7 July 2015

От управления данными к управлению инцидентами: как правильно встроить Varonis в процесс Incident Management

Varonis Systems corporate blog
В настоящее время довольно сложно представить себе компанию, которая не задумывается об информационной безопасности. Уровень развития ИБ в большой степени зависит от уровня развития бизнеса и ИТ. Защита информации всегда начинается с чего-то простого: необходимо установить межсетевые экраны, антивирусы и прочее, т. е. решить задачи на уровне инфраструктуры. На этом этапе выстраиванию соответствующих процессов и их регламентации внимание не уделяется. Со временем задачи усложняются, появляется потребность в использовании более сложных решений, таких как DLP-системы, системы по управлению неструктурированными или полуструктурированными данными, сканеры безопасности, системы класса Security Information and Event Management (SIEM). И однажды совокупность хаотичных и нерегламентированных процессов, огромное количество средств защиты, каждое из которых является жизненно необходимым, достигает такого состояния, когда уже неясно, действительно ли мы понимаем, как все это функционирует, как этим управлять, что происходит в компании с точки зрения ИБ. Практика показывает, что не всегда наращивание количества средств защиты влечет за собой увеличение персонала. Очень часто руководители полагают, что раз они вложили приличные суммы в обеспечение информационной безопасности, значит, все должно функционировать практически без участия человека. Но это не так. Как правило, подобный подход приводит к перегруженности персонала и низкой эффективности выполнения операционной деятельности ИБ.

Одним из способом решения подобной проблемы и сокращения операционных расходов является, как правило построение системы управления ИБ (Security Operation Center) на базе определенного SIEM-решения. Либо просто подключения всех систем ИБ к единой системе SIEM.

Важно понимать, что средства защиты от «всего и сразу» не существует. Различные программно-аппаратные средства защищают от определенного типа угроз. И отвечают за них, как правило, разные люди. Поэтому очень часто возникает задача интеграции продуктов Varonis с системами класса SIEM, чтобы можно было видеть все события информационной безопасности в одной консоли.
Продукты Varonis легко интегрируются с SIEM-решениями. Здесь есть несколько возможностей:

1. Оповещения. Varonis обладает довольно богатыми возможностями в плане оповещения пользователей. Они могут приходит по электронной почте, в виде SNMP-сообщения, записываться в Event Log. Нас же интересует метод передачи оповещений по syslog. Здесь важно правильно настроить сам Varonis – ведь от того, какие оповещения Вас интересуют будет зависеть правильно выстроенного процесса управления инцидентами. Если Вам интересно массовое копирование или удаление информации, работа конкретных пользователей, в конкретной папке, попытке доступа к конфиденциальным данным со стороны сотрудников, у которых нет таких прав, то необходимо настроить такие оповещения. Не следует забывать также о том, что необходимо будет настроить правила корреляции в SIEM-решении, чтобы результатами сообщений от Varonis были инциденты в соответствии с теми условиями, которые Вы считаете наиболее правильными. Важно понимать, что это двунаправленный процесс – как только Вы настраиваете оповещение в Varonis и видите это оповещение в SIEM-системе, необходимо сразу же настроить для него правило корреляции. Процесс нормализации событий от Varonis также не должен занять много времени: сообщения приходят в очень близком в CEF-формате, что может быть легко интерпретировано HP Arcsight. Другие SIEM-решения также легко интерпретируют сообщения от Varonis, требуется лишь чуть более длительная настройка. Таким образом Вы можете получить в своем SIEM-решении всю информацию об оповещениях, которые могут происходить в Varonis и даже не обращаться в саму консоль продукта. Необходимо лишь произвести первоначальную настройку и потом только донастраивать в соответствии с изменениями инфраструктуры.

2. Интеграция через отчеты Varonis. В этом случае у Вас, как правило, нет системы оповещения от Varonis (возможно, она была Вам изначально не нужна, и Вы не стали ее покупать), но есть сам продут, который Вы хотите связать с имеющимся у Вас SIEM-решением. Varonis обладает широкими возможностями построения отчетов и все те инциденты информационной безопасности, которые могли быть в оповещениях, в отчетах также будут присутствовать. Необходимо лишь точно также настроить те отчеты, которые Вы хотите выгружать и по каким критериям, периодичность выгрузки и формат. Главным недостатком здесь является отсутствие оперативности – ведь системы оповещения у Вас нет, а из отчета Вы сможете узнать, что случилось только на следующий день. И интеграция с SIEM здесь будет другой: если в первом случае был syslog, то здесь это будет файл формата csv, который будет выгружаться с определенной периодичностью. Но конечная цель будет достигнута и в этом случае: Вы сможете видеть все интересующие Вас инциденты ИБ в одной консоли.

3. События самого Varonis. Здесь речь идет о тех событиях, которые Varonis пишет в Event Log самого сервера: это события о своем состоянии. Если мы хотим знать, работает ли Varonis в данный момент и не хотим при этом постоянно лезть на сервер, открывать консоль продукта или проверять запущены ли службы Varonis, то ничего не мешает нам считывает Event Log сервера Varonis и генерировать инцидент ИБ в том, случае, если там будут какие-либо ошибки. В этом случае мы можем быть абсолютно уверены, что у нас все под контролем.

Таким образом, Вы можете получить решение, которое полностью удовлетворяет потребностям ИБ в плане управления инцидентами, связанными с данными, создаваемыми сотрудниками компании. Это повлечет за собой снижение операционных расходов, а сотрудники отдела ИБ смогут быстрее и оперативнее решать повседневные задачи по обеспечению информационной безопасности.
Tags:Varonisинформационная безопасностьданные в компаниинеструктурированные данные
Hubs: Varonis Systems corporate blog
+7
3.2k 11
Leave a comment
Top of the last 24 hours