Введение 4
Глава 1 Анализ теоретических основ обеспечения информационной безопасности сетей 8
1.1 Методы и средства обеспечения информационной безопасности
сетей 8
1.2 Характеристика информационных систем класса SIEM, их роль, значение и функционал в информационной инфраструктуре компании 15
1.3 Этапы внедрения SIEM-систем в существующую инфраструктуру
компании 25
1.4 Анализ научной литературы и публикаций, посвященных проблемам внедрения SIEM-систем в ИТ-инфраструктуру 30
Глава 2 Анализ используемых методов и средств управления информационной безопасностью 49
2.1 Характеристика ИТ-инфраструктуры организации-заказчика внедрения SIEM-системы (на примере предприятия Госкорпорации «Росатом») 49
2.2 Описание порядка расследования инцидентов в компании 59
2.3 Обзор и сравнительный анализ SIEM-систем 63
2.4 Характеристика выявленных проблем при внедрении SIEM-системы в конкретную ИТ-инфраструктуру 73
Глава 3 Разработка принципов эффективного управления информационной безопасностью в организации на основе SIEM-технологии 78
3.1 Необходимость автоматизации процесса мониторинга событий
информационной безопасности 78
3.2 SIEM-система - основа корпоративной системы обеспечения ИБ 84
3.3 Алгоритм разработки универсальных правил корреляции 85
3.4 Сложности при эксплуатации SIEM-систем 95
3.5 Требования государственных регуляторов к SIEM 97
3.6 Оценка эффективности результатов внедрения SIEM 98
Заключение 105
Список используемой литературы и используемых источников 108
Конечная цель любой системы безопасности информации - защитить организацию от возможных угроз и инцидентов, связанных с информацией. Однако, в современном цифровом мире, атаки становятся все более сложными и утонченными, что требует более эффективных подходов к обнаружению, анализу и расследованию инцидентов информационной безопасности.
Одним из ключевых инструментов, используемых организациями для обнаружения и расследования указанных инцидентов, являются системы безопасности информации и управления событиями (Security Information and Event Management, SIEM). SIEM-системы собирают, агрегируют и анализируют информацию о событиях безопасности из различных источников, таких как журналы аудита, системы обнаружения вторжений, брандмауэры и другие устройства, с целью обнаружения потенциальных угроз.
Тема выпускной квалификационной работы является актуальной, так как исследования компаний, занимающихся анализом информационной безопасности (ИБ), убеждают в необходимости внедрения информационных систем, которые позволяют расследовать инциденты ИБ в организациях любого уровня. Исследования, проводимые «Лабораторией Касперского», показали, что две трети ИБ-инцидентов (67%) вызваны действиями плохо информированных либо невнимательных сотрудников. При этом, согласно данным исследования ESET, 84% компаний недооценивают риски, обусловленные человеческим фактором.
«Системы управления информацией и событиями безопасности (SIEM) предназначены для того, чтобы помочь организациям отслеживать угрозы безопасности и реагировать на них в режиме реального времени. Собирая, анализируя и сопоставляя данные из нескольких источников, системы SIEM могут предоставить всестороннее представление о состоянии безопасности организации и помочь выявить потенциальные угрозы безопасности».
Но, при всей функциональности и полезности этих систем, не каждой организации удается внедрить ее в свою инфраструктуру, да и не каждой компании это необходимо. Связано это с тем, что внедрение SIEM-системы зависит от множества факторов, в особенности ИТ-инфраструктуры организации, ее масштабов, наличия нужных специалистов и т.д. Эти системы считаются достаточно сложными в построении и внедрении, из -за чего может возникнуть множество проблем. Именно этим проблемам и способам их решения и посвящена данная работа.
В связи с ростом числа угроз и актуальностью использования средств защиты информации в организациях вопросам внедрения различных средств защиты уделяется достаточно много внимания. SIEM-системы сами по себе являются новым средством обеспечения информационной безопасности, только набирающим популярность. Кроме того, в последние годы ситуация осложнилась санкциями, уходом зарубежных компаний с рынка России, из-за чего организациям приходится менять инфраструктуру. Поэтому постоянно всплывают новые и новые проблемы во внедрении SIEM-систем.
Объект исследования - сетевая инфраструктура корпорации «Росатом».
Предмет исследования - методы и средства управления информационной безопасностью на основе SIEM.
Цель ВКР - исследовать методы и средства управления информационной безопасностью на основе SIEM-технологии.
Для достижения поставленной цели в работе необходимо решить следующие задачи:
- рассмотреть теоретические основы обеспечения информационной безопасности с помощью SIEM;
- проанализировать сетевую инфраструктуру предприятия и обосновать необходимость внедрения системы SIEM;
- определить алгоритм внедрения SIEM-системы и разработать модель создания универсальных правил корреляции для корректной настройки SIEM-системы и её дальнейшего эффективного использования.
Гипотеза исследования: использование разработанного в рамках диссертационного исследования порядка внедрения и настройки SIEM- системы в существующую инфраструктуру организации обеспечит повышение ее информационной безопасности....
В последнее время процессы глобализации информационного пространства оказываются столь значительными, что захватывают разнообразные ответственные сферы современной цивилизации, и это ставит острые вопросы по обеспечению безопасности инфраструктуры компьютерных сетей. При этом темпы экспансии диктуются по большей части соображениями мировой конкурентной борьбы, захвата мировых рынков и достижения выгодного положения на конкурентном пространстве для извлечения максимальной прибыли. В то же время недостаточно внимания уделяется проблемам уязвимости инфраструктуры компьютерной сети.
Упомянутая проблема уязвимости инфраструктуры компьютерной сети для нашей страны приобретает особое значение в силу того, что со стороны западных стран в отношении нашей страны вводятся немотивированные ограничения и, более того, сохраняются риски блокирования глобальных информационных ресурсов.
Несанкционированный доступ к информационным ресурсам становится все более распространенным, а сектор по обеспечению безопасности компьютерных сетей по многим позициям не соответствует уровню задач безопасности.
В связи с этим актуализируются вопросы широкого круга задач безопасности компьютерных сетей, в том числе изучения тенденций проведения атак на компьютерные системы, включая вопросы анализа характера основных угроз, методов их выявления и защиты объектов сетевой инфраструктуры от сетевых атак.
В настоящем проекте были исследованы методы и средства обеспечения информационной безопасности на основе SIEM-технологии в действующей ИТ-инфраструктуре компании.
Рост удаленной работы по всему миру предоставляет злоумышленникам новые ресурсы для проведения атак на различные отрасли. Это делает правильно настроенные решения SIEM, обеспечивающие полную видимость сети, более важными, чем когда-либо. Тем не менее, это также означает, что система SIEM будет заполнена большим количеством информации, большим количеством ложных предупреждений и большим количеством потенциальных угроз. Для многих компаний способность идти в ногу с потоком информации, собираемой SIEM каждый день, означала бы наем дополнительных аналитиков безопасности, которые ежедневно просматривали бы тысячи записей в журнале событий. Использование инструментов, которые работают вместе с программным обеспечением SIEM, является лучшим решением.
Как и многие бизнес-затраты, безопасность - это инвестиции, которые со временем приносят дополнительную пользу. В то время как некоторые инструменты и продукты, используемые в ИТ и безопасности, быстро устаревают, SIEM - это решение, которое растет вместе с организацией и часто приобретает дополнительную ценность с течением времени. Качественная SIEM-система предназначена для масштабирования для растущих компаний. Он также может использовать ИИ и продолжать улучшать процессы по мере возