăn chặn chính xác các mối đe dọa nội bộ này.

Chưa bao giờ việc đảm bảo an ninh kinh doanh lại khó khăn đến thế. Do đó, giá trị của các hệ thống giám sát sự kiện an toàn thông tin tự động để đảm bảo tuân thủ các yêu cầu quy định lớn hơn bao giờ hết. Một hệ thống hiện đại để thu thập và phân tích các sự kiện bảo mật thông tin (SIEM, Hệ thống quản lý sự kiện và thông tin bảo mật) có thể thu thập các sự kiện bảo mật thông tin, phân tích chúng và xác định các rủi ro liên quan đến bảo mật thông tin, điều này sẽ cho phép bạn nhanh chóng xác định, ưu tiên và ngăn chặn rò rỉ thông tin, tấn công tin tặc và các mối đe dọa nội bộ.

Nền tảng Quản lý Rủi ro và Đe dọa Doanh nghiệp (ETRM) dựa trên các sản phẩm và giải pháp của ArcSight cho phép bạn tương quan các sự kiện từ các hệ thống thông tin khác nhau với thông tin về vai trò của người dùng và lưu lượng mạng để xác định những người vi phạm bảo mật thông tin, hiểu điều gì đã xảy ra, khi nào và ở đâu. Các sản phẩm ArcSight là giải pháp cho hiện tại và tương lai. Chúng tôi cung cấp hệ thống giám sát mà bạn cần ngày nay, nhưng các công nghệ như ảo hóa, điện toán đám mây và các ứng dụng kinh doanh phức hợp hiện đại ngày càng trở nên quan trọng hơn trong cơ sở hạ tầng của bất kỳ tổ chức nào. Các giải pháp ArcSight cho phép chúng tôi giải quyết các vấn đề về đảm bảo an toàn thông tin của các dịch vụ và công nghệ hiện đại này, bằng cách sử dụng nền tảng ETRM.”

Thông tin chi tiết về khả năng của nền tảng có thể được tìm thấy trên trang web của nhà sản xuất tại www.rsa.com.

Sử dụng thiết kế tiên tiến của riêng mình, kiến ​​trúc IPDB, đã được triển khai ở hàng trăm tổ chức trên khắp thế giới, RSA enVision có thể thu thập tất cả dữ liệu ở mọi cấp độ cơ sở hạ tầng thông tin - từ thiết bị mạng đến ứng dụng. Hệ thống con phân tích LogSmart IPDB phân tích cả dữ liệu được lưu trữ theo thời gian thực và dữ liệu đã được lưu trữ. Hệ thống con cung cấp thông tin dưới dạng các lát dữ liệu và báo cáo có thể đáp ứng nhiều nhu cầu của các bên liên quan trong tổ chức - từ bộ phận CNTT đến bộ phận bảo mật, từ tuân thủ chính sách và phân tích rủi ro đến quản lý công ty. Điểm đặc biệt của hệ thống con LogSmart IPDB là nó không sử dụng các ứng dụng của bên thứ ba, điều này quyết định hiệu suất chưa từng có của nó. Chỉ báo này cực kỳ quan trọng trong các mạng có kiến ​​trúc phức tạp và phân nhánh.

Nền tảng RSA enVision có thể được triển khai dưới dạng giải pháp plug-and-play độc lập hoặc là một phần của kiến ​​trúc phân tán, chịu lỗi, có thể mở rộng để đáp ứng các yêu cầu của mạng doanh nghiệp lớn. Cho dù bạn chọn giải pháp nào, giải pháp đó sẽ bao gồm tất cả các phần mềm cần thiết mà không phải trả thêm phí. Quản trị dựa trên web và sự sẵn có của Event Explorer, công cụ phân tích rất tiên tiến của chúng tôi, cung cấp chức năng kiểm soát trực quan và điều tra sự cố nâng cao, rất chi tiết.

Khi được triển khai như một giải pháp độc lập (sê-ri ES), một tổ hợp phần cứng và phần mềm (HSC) an toàn và hoàn chỉnh về mặt chức năng sẽ thực hiện việc thu thập, xử lý, phân tích và lưu trữ dữ liệu.

Trong trường hợp chọn kiến ​​trúc phân tán (sê-ri LS), các HSC chuyên dụng được cài đặt ở những nơi cần thiết, mỗi HSC thực hiện nhiệm vụ chính của nó: bộ thu thập cục bộ và từ xa thu thập dữ liệu, máy chủ dữ liệu quản lý dữ liệu đã thu thập và máy chủ ứng dụng thực hiện phân tích dữ liệu và tạo báo cáo. Bản thân dữ liệu có thể được lưu trữ bằng nhiều giải pháp lưu trữ khác nhau từ RSA và EMC.

Hãy chú ý đến các tính năng đặc biệt của sản phẩm này. Trước hết, điều đáng chú ý là cách tiếp cận toàn diện của nhà sản xuất đối với bảo mật. Mọi người đều biết các sản phẩm SecurID của RSA, các hệ thống lưu trữ của công ty mẹ EMC của RSA và gần đây đã mua lại Netwitness, đây là sự phát triển mới nhất và công nghệ bảo mật CNTT mới nhất. Điều này đảm bảo tích hợp dễ dàng các thành phần khác nhau của hệ thống giám sát và cho thấy mức độ nghiêm trọng của phương pháp bảo mật thông tin.
RSA enVision có một số tính năng khiến nó trở nên phổ biến và được sử dụng ngang hàng với các sản phẩm ArcSight. Ở Nga, một số công ty sử dụng sản phẩm enVision cùng với ArcSight, giải quyết các vấn đề phức tạp về giám sát các sự kiện bảo mật thông tin trong các mạng công nghiệp. Thiết bị công nghệ bao gồm các thiết bị của các nhà sản xuất như Ericsson, Siemens, Nokia, Cisco VPN, máy chủ đầu cuối Citrix, v.v.

Những nhiệm vụ này xuất hiện do thực tế là các chức năng quản trị để quản lý thiết bị công nghệ không được thực hiện bởi nhân viên của công ty, mà bởi một tổ chức bên thứ ba, tức là. quản lý được thuê ngoài. Về vấn đề này, cần có sự kiểm soát hoàn toàn đối với tất cả các hoạt động trên các hệ thống như vậy. Ở đây, sản phẩm enVision tỏ ra tiện lợi hơn ArcSight, vì sản phẩm trước đây đã có hệ thống lưu trữ IPDB tích hợp sẵn và dữ liệu đã thu thập được lưu trữ không thay đổi, ở định dạng được bảo vệ khỏi các thay đổi. Dữ liệu này có thể dùng làm cơ sở bằng chứng cho các cuộc điều tra sự cố và có thể được lưu trữ trong thời gian dài nhờ các cơ chế nén khác nhau. Với các công nghệ IPDB, các thiết bị RSA enVision có thể mang lại hiệu suất thu thập dữ liệu cao với các yêu cầu phần cứng khiêm tốn mà không cần đến hệ thống SAN, cụm Oracle, v.v.

Tốc độ xử lý dữ liệu đầu vào cao giúp đơn giản hóa quá trình thiết lập hệ thống - ở giai đoạn triển khai ban đầu, không cần phải tìm ra sự kiện nào cần lưu, sự kiện nào cần lọc và sự kiện nào cần xử lý trong thời gian thực.

Cơm. 13. Giao diện web Event Explorer từ RSA.

