Реагирование на события информационной безопасности и работа с отчетами

Предотвращать инциденты ИБ и отслеживать возникающие риски позволяет управление событиями информационной безопасности, под которыми понимают любые (не обязательно негативные) изменения в ИТ-инфраструктуре. Например, они могут касаться действий с данными, пользовательских привилегий, системных компонентов. В статье расскажем, что собой представляет грамотное управление событиями, с помощью каких инструментов можно мониторить обстановку внутри информационной инфраструктуры, какую роль в обеспечении ИБ безопасности играет работа с отчетами о доступе к конфиденциальным данным.

Управление событиями и инцидентами информационной безопасности: стратегия и методы

Стратегия управления инцидентами ИБ включает пять ключевых положений:

• Сбор информации о событиях внутри инфраструктуры компании, мониторинг событий информационной безопасности.
• Анализ собранных сведений с целью выявления аномалий, нарушений политик ИБ, потенциальных угроз.
• Классификация событий по степени риска (низкий, средний, высокий, критический) для организации.
• Реагирование на события информационной безопасности — принятие эффективных мер по пресечению подозрительной активности, предотвращению инцидентов.
• Формирование отчетов, содержащих информацию об обнаруженных событиях и принятых по отношению к ним мерах.

Ключевой инструмент управления событиями информационной безопасности — системы SIEM (Security Information and Event Management). Они собирают информацию о происходящих внутри инфраструктуры событиях и анализируют ее с целью обнаружения потенциальных угроз. SIEM-решения выявляют отклонения от политик безопасности и подозрительную активность, которая часто является признаком инцидента ИБ.

Мониторинг событий информационной безопасности

Мониторинг событий информационной безопасности — это непрерывный контроль действий внутри инфраструктуры компании, в процессе которого происходит регистрация всех изменений и их дальнейший анализ с целью выявления уязвимостей в системе защиты ресурсов и данных.

Что включает в себя мониторинг?

• Контроль всех операций, совершаемых пользователями информационных систем.
• Контроль уровня защищенности данных, которые хранит и обрабатывает компания.
• Отслеживание угроз безопасности данных.

Мониторинг событий информационной безопасности и действий пользователей осуществляется с помощью специального технического оборудования и программного обеспечения, позволяющего автоматизировать процессы сбора и обработки информации. Примеры таких решений: PAM-система Solar SafeInspect, которая может отслеживать действия привилегированных пользователей в рамках рабочих сессий; DLP-платформа Solar Dozor с модулем UBA (User Behavior Analysis), предназначенная для предотвращения утечек, контроля действий сотрудников и анализа их поведения на рабочем месте.

Отслеживать доступ к критически значимой информации поможет DAG-решение (Data Access Governance) от Solar для управления доступом к неструктурированным данным. Система регистрирует все события об изменении полномочий путем двунаправленного представления — в отношении как учетных записей (УЗ), так и объектов доступа, то есть ресурсов. Также она позволяет проводить классификацию данных, настраивать области видимости, формировать отчеты.

Работа с ИБ-отчетами и отчетами DAG-системы в целях управления событиями информационной безопасности

Использование системы Solar DAG позволит получать детализированные отчеты о событиях с данными внутри информационной инфраструктуры. Решение позволяет анализировать неструктурированные данные с целью выявления ценных и критичных сведений и их классификации. На основании данных, предоставленных системой, администраторы смогут принимать решения относительно хранения активов, назначения доступа к ним и контроля использования.

Одна из возможностей работы Solar DAG — создание отчетов. В рамках мониторинга событий информационной безопасности генерирует система следующие виды отчетов:

• «Ресурсы» — отчет, позволяющий получать представление об актуальных полномочиях доступа к отдельным файлам или ко всем компонентам системы хранения. Для их построения можно применять фильтры, например, запросить срезы по категориям информации, к которым имеют доступ конкретные учетные записи. Отчет формируется в виде таблиц, содержащих следующие сведения: наименования и виды ресурсов, наименования ИС, источники предоставления данных, характеристики субъектов доступа, сводки о текущих правах и иерархии доступа по каждому субъекту.
• «Учетные записи» — отчет, предоставляющий информацию о зарегистрированных УЗ и объектах, с которыми работают эти учетки. В отчете содержатся: источники получения данных, идентификаторы, наименования и статусы учетных записей, имена пользователей, число ресурсов, к которым имеют доступ конкретные УЗ. Также можно запросить дополнительные сведения о разрешенных и запрещенных доступах к заданным в фильтрах объектам.
• «История изменения прав доступа к ресурсу» — отчет, отображающий все изменения прав доступа к конкретным документам и каталогам за определенный временной период. Такие срезы помогают ускорить реагирование на события информационной безопасности, связанные с несанкционированным назначением полномочий. В отчете публикуется следующая информация: идентификаторы и статусы учетных записей, перечень разрешительных и запретительных прав доступа на начало/конец временного периода. Дополнительно можно запросить историю изменений полномочий с учетом всех событий в информационных системах.
• «История изменения прав доступа учетной записи» — отчет, содержащий информацию об изменениях привилегий конкретных УЗ за определенный временной период. В таком отчете представлены наименования и типы анализируемых ресурсов, названия информационных систем, перечень разрешительных и запретительных полномочий для конкретных учеток на начало/конец периода.

Оперативное реагирование на события ИБ благодаря использованию Solar DAG

Solar DAG предоставляет достоверную аналитику в режиме реального времени, которая помогает принимать решения относительно событий, происходящих с данными и выстраивать защиту от несанкционированного доступа и утечек конфиденциальной информации. Благодаря системе офицеры службы ИБ будут знать, кто и к какой информации обращается, соблюдаются ли права доступа. С помощью собранных сведений можно выстраивать эффективную стратегию защиты чувствительных данных, корректировать порядок назначения полномочий доступа к ресурсам инфраструктуры.

Solar DAG осуществляет журналирование всех событий в файловых системах, чтобы было можно отследить выполняемые с данными операции и обнаружить факты нелегитимного использования активов. Эта информация также помогает проводить аудит доступа и формировать сценарии реагирования на события информационной безопасности.