На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль-август 2014 г.
Тема номера:
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СОВРЕМЕННОГО ПРЕДПРИЯТИЯ
Автоматизация расследования инцидентов информационной безопасности в распределенной инфраструктуре
Олег Глебов, эксперт по информационной безопасности
Компания «Андэк»

Предыдущая статьяСледующая статья

Зачем же нужно расследование как таковое, ведь многие организации уже имеют большой парк средств защиты, выявления инцидентов и реагирования на них? Ответ прозаичен и прост: к сожалению, в условиях развитости атак не все из них можно остановить на уровне границ периметра. В результате не достаточно выявить атаку внутри сети, нужно понять, как она развивалась, каким образом воздействует на корпоративную инфраструктуру и что способствовало ее развитию. Большинство средств защиты, специализирующихся на противодействии угрозам, не имеют функционала проведения глубоких расследований. И такие решения, как SIEM, нацелены на оперативное информирование об инциденте и факте его выявления, при этом не предоставляя средств и данных для анализа выявленных инцидентов. Встает вопрос, как службам ИТ и ИБ оперативно провести расследования выявленных инцидентов?

При расследовании вредоносной активности внутри инфраструктуры ответственные за это сотрудники ищут ответы на следующие вопросы:

  • Кто виноват в возникновении инцидента?
  • Как он был реализован?
  • Какие системы, ресурсы, пользователи и данные скомпрометированы?
  • Где доказательства, что все закончилось?
  • Есть ли уверенность, что это не повторится?

Для получения ответов на поставленные вопросы требуются согласованные действия служб ИТ и ИБ при сборе и анализе данных, являющихся доказательной базой при расследовании. В результате процесс расследования инцидента информационной безопасности в организации включает два этапа: сбор необходимой для анализа информации и собственно расследование с анализом собранных данных. Опытные злоумышленники или сотрудники с привилегированными правами могут за минуты уничтожить следы своей негативной активности, что приводит к резкому увеличению времени, необходимого для расследования.

< ... >

warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2017 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100