Lưu ý rằng trên thực tế, hóa ra việc kết nối một thiết bị không chuẩn với nhật ký sự kiện có cấu trúc kém dễ dàng hơn trong ArcSight, đòi hỏi sự phát triển phức tạp của các trình kết nối đặc biệt, phân tích cú pháp dài các định dạng nhật ký trong môi trường phát triển chuyên biệt.

Ngoài ra, có một kỹ thuật đặc biệt cho phép bạn kết nối các nhật ký mới dần dần, đó là phân tích từng bước các thông báo mới và thêm chúng vào trình phân tích cú pháp khi chúng được xử lý. Đồng thời, các trình phân tích cú pháp mới có thể được sử dụng cho dữ liệu đã thu thập trước đó.

Các tính năng được mô tả ở trên không chỉ giúp thu thập các sự kiện từ các thiết bị cụ thể của mạng công nghiệp mà còn có thể tương quan chúng, cũng như xác định các sự cố. Ngoài ra, trong trường hợp này, mối tương quan cũng có thể được thực hiện với các sự kiện được thu thập từ các thiết bị bảo mật, máy trạm và các nguồn sự kiện bảo mật thông tin cổ điển khác.

Cơm. 14. Dễ dàng quản lý sự cố với SSIM.

Trình quản lý thông tin bảo mật Symantec

Trong một thời gian dài, một trong những sản phẩm phổ biến nhất ở Nga để theo dõi và quản lý các sự cố an toàn thông tin là sản phẩm Trình quản lý thông tin bảo mật do Symantec sản xuất. Giống như các giải pháp cạnh tranh, SSIM thực hiện các chức năng thu thập sự kiện an toàn thông tin từ các thiết bị và ứng dụng khác nhau, phân tích và xác định sự cố an toàn thông tin. Dựa trên dữ liệu được thu thập, Symantec SIM giúp bạn xác định, ưu tiên, phân tích và giảm thiểu các mối đe dọa bảo mật nhắm vào các ứng dụng kinh doanh quan trọng nhất của bạn.

Lập bản đồ thời gian thực về các điểm yếu bảo mật của mạng và máy chủ bằng cách sử dụng dịch vụ Mạng thông minh toàn cầu Symantec- một trong những lợi thế chính của sản phẩm này, làm cho nó trở thành một hệ thống phản ứng nhanh với các sự cố với trọng tâm là đảm bảo an toàn cho các nguồn thông tin quan trọng nhất đối với doanh nghiệp.

Symantec Global Intelligence Network là một mạng toàn cầu sử dụng bẫy để phát hiện hoạt động độc hại trên toàn thế giới. Tất cả thông tin này được xử lý thành các quy tắc và được sử dụng trong Symantec SIM khi phân tích và tương quan các sự kiện.

Phân tích bảo mật thời gian thực được thực hiện bằng cách sử dụng một tiêu chuẩn bên ngoài để xác định các mối đe dọa bảo mật - một quy trình được mô tả trong các tiêu chuẩn mở Lực lượng đặc nhiệm quản lý phân tán (DMTF). Phương pháp này cung cấp cho việc phân loại các mối đe dọa và các vấn đề bảo mật, có tính đến mức độ tác động của sự kiện đối với môi trường, phương thức tấn công và tài nguyên mục tiêu.

Cơm. 15. Bảng điều khiển quản trị cho phép bạn theo dõi không chỉ thông tin kỹ thuật mà còn xây dựng bản đồ sự kiện cấp cao nhất.

Sự phân loại này, được gọi là Hiệu ứng, Cơ chế và Tài nguyên (EMR), là trung tâm của công cụ phân tích dữ liệu của Symantec SIM. Do tính linh hoạt của các quy tắc thông minh dựa trên mẫu, một quy tắc duy nhất có thể thay thế một số quy tắc cụ thể hơn được sử dụng trong các phương pháp tiêu chuẩn. Do đó, việc duy trì và tạo các quy tắc có thể bao gồm nhiều điều kiện sẽ dễ dàng hơn nhiều.

Xin nhắc lại, ngoài việc thu thập dữ liệu, các tổ chức phải tuân thủ các yêu cầu chính thức đối với việc lưu trữ tài liệu lưu trữ, đảm bảo các phương tiện lưu trữ và truy xuất dữ liệu hoạt động bình thường. Sản phẩm Symantec SIM hoạt động tốt hơn các sản phẩm kiểm soát thông tin bảo mật dựa trên cơ sở dữ liệu quan hệ tiêu chuẩn vốn có thêm chi phí ban đầu và yêu cầu quản trị cơ sở dữ liệu lâu dài. Với Symantec SIM, không cần quản trị cơ sở dữ liệu. Ngoài ra, nó lưu các sự kiện trong các tệp lưu trữ ở vị trí đã chỉ định. Kho lưu trữ được triển khai như một mô-đun độc lập giám sát việc sử dụng đĩa và thời gian lưu trữ của các tệp lưu trữ riêng lẻ. Khi đạt đến giới hạn dung lượng ổ đĩa hoặc ngày hết hạn tệp được chỉ định, Symantec SIM sẽ xóa các tệp lưu trữ cũ để nhường chỗ cho các tệp mới. Bạn có thể chọn giữa thiết bị, ổ đĩa được gắn trực tiếp (DAS), bộ nhớ gắn mạng (NAS) hoặc mạng vùng lưu trữ (SAN) để lưu trữ tệp. Một lợi thế quan trọng của Symantec SIM Archives là chúng nhanh hơn cơ sở dữ liệu thông thường bởi vì, không giống như hàng trăm chức năng cơ sở dữ liệu, chúng được tối ưu hóa cho một nhiệm vụ - lưu trữ một lượng lớn sự kiện. Tỷ lệ nén trong Symantec SIM đạt 30:1. Dữ liệu chuẩn hóa, cùng với thông tin sự kiện ban đầu, được thu thập và lưu trữ để phân tích sự cố. Cuối cùng, tài liệu lưu trữ được ký điện tử để đảm bảo tính bí mật và toàn vẹn.

Điểm mạnh của sản phẩm cũng là cách tiếp cận của nhà sản xuất đối với các giải pháp phức tạp. Mọi người đều quen thuộc với bảo vệ điểm cuối SEP, Symantec DLP và các giải pháp bảo mật thông tin khác của Symantec.

Kết luận việc rà soát các giải pháp chính trong lĩnh vực giám sát và quản lý sự cố an toàn thông tin, tôi xin lưu ý một số vấn đề sau. Tất cả các sản phẩm được xem xét đều dẫn đầu trong thị trường ngách của chúng và với sự trợ giúp của chúng, bạn có thể giải quyết hầu hết mọi nhiệm vụ liên quan đến thu thập và phân tích các sự kiện bảo mật thông tin.

Tiếp theo, hãy nói về một hướng khá mới cho Nga - giải pháp giám sát hành động của người dùng trong cơ sở dữ liệu và ứng dụng kinh doanh. Lĩnh vực bảo mật thông tin này chỉ đang trở nên phổ biến, mặc dù theo chúng tôi, việc kiểm soát giao dịch trong cơ sở dữ liệu của công ty là một trong những điểm chính trong hệ thống bảo mật thông tin toàn diện.

Giám sát hành động của người dùng cơ sở dữ liệu và ứng dụng

Các hệ thống quản lý tài liệu điện tử, kho lưu trữ dữ liệu cá nhân, dữ liệu thẻ thanh toán của khách hàng có giá trị thương mại ngày càng tăng và trở thành mục tiêu chính của những kẻ tấn công. Sự ra đời rộng rãi của các ứng dụng web, sự xuất hiện của các dịch vụ mới, sự mở rộng cơ sở hạ tầng CNTT của các tổ chức đã dẫn đến việc không thể kiểm soát các luồng thông tin trong cơ sở dữ liệu, hành động của người dùng với dữ liệu ứng dụng kinh doanh bằng các phương tiện thông thường.

Để đối phó với những xu hướng này, các hệ thống chuyên biệt đã xuất hiện để đảm bảo an ninh cho các hệ thống phân tán theo địa lý phức tạp, nhiều tầng như vậy.

Tất cả các nhà sản xuất chính của DBMS và các ứng dụng kinh doanh đã cố gắng triển khai chức năng giám sát hoạt động trong cơ sở dữ liệu, nhưng ưu điểm của các điều khiển tích hợp lại làm phát sinh nhược điểm của chúng. Các công cụ DBMS không đủ linh hoạt để phân biệt giữa người dùng và kẻ tấn công. Việc sử dụng các công cụ ghi nhật ký gốc dẫn đến tải trên máy chủ tăng lên nhiều lần, hiệu suất ứng dụng và chất lượng dịch vụ được cung cấp giảm xuống.

Các công cụ kiểm soát lưu lượng truy vấn cơ sở dữ liệu của bên thứ ba đã xuất hiện trên thị trường trong nước tương đối gần đây. Sự quan tâm đến các công cụ này là do vấn đề ngày càng tăng của những kẻ tấn công nội bộ, tỷ lệ đánh cắp dữ liệu ngày càng tăng cũng như sự hiện diện của các văn bản quy định khác nhau yêu cầu kiểm soát quyền truy cập vào dữ liệu bí mật.

Cơm. 16. Ứng dụng phương thức “kết nối tổng hợp” khi tổ chức truy cập cơ sở dữ liệu của người dùng ứng dụng.

Các hệ thống kiểm tra và kiểm soát hành động của người dùng cơ sở dữ liệu cho phép bạn đăng ký các hoạt động của người dùng ở cấp cơ sở dữ liệu và phân tích thông tin thu thập được. Điều này cho phép thông báo và báo cáo theo thời gian thực về việc ai đang truy cập thông tin nào và những hành động này có thể vi phạm các yêu cầu quy định bên ngoài hoặc quy định bảo mật nội bộ như thế nào.

Giờ đây, hầu hết mọi tổ chức đều sử dụng các ứng dụng web (ví dụ: ngân hàng Internet), các ứng dụng kinh doanh như SAP, OEBS, Siebel và phát triển tư nhân. Hầu hết các ứng dụng này hoạt động trên kiến ​​trúc ba tầng. Kiến trúc này đã được chọn để tối ưu hóa hiệu suất của ứng dụng và được triển khai bằng phương pháp "tổng hợp kết nối", sử dụng một tài khoản để truy cập cơ sở dữ liệu. Phương pháp này ẩn tên của người dùng cuối của các ứng dụng truy cập cơ sở dữ liệu, nghĩa là không thể xác định được người dùng cuối của ứng dụng đã yêu cầu thông tin. Sẽ chỉ có một người dùng DBMS cho nhóm kết nối - AppUser.

Phương pháp tổ chức quyền truy cập cho người dùng ứng dụng kinh doanh vào thông tin được lưu trữ trong cơ sở dữ liệu công ty mang lại một số lợi thế, chẳng hạn như tăng hiệu suất ứng dụng, giảm tải cho DBMS, v.v., nhưng đồng thời làm giảm mức độ bảo mật thông tin của ứng dụng, vì không thể kiểm soát hành động của người dùng cuối.

Như vậy, cán cân chuyển dịch theo hướng tăng mức độ an toàn thông tin thì phải hy sinh chất lượng dịch vụ và ngược lại.

Giải pháp tối ưu là sử dụng giải pháp chuyên dụng đảm nhận chức năng điều khiển luồng thông tin đồng thời không ảnh hưởng đến hiệu năng của hệ thống thông tin.

Kiến trúc lớp của các ứng dụng doanh nghiệp luôn thay đổi, cần phải kiểm soát người dùng ứng dụng theo vai trò hiện tại của họ và đặc biệt chú ý đến việc kiểm soát người dùng đặc quyền. Ngoài người dùng ứng dụng, người dùng cơ sở dữ liệu cần được giám sát bằng cách giám sát cả truy cập cấp ứng dụng và truy cập trực tiếp cấp DBMS. Đảm bảo tính minh bạch của mọi hoạt động là điểm mấu chốt trong việc ngăn chặn các hoạt động lừa đảo. Các giải pháp lớp DAM giúp kiểm soát tất cả các phiên DBMS (đăng nhập, mã SQL, thoát, v.v.), tất cả các ngoại lệ DBMS (lỗi, nỗ lực ủy quyền không thành công), chặn các phiên không mong muốn và tạo thông báo về các sự kiện bảo mật thông tin khác nhau. Ngoài việc giám sát hoạt động trong cơ sở dữ liệu, các giải pháp lớp DAM cho phép bạn quản lý các thay đổi đối với các đối tượng và môi trường DBMS, đồng thời quản lý các lỗ hổng DBMS. Việc ngăn ngừa rò rỉ dữ liệu từ cơ sở dữ liệu được thực hiện bằng cách kiểm tra thông tin được trích xuất, phát hiện những bất thường trong hoạt động, tự động phát hiện và phân loại dữ liệu quan trọng.

IBM Guardium, Imperva, Oracle DBF và những người khác giám sát tất cả lưu lượng truy cập SQL từ máy khách đến máy chủ, bao gồm các truy vấn cục bộ, không chỉ các truy vấn SQL riêng lẻ được định cấu hình bằng các tùy chọn kiểm tra DBMS. Do đó, rủi ro bỏ lỡ bất kỳ sự kiện nào liên quan đến cơ sở dữ liệu được giảm thiểu. Mọi quyền truy cập vào cơ sở dữ liệu đều được ghi lại, sau đó được phân tích dựa trên các quy tắc được đưa ra trong hệ thống và nếu chúng được kích hoạt, thì một sự kiện IS sẽ được tạo.

Các quy tắc không chỉ cho phép theo dõi các sự kiện tiêu chuẩn như việc vào/ra cơ sở dữ liệu, truy cập dữ liệu, thay đổi cấu trúc cơ sở dữ liệu, v.v. mà còn cho phép bạn kiểm soát lượng dữ liệu đã tải xuống, ứng dụng được sử dụng để truy cập cơ sở dữ liệu. Nhờ đó, có thể theo dõi việc sao chép hoặc xóa thông tin trái phép, đánh cắp cơ sở dữ liệu. Tất cả các quy tắc được thiết lập dễ dàng bằng GUI và không cần kiến ​​thức sâu về SQL/PL-SQL. Cũng có thể đặt bộ lọc cho sự hiện diện của một số từ, điều kiện trong truy vấn SQL, xác định danh sách người dùng đáng tin cậy và nguồn truy vấn. Việc lọc như vậy bằng các công cụ DBMS tiêu chuẩn hoặc là không thể hoặc nó yêu cầu viết các tập lệnh SQL phức tạp, chẳng hạn như khi sử dụng Oracle Fine-Grained Auditing.

Chính sách bảo mật được sử dụng để ngăn chặn hoạt động trái phép hoặc đáng ngờ của người dùng. Chính sách bảo mật cho phép bạn hạn chế quyền truy cập vào cơ sở dữ liệu hoặc bảng cụ thể dựa trên các tham số khác nhau:

• tài khoản người dùng;
• Các địa chỉ IP;
• địa chỉ MAC;
• giao thức mạng;
• các loại lệnh SQL;
• Tên ứng dụng;. thời gian trong ngày, v.v.

Các giải pháp lớp DAM kiểm soát tất cả hoạt động trong cơ sở dữ liệu, cung cấp báo cáo chi tiết để điều tra thêm về các sự kiện bảo mật thông tin, tự động hóa quy trình kiểm toán để tuân thủ các yêu cầu quy định và ngăn chặn rò rỉ thông tin. Các báo cáo như vậy có thể chứa nhiều thông tin khác nhau như lỗi SQL hoặc lần thử xác thực không thành công; các lệnh quản trị, ví dụ, thay đổi cấu trúc cơ sở dữ liệu - DDL (tạo, thả, thay đổi); yêu cầu lựa chọn dữ liệu (select); các lệnh quản lý tài khoản, vai trò và quyền truy cập của chúng, ví dụ: DML (cấp, thu hồi) và các lệnh khác liên quan đến các chi tiết cụ thể của DBMS.

Bảo vệ IBM

Sản phẩm IBM Guardium cho phép bạn triển khai toàn bộ chu trình bảo mật thông tin trong cơ sở dữ liệu. Nó có thể tự động thu thập và phân loại thông tin về cơ sở dữ liệu hiện có và loại dữ liệu được lưu trữ trong đó để bạn không bỏ lỡ cơ sở dữ liệu mới tạo hoặc cài đặt thử nghiệm. Sản phẩm có một trình quét lỗ hổng tích hợp cho phép bạn xác định và kiểm soát các lỗ hổng trên máy chủ DBMS. Chức năng này ở một mức độ nào đó sao chép chức năng của MaxPatrol, nhưng được chuyên môn hóa cao và được tối ưu hóa để làm việc với DBMS. Mặc dù có nhiều chức năng được triển khai trong Guardium, hai trong số chúng vẫn là phổ biến nhất. Đây là quá trình kiểm tra và ghi nhật ký liên tục của tất cả các truy vấn trong cơ sở dữ liệu và khả năng chặn truy cập dữ liệu trái phép. Hơn nữa, việc chặn các phiên người dùng cơ sở dữ liệu được triển khai ở cấp tác nhân, điều này giúp tránh cài đặt các thiết bị Guardium trong trường hợp gián đoạn mạng.

Các tác nhân thu thập thông tin về tất cả các yêu cầu đối với DBMS được thực hiện bởi các chủ thể truy cập và dữ liệu do chúng trả về, sau đó được gửi đến các máy chủ thu thập và tương quan, nơi đưa ra quyết định cảnh báo hoặc chặn truy cập.

Cơm. 17. Dễ dàng làm việc với các quy tắc trong Guardium.

Giải pháp cho phép bạn xác định chính xác đối tượng truy cập bằng một số chỉ báo, chẳng hạn như địa chỉ MAC hoặc địa chỉ IP của máy tính thực hiện truy cập, tên người dùng trong HĐH, tên người dùng trong ứng dụng, tên người dùng trong DBMS.

Đối với mỗi thiết bị, một chính sách bảo mật chung được hình thành, được hình thành bởi ba loại quy tắc. Quy tắc của lớp đầu tiên - Quy tắc truy cập - đây là các quy tắc kiểm soát quyền truy cập vào môi trường, cho phép bạn hạn chế quyền truy cập vào các đối tượng cơ sở dữ liệu, dựa trên thông tin được thu thập. Các quy tắc của lớp thứ hai - Quy tắc ngoại lệ - quy tắc xử lý các ngoại lệ, chẳng hạn như lỗi khi truy cập một đối tượng không tồn tại, một nỗ lực xác thực không thành công. Và loại quy tắc cuối cùng - Quy tắc đùn - quy tắc xử lý các giá trị được trả lại cho người dùng, phân tích dữ liệu mà người dùng nhận được do yêu cầu cơ sở dữ liệu và quyết định các hành động tiếp theo.

Sự tiện lợi của phương pháp này là các quy tắc có thể được kết hợp để tạo chính sách bảo mật, chỉ định mức độ ưu tiên hoặc đặt điều kiện để xác định sự cố dựa trên kết quả xử lý quy tắc.

Các tác nhân được cài đặt trên mỗi máy chủ DBMS có một tệp cấu hình chung xác định địa chỉ của bộ thu dự phòng cho tác nhân, có tính đến tải cao nhất dự kiến ​​của bộ thu dự phòng. Do đó, tất cả các tác nhân được quản lý tập trung và trong trường hợp một trong các thiết bị bị lỗi, tải sẽ được chuyển sang các thiết bị khác, điều này đảm bảo tính liên tục của việc giám sát.

Thông tin đi vào thiết bị được giảm xuống dạng thông thường, bất kể định dạng ban đầu (chuẩn hóa) và được lọc. Cơ chế xác định nhu cầu lưu trữ thông tin này hoặc thông tin kia được xác định bằng cách sử dụng các quy tắc nội bộ tạo nên chính sách bảo mật thiết bị.

Cơm. 18. Một ví dụ về thông tin chuẩn hóa được lưu trữ trong cơ sở dữ liệu Guardium.

Đồng thời, mỗi yêu cầu được phân tích và phân tách thành các trường riêng biệt, sự kết hợp của chúng trong các phiên bản khác nhau cho phép thu thập thông tin dưới dạng báo cáo tùy ý.

Đồng thời, Guardium cung cấp khả năng đăng ký không chỉ ngày và giờ người dùng đăng nhập (đăng xuất) vào hệ thống (từ hệ thống), kết quả của lần đăng nhập (thành công hoặc không thành công), mà còn cả các tham số khác, bao gồm thời gian khi một hành động được thực hiện, thời gian bắt đầu và kết thúc phiên, giao thức truy cập DBMS, tham số mạng máy khách và máy chủ, tên người dùng trong cơ sở dữ liệu và hệ điều hành, v.v.

Các sự cố mới nổi liên quan đến việc kích hoạt các quy tắc chính sách bảo mật, kết quả tương quan sự kiện và các kết quả khác được tải lên thiết bị tổng hợp. Điều này cho phép bạn thực hiện giám sát tập trung hoạt động của người dùng, có thông tin đầy đủ về các sự cố mới nổi cho tất cả các cơ sở dữ liệu được bảo vệ, thông báo tự động và tập trung cho nhân viên được ủy quyền và quản lý quy trình ứng phó sự cố bằng hệ thống quản lý sự cố tích hợp.

Guardium cung cấp cơ chế tích hợp để liên kết các sự kiện vi phạm chính sách nhằm tạo cảnh báo cho các tình huống phù hợp trong môi trường - ví dụ: bạn có thể tạo một cảnh báo hoạt động đáng ngờ khi nhiều sự kiện xảy ra, chẳng hạn như quyền truy cập bị từ chối trên nhiều máy chủ DBMS từ cùng một máy khách địa chỉ IP. Bằng cách kết hợp các quy tắc trong chính sách, bạn có thể tạo một hệ thống linh hoạt để kiểm soát và giám sát quyền truy cập vào môi trường DBMS.

Cơm. 19. Kiến trúc IBM Guardium dành cho các công ty phân tán. Có thể thu thập dữ liệu cả với sự trợ giúp của giám sát thụ động thông qua cổng SPAN và với sự trợ giúp của các tác nhân.

Ưu điểm chính của sản phẩm IBM Guardium là nó cho phép bạn tích hợp với hầu hết mọi ứng dụng, ngay cả những ứng dụng trong nước. Tích hợp Guardium với các ứng dụng cho phép bạn thực hiện các yêu cầu hoàn toàn minh bạch từ người dùng ứng dụng đến cơ sở dữ liệu và mối tương quan của các sự kiện ở cấp độ tổng hợp cho phép bạn có được bức tranh hoàn chỉnh về những gì đang xảy ra trong cơ sở hạ tầng của cơ sở dữ liệu và ứng dụng kinh doanh.

Người chơi mạnh thứ hai tại thị trường Nga là Imperva và dòng sản phẩm SecureSphere của nó. Cách tiếp cận của Imperva hơi khác so với IBM. Các sản phẩm thuộc dòng Imperva SecureSphere cho phép bảo vệ toàn diện các ứng dụng Web, cũng như bảo vệ đủ tin cậy cho dữ liệu được truyền qua các ứng dụng Web và được lưu trữ trong cơ sở dữ liệu. Và gần đây nhất, công ty đã giới thiệu một sản phẩm mới trong dòng SecureSphere File Security, cho phép bạn theo dõi quyền truy cập vào các tệp, bao gồm quyền truy cập của người dùng và ứng dụng có đặc quyền, phát hiện và thông báo các vi phạm chính sách bảo mật và chặn nếu cần.

SecureSphere File Security là một phần của Bộ bảo mật dữ liệu SecureSphere và tích hợp với bảo mật ứng dụng và cơ sở dữ liệu tổng thể của bạn.

Cơm. 20. Cách tiếp cận toàn diện của Imperva để bảo vệ cơ sở dữ liệu và ứng dụng.

không thấm nước

Cùng với các công cụ cổ điển để bảo vệ vành đai và máy chủ (ME, IDS / IPS, mã hóa kênh dữ liệu, phần mềm chống vi-rút, v.v.), các biện pháp bảo vệ bổ sung cũng được sử dụng. Đây có thể là việc sử dụng bàn phím ảo, thẻ có phím phiên, nhập mã hiển thị trong hình, kiểm tra dữ liệu đầu vào, v.v. Nhưng việc thực hiện các biện pháp như vậy vì lý do này hay lý do khác không phải lúc nào cũng có thể. Không có gì lạ khi những nhân viên đã phát triển các ứng dụng Web đơn giản là không còn làm việc cho công ty nữa và cả khi quá khó để sửa đổi hoặc thay đổi mã.

Nhược điểm của các công cụ bảo vệ cơ bản là chúng thường không đủ hiệu quả trong việc chống lại các cuộc tấn công vào các ứng dụng Web. Vì vậy, để bảo vệ chúng cần phải sử dụng các phương tiện chuyên dụng. Để đảm bảo tính bảo mật của các ứng dụng, tường lửa ứng dụng web (WAF, Tường lửa ứng dụng web) được sử dụng. Thông thường, các giải pháp thuộc loại này là các hệ thống phần mềm và phần cứng áp dụng các bộ quy tắc và chính sách bảo mật cho lưu lượng HTTP được quan sát đi từ ứng dụng đến cơ sở dữ liệu và ngược lại. Các giải pháp này cho phép bạn kiểm soát các kiểu tấn công nổi tiếng như Cross-site Scripting (XSS) hoặc SQL injection. Bằng cách tùy chỉnh các quy tắc cho các ứng dụng kinh doanh, bạn có thể phát hiện và chặn nhiều cuộc tấn công. Tuy nhiên, số lượng công việc để thực hiện tùy chỉnh này có thể là đáng kể và công việc này phải được thực hiện khi có thay đổi đối với ứng dụng.

Sự xuất hiện của các giải pháp thuộc loại này bị ảnh hưởng bởi tiêu chuẩn PCI DSS, tiêu chuẩn này yêu cầu bảo vệ thông tin thẻ tín dụng trong các ứng dụng web công cộng bằng ít nhất một trong hai phương pháp: bằng cách phân tích mã ứng dụng web: thủ công, bằng cách quét mã nguồn hoặc lỗ hổng đánh giá, hoặc bằng cách thiết lập một điểm thực thi chính sách bảo mật và phương pháp tự động tập trung.

Các giải pháp lớp WAF thường được gọi là "Tường lửa kiểm tra gói sâu" (ITU với chức năng kiểm tra gói sâu), bởi vì. chúng phân tích từng yêu cầu và phản hồi ở các lớp dịch vụ HTTP/HTTPS/SOAP/XML-RPC/Web. Đồng thời, bản thân dữ liệu trong cơ sở dữ liệu vẫn không được bảo vệ, việc sử dụng chúng không được giám sát (trên thực tế, chỉ một phần mạng yêu cầu cơ sở dữ liệu đến từ máy chủ ứng dụng được kiểm tra). Giống như tường lửa bảo mật chu vi thông thường, WAF là cần thiết nhưng không phải lúc nào cũng đủ.

Các thiết bị SecureSphere WAF được thiết kế để bảo vệ các ứng dụng Web khỏi nhiều mối đe dọa. Không giống như các hệ thống IPS truyền thống, các thiết bị SecureSphere có thể theo dõi các phiên Web, so sánh các phần tử cấu trúc ứng dụng Web (cookie, tùy chọn, trường biểu mẫu, v.v.) với các phần tử dự kiến ​​được lưu trữ trong hồ sơ của chúng và lưu lượng HTTP, HTTPS và XML của hồ sơ. Trong số các cuộc tấn công phổ biến nhất nhắm vào các ứng dụng web là tấn công logic nghiệp vụ (giả mạo tham số), chiếm quyền điều khiển phiên, phát lại phiên, thay thế đoạn dữ liệu (chèn cookie, nhiễm độc cookie), đoán mật khẩu, sửa đổi bất hợp pháp các gói HTTP (mã hóa kép, mã hóa độc hại) và các cuộc tấn công vào XML và SOAP.

Cái gì tốt hơn?

Khi so sánh các sản phẩm của Imperva với IBM Guardium, có một vài điểm khác biệt chính. Đầu tiên, Guardium sử dụng cơ sở dữ liệu nội bộ để lưu trữ dữ liệu giám sát và kiểm tra, trong khi Imperva lưu trữ dữ liệu đã thu thập trong các tệp. Cả hai cách tiếp cận đều có cả ưu điểm và nhược điểm. Lưu trữ dữ liệu giám sát trong cơ sở dữ liệu làm giảm đáng kể tốc độ xử lý truy vấn và ghi lưu trữ. Nhưng nó làm tăng tốc độ làm việc với dữ liệu đó. Việc tải xuống báo cáo từ cơ sở dữ liệu có cấu trúc sẽ dễ dàng hơn so với từ kho lưu trữ tệp. Thứ hai, giải pháp IBM khó triển khai hơn nhiều, trong khi các sản phẩm của Imperva có thể được đưa vào chế độ học tập và xây dựng cơ sở trong vài tuần, trên cơ sở đó bạn có thể nhanh chóng hình thành chính sách bảo mật. Nhưng khó khăn trong việc triển khai các sản phẩm Guardium là do số lượng cài đặt, tham số và chức năng khổng lồ, do đó mang lại lợi thế cho người triển khai có kinh nghiệm dưới dạng khả năng thực hiện bất kỳ tác vụ nào. Một sự khác biệt quan trọng khác là quy mô của nhà cung cấp. Gã khổng lồ phần mềm IBM cung cấp mức hỗ trợ kỹ thuật tuyệt vời cho người dùng, nhưng tất cả các thay đổi đối với sản phẩm đều được thực hiện với tốc độ chậm và được đo lường vốn có ở tất cả các công ty lớn. Đồng thời, Imperva có quy mô khá nhỏ, không có văn phòng đại diện chính thức tại Nga và hỗ trợ kỹ thuật cho người dùng nói tiếng Nga nhưng lại có khả năng thay đổi sản phẩm nhanh chóng và chính xác nhất có thể, đáp ứng các yêu cầu phức tạp của người dùng .

Các thiết bị của Imperva tự động lập hồ sơ các ứng dụng Web để lập mô hình cấu trúc của chúng. Bằng cách phân tích lưu lượng truy cập Web trong một khoảng thời gian nhất định, chúng tạo ra một hồ sơ về hành vi tiêu chuẩn của ứng dụng (danh sách trắng tự động của ứng dụng Web và hoạt động của người dùng). Tiếp theo, các thiết bị thực hiện phân tích tương quan các sai lệch so với hồ sơ với các dấu hiệu tấn công và nếu cần, chặn mối đe dọa.

Việc sử dụng hồ sơ là một công cụ mạnh mẽ để phát hiện hành vi bất thường của người dùng, lỗi trong logic hệ thống, xác định vai trò điển hình và tính đúng đắn của việc cấp vai trò. Cách tiếp cận tương tự cũng đúng với các sản phẩm bảo vệ cơ sở dữ liệu của Imperva. Để xác định trạng thái cơ sở của môi trường DBMS được kiểm soát, nền tảng Imperva trước tiên sẽ chạy ở chế độ máy học trong một thời gian, phân tích tất cả lưu lượng truy cập trong môi trường. Trong quá trình học tập, nền tảng tích lũy và phân tích số liệu thống kê về tải lưu lượng truy cập SQL. Sau khi đào tạo, các chính sách được tạo tự động để nhân viên vận hành nền tảng xem xét và áp dụng thêm, cho cả hoạt động bình thường của môi trường và hành vi bất thường (truy cập dữ liệu quan trọng từ các địa chỉ IP không xác định, truy cập vào bảng hệ thống hoặc sao chép dữ liệu từ hệ thống sản xuất cho các máy khác). Cần đảm bảo an ninh tối đa trong thời gian đào tạo nền tảng Imperva để hoạt động đáng ngờ không xâm nhập vào "dấu hiệu" cơ bản của hoạt động bình thường của môi trường hoặc phân tích, chỉnh sửa và chấp nhận cẩn thận các chính sách do nền tảng đề xuất sau khi đào tạo .

Cơm. 21. Giao diện tương tác thuận tiện cho việc phân tích dữ liệu kiểm toán.

Các khía cạnh ứng dụng của SOC

Trước hết, mỗi công ty quyết định xây dựng Trung tâm điều hành bảo mật thông tin đều mong đợi từ SOC sẽ tăng hiệu quả giải quyết các vấn đề ứng dụng nhất định trong lĩnh vực bảo mật thông tin và đảm bảo mức độ bảo mật thông tin phù hợp. Đây có thể là cả các nhiệm vụ riêng tư để bảo vệ thông tin và quản lý vận hành, cũng như đáp ứng mọi yêu cầu trong lĩnh vực bảo mật thông tin. Tiếp theo, chúng tôi sẽ xem xét các khía cạnh ứng dụng chính của việc áp dụng SOC trong thực tế của Nga.
Trước hết, đó là việc bảo vệ dữ liệu cá nhân và dữ liệu về chủ sở hữu thẻ nhựa thanh toán.

SOC và bảo vệ dữ liệu cá nhân

Nhu cầu đảm bảo an toàn cho dữ liệu cá nhân trong thời đại của chúng ta là một thực tế khách quan. Thông tin về một người có giá trị rất lớn. Hơn nữa, trong tay kẻ lừa đảo, nó biến thành vũ khí phạm tội, trong tay nhân viên bị sa thải - thành phương tiện trả thù, trong tay kẻ nội gián - thành sản phẩm để bán cho đối thủ cạnh tranh. Đó là lý do tại sao dữ liệu cá nhân ngày nay cần được bảo vệ nghiêm túc nhất!

Ngày nay, khó có thể tưởng tượng hoạt động của một tổ chức mà không xử lý thông tin về một người. Trong mọi trường hợp, tổ chức lưu trữ và xử lý dữ liệu về nhân viên, khách hàng, đối tác và nhà cung cấp. Rò rỉ, mất mát hoặc thay đổi trái phép dữ liệu cá nhân dẫn đến thiệt hại không thể khắc phục và đôi khi dẫn đến ngừng hoạt động hoàn toàn của công ty.
Hiểu được tầm quan trọng và giá trị của thông tin về một người, cũng như quan tâm đến việc tuân thủ các quyền của công dân, nhà nước yêu cầu các tổ chức đảm bảo bảo vệ dữ liệu cá nhân một cách đáng tin cậy. Luật Liên bang của Liên bang Nga ngày 27 tháng 7 năm 2006 N 152-FZ "Về dữ liệu cá nhân" quy định các mối quan hệ liên quan đến việc xử lý và bảo vệ thông tin thuộc về các cá nhân (đối tượng của dữ liệu cá nhân).

Dữ liệu cá nhân đề cập đến "bất kỳ thông tin nào thuộc về một thể nhân cụ thể hoặc dữ liệu có thể nhận dạng duy nhất một người như vậy." Đây có thể là họ, tên, tên đệm, năm, tháng, ngày và nơi sinh, địa chỉ, gia đình, xã hội, tình trạng tài sản, học vấn, nghề nghiệp, thu nhập, các thông tin khác thuộc đối tượng PD.

Nhà điều hành PD là “cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân tổ chức hoặc thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung của việc xử lý dữ liệu cá nhân”, nghĩa là không có ngoại lệ , tất cả các tổ chức có bộ phận nhân sự riêng đều lưu trữ và xử lý dữ liệu về khách hàng, đối tác, nhà thầu, v.v.

Luật pháp Nga quy định trách nhiệm dân sự, hình sự, hành chính, kỷ luật và các trách nhiệm pháp lý khác đối với việc vi phạm các yêu cầu của Luật Liên bang số 152 “Về Dữ liệu Cá nhân”.
Hệ thống bảo vệ PD là một phần không thể thiếu trong hệ thống bảo mật tổng thể của tổ chức (các phát triển bảo mật thông tin hiện có của tổ chức được sử dụng, nếu cần, các thành phần hệ thống mới được tạo ra để tích hợp mà không làm giảm hiệu suất và không làm phức tạp cơ sở hạ tầng).

Hệ thống bảo vệ PD làm tăng tính bảo mật thực tế và góp phần đáp ứng các yêu cầu kinh doanh để bảo vệ bí mật thương mại.

Khi xây dựng SOC như một phần của việc triển khai hệ thống bảo vệ dữ liệu cá nhân, các chuyên gia của công ty chúng tôi sử dụng các công nghệ hiện đại từ các nhà sản xuất hàng đầu trong lĩnh vực bảo vệ thông tin. Chúng bao gồm, đặc biệt, các giải pháp của lớp Quản lý thông tin bảo mật (ArcSight, Symantec, RSA hình dung), Giám sát hoạt động cơ sở dữ liệu (IBM Guardium, Imperva), Quản lý danh tính và Quản lý quyền thông tin (Oracle), Ngăn chặn mất dữ liệu (“Jet Infosystems” , Symantec, RSA), Quản lý Cấu hình & Lỗ hổng (Công nghệ Tích cực).

Các sản phẩm thuộc lớp Quản lý thông tin bảo mật, chẳng hạn như ArcSight, Symantec SIM và RSA enVision, được sử dụng để cung cấp khả năng quản lý tập trung hệ thống bảo vệ dữ liệu cá nhân, đây là yêu cầu của điều khoản 2.4. mục II. Các phương pháp và phương tiện bảo vệ thông tin khỏi truy cập trái phép Lệnh của FSTEC của Nga số 58 ngày 5 tháng 2 năm 2010 Các hệ thống này thu thập, phân tích (tương quan) và kiểm soát các sự kiện bảo mật thông tin từ các công cụ bảo mật khác nhau, giúp xác định bảo mật thông tin một cách hiệu quả sự cố trong thời gian thực, đồng thời chuyển chúng sang hệ thống quản lý sự cố an toàn thông tin, để nhận dữ liệu thực để phân tích và đánh giá rủi ro, đưa ra quyết định sáng suốt về đảm bảo an toàn thông tin và bảo vệ dữ liệu cá nhân.
Các giải pháp bảo vệ cơ sở dữ liệu, chẳng hạn như IBM Guardium, Imperva và Oracle, cho phép bạn thực hiện các chức năng đăng ký và kế toán (theo đoạn 2.3 của phần II. Phương pháp và phương pháp bảo vệ thông tin khỏi truy cập trái phép Lệnh của FSTEC của Nga Không .58 ngày 5 tháng 2 năm 2010) yêu cầu tất cả người dùng truy cập cơ sở dữ liệu chứa dữ liệu cá nhân mà không làm giảm hiệu suất của máy chủ DBMS và ảnh hưởng đáng kể đến cơ sở hạ tầng của hệ thống thông tin. Các sản phẩm ở cấp độ này đặc biệt cần thiết trong các tổ chức phân phối lớn về mặt địa lý. Do đó, các giải pháp IBM Guardium hoạt động như một điểm kiểm soát truy cập duy nhất cho tất cả người dùng, kể cả những người có đặc quyền, vào cơ sở dữ liệu của bất kỳ nhà sản xuất nào.

Yêu cầu cung cấp bản phân tích chứng khoán theo khoản 2.2 mục II. Các phương pháp và phương tiện bảo vệ thông tin khỏi bị truy cập trái phép Lệnh của FSTEC của Nga số 58 ngày 5 tháng 2 năm 2010 được thực hiện bởi các chuyên gia của Jet Infosystems bằng cách sử dụng sản phẩm MaxPatrol của Positive Technologies. Hệ thống này cho phép bạn tiến hành kiểm kê tài nguyên IP thường xuyên, xác định các lỗ hổng liên quan đến lỗi trong cấu hình phần mềm của hệ thống thông tin dữ liệu cá nhân mà kẻ xâm nhập có thể sử dụng để tấn công hệ thống, theo dõi các thay đổi trong cài đặt thiết bị mạng, hệ điều hành của máy chủ và máy trạm.

SOC và PCI DSS

Là một phần của bất kỳ dự án nào nhằm đưa cơ sở hạ tầng tuân thủ các yêu cầu PCI DSS, một số nhiệm vụ kinh doanh chính có thể được xác định. Thứ nhất, cần đơn giản hóa quy trình kiểm toán càng nhiều càng tốt, thứ hai, tiết kiệm chi phí cho kiểm toán viên bên ngoài, đồng thời hạn chế quyền truy cập của kiểm toán viên vào thông tin quan trọng. Và tất nhiên, lưu trữ dữ liệu kiểm toán trong một thời gian dài để bạn luôn có thể nhanh chóng truy cập các báo cáo cần thiết.

Các chuyên gia của chúng tôi cho rằng việc đáp ứng tất cả các yêu cầu PCI DSS và giải quyết các vấn đề nội bộ của khách hàng được thực hiện đơn giản và hiệu quả nhất bằng cách sử dụng các công cụ của Trung tâm Điều hành An ninh.

Các yêu cầu của tiêu chuẩn PCI DSS liên quan đến DBMS bao gồm một số yêu cầu cần thiết để đáp ứng và đang được các chuyên gia của chúng tôi triển khai như một phần của dự án nhằm đưa cơ sở hạ tầng phù hợp với tiêu chuẩn. Bất kỳ hệ thống xử lý thẻ thanh toán nào cũng có thể kiểm soát sự xuất hiện của dữ liệu về thẻ thanh toán trong các đối tượng không cung cấp nội dung của chúng. Theo yêu cầu 6.1 của tiêu chuẩn PCI DSS, các bản cập nhật bảo mật đã cài đặt và khả năng thực hiện các bản cập nhật ảo phải được theo dõi. Yêu cầu 6.2 chỉ định nhu cầu xếp hạng các lỗ hổng được phát hiện để loại bỏ chúng hiệu quả hơn. Tuân thủ yêu cầu PCI DSS 8.5.8 phải có khả năng phát hiện việc sử dụng nhóm, tài khoản dùng chung hoặc tài khoản tích hợp. Yêu cầu 10.2.1 của tiêu chuẩn PCI DSS liên quan đến DBMS nói lên sự cần thiết phải đăng ký bất kỳ quyền truy cập nào vào dữ liệu thẻ thanh toán. Vì dữ liệu thẻ thanh toán được lưu trữ trong cơ sở dữ liệu nên cần phải kiểm soát quyền truy cập của tất cả người dùng vào cơ sở dữ liệu và đặc biệt là người dùng có đặc quyền, như được nêu trong yêu cầu 10.2.2. Cần kiểm soát không chỉ quyền truy cập vào dữ liệu mà còn tất cả các hành động được thực hiện bằng đặc quyền quản trị. Ngoài ra, không chỉ cần giám sát quyền truy cập vào dữ liệu thẻ thanh toán mà còn, theo yêu cầu 10.2.3, để đảm bảo rằng quyền truy cập vào tất cả nhật ký sự kiện đều được ghi lại. Yêu cầu 10.2.4 của tiêu chuẩn PCI DSS liên quan đến DBMS nói rằng cần phải ghi nhật ký các nỗ lực truy cập logic không thành công và 10.2.5 về yêu cầu ghi nhật ký việc sử dụng các cơ chế nhận dạng và xác thực. Cũng cần phải ghi nhật ký việc tạo và xóa các đối tượng hệ thống trên máy chủ DBMS và đảm bảo rằng nhật ký được bảo vệ khỏi các thay đổi. Yêu cầu 11.3 bắt buộc phải tìm kiếm các lỗ hổng và lỗi trong môi trường và cấu hình DBMS.

Tất cả những yêu cầu này và một số yêu cầu khác để kiểm soát hành động của người dùng có quyền truy cập vào dữ liệu thẻ thanh toán chỉ có thể được thực hiện thành công bằng các giải pháp SOC. Rõ ràng, không thể đăng ký tất cả các sự kiện, kiểm soát nhật ký, kiểm tra lỗ hổng và bảo vệ chống rò rỉ bằng phương pháp không tự động.

SOC và nhiệm vụ nội bộ

Ngoài việc đáp ứng các yêu cầu của một số cơ quan quản lý, SOC được thiết kế để giải quyết các vấn đề kinh doanh của khách hàng. Những nhiệm vụ này bao gồm cuộc chiến chống gian lận và tổ chức sự tương tác giữa các bộ phận CNTT và an ninh thông tin với việc xây dựng các quy định, tiêu chuẩn thống nhất về an ninh thông tin và kiểm soát việc thực hiện chúng.

Đôi khi, chúng tôi phải đối mặt với một nhiệm vụ rất rõ ràng nhưng hạn hẹp, chẳng hạn như kiểm soát các thay đổi hoặc xóa hóa đơn, tải lên các báo cáo cụ thể, truy cập chính sách bảo hiểm của một số nhân viên hoặc giám sát việc tuân thủ các cài đặt nhất định trên thiết bị mạng với các yêu cầu bảo mật thông tin.

Phạm vi nhiệm vụ được giải quyết với sự trợ giúp của SOC rộng một cách bất thường. Bạn có thể triển khai hầu hết mọi chức năng yêu cầu thu thập thông tin, xử lý thông tin và phát triển các biện pháp ứng phó, cho dù đó là thiết bị mạng, máy trạm, cơ sở dữ liệu hoặc thiết bị công nghệ, chẳng hạn như trạm gốc của nhà khai thác viễn thông.

Cuối cùng

Mặc dù thực tế là các Trung tâm Quản lý An ninh Thông tin Hoạt động ở Nga vẫn chưa phổ biến lắm, nhưng đã có một kinh nghiệm độc đáo trong việc xây dựng các trung tâm và ví dụ như vậy có thể được sử dụng làm ví dụ cho tất cả các tổ chức. Hiện tại, có khoảng 50 triển khai hệ thống giám sát và quản lý sự cố an toàn thông tin dựa trên các sản phẩm ArcSight ESM, Symantec SIM và RSA enVision. ArcSight tự tin nắm giữ vị trí dẫn đầu trong lĩnh vực này ở Nga, với hơn 30 lần triển khai. Số lượng cài đặt MaxPatrol cũng dao động khoảng 50, nhưng cần lưu ý rằng MaxPatrol là một sản phẩm tương đối mới xuất hiện trên thị trường cách đây vài năm và theo dự báo của các chuyên gia, vào cuối năm 2011, số lượng Các hệ thống quản lý lỗ hổng dựa trên MaxPatrol có thể lên tới hàng trăm. Trong lĩnh vực bảo vệ cơ sở dữ liệu bằng các phương tiện áp đặt, số lượng triển khai các sản phẩm Guardium, Imeprva, Embarcodero và Netforensics Dataone đã vượt quá năm mươi, và không chỉ các công ty viễn thông và ngân hàng lớn, vì họ thường chú ý đến bảo mật thông tin, mà còn cả các công ty từ khu vực công nghiệp đang thể hiện sự quan tâm đến các sản phẩm như vậy. , các nhà cung cấp dịch vụ nhỏ và thậm chí cả các công ty nhà nước, vì các sản phẩm được chứng nhận bởi FSTEC, có khả năng bảo vệ thông tin bí mật trong các tổ chức chính phủ.

Điều đáng khích lệ là ngày càng có nhiều công ty không chỉ thực hiện các biện pháp bảo vệ khác nhau mà còn tận dụng tối đa các SOC chính thức. Trong số các trung tâm quản lý vận hành bảo mật thông tin nổi tiếng nhất, có thể phân biệt SOC tại Beeline, MTS, TNK-BP và một số tổ chức lớn khác, thông tin về các tổ chức này có thể tìm thấy trên mạng.

Đã đến lúc bạn nghĩ về tất cả những điều thú vị và lợi ích của việc tổ chức một Trung tâm Điều hành An ninh Thông tin trong công ty của bạn?

Gặp các chữ viết tắt: SiP và SoC. Cái này là cái gì?

Công nghệ SiP (System-in-Package) đang dần trở nên phổ biến hơn như một giải pháp thay thế cho SoC (System-on-Chip, “system-in-chip”), ít nhất là đối với các giải pháp không dây.

Sự khác biệt giữa hai cách tiếp cận này nằm ở chỗ trong trường hợp đầu tiên, một số tinh thể mạch tích hợp (chip) được kết hợp trong một gói và trong trường hợp thứ hai, tất cả các nút của giải pháp làm sẵn trong tương lai được thực thi trên một gói.

Đồng thời, khi sử dụng công nghệ SoC, các nhà thiết kế phải dành nhiều thời gian hơn để phát triển các kết nối, tối ưu hóa việc sắp xếp các phần tử, v.v.

Sự lựa chọn giữa SoC và SiP luôn rất khó khăn.
Tuy nhiên, khi nhiều vấn đề về sản xuất và thiết kế đã được giải quyết hoặc sắp được giải quyết, SiP đang trở thành một công nghệ hấp dẫn hơn khi có rất ít thời gian để tạo ra một sản phẩm hoàn chỉnh.

Điều này đặc biệt đúng khi có các nút cho các tiêu chuẩn khác nhau trong hệ thống (ví dụ: bộ xử lý logic lõi cho liên lạc di động, Wi-Fi và Bluetooth) hoặc khi nhà sản xuất tìm cách "triển khai trong silicon" công nghệ chưa được thông qua. quá trình tiêu chuẩn hóa.

Chi phí và thời gian phát triển của SoC tăng theo cấp số nhân với độ phức tạp của thiết kế ngày càng tăng, trong khi SiP tăng gần như tuyến tính.

Nếu các thành phần tương tự có mặt trong thiết kế, hiệu suất tối ưu của chúng thường yêu cầu sử dụng các tiêu chuẩn sản xuất không phải là giá trị tối thiểu.

Do đó, nếu việc sản xuất IC logic hiện đang trải qua giai đoạn 65 nm, hướng tới các tiêu chuẩn thấp hơn, thì sự hiện diện đơn thuần của các thành phần tương tự trong thiết kế có thể khiến nhà sản xuất chọn SiP.

Ngoài ra, công nghệ này cho phép bạn đặt đủ số lượng các yếu tố thụ động trực tiếp bên trong vỏ máy.

Có khả năng là đối với các thiết kế hoàn toàn hợp lý, các SoC mang lại sự thuận tiện tuyệt vời cho các nhà sản xuất sản phẩm cuối cùng sẽ vẫn còn hấp dẫn trong một thời gian dài sắp tới.

SiP thường được sử dụng trong các thiết bị điện tử nhỏ như điện thoại thông minh và thiết bị đeo tay.
SoC có thể giúp các nhà phát triển đẩy nhanh việc áp dụng các giao thức mới như SoC Bluetooth 5, giúp tích hợp Bluetooth 5 vào các sản phẩm mới dễ dàng hơn.

Phần mềm AMD Radeon Adrenalin Edition Driver 19.9.2 Tùy chọn

Trình điều khiển tùy chọn AMD Radeon Software Adrenalin Edition 19.9.2 mới cải thiện hiệu suất trong Borderlands 3 và thêm hỗ trợ cho Radeon Image Sharpening.

Bản cập nhật tích lũy Windows 10 1903 KB4515384 (đã thêm)

Vào ngày 10 tháng 9 năm 2019, Microsoft đã phát hành bản cập nhật tích luỹ cho Windows 10 phiên bản 1903 - KB4515384 với một số cải tiến về bảo mật và bản sửa lỗi đã làm hỏng Windows Search và gây ra mức sử dụng CPU cao.

Trình điều khiển trò chơi đã sẵn sàng GeForce 436.30 WHQL

NVIDIA đã phát hành gói trình điều khiển Game Ready GeForce 436.30 WHQL, được thiết kế để tối ưu hóa trong các trò chơi: "Gears 5", "Borderlands 3" và "Call of Duty: Modern Warfare", "FIFA 20", "The Surge 2" và "Code Vein", sửa một số lỗi đã thấy trong các bản phát hành trước và mở rộng danh sách hiển thị trong danh mục Tương thích với G-Sync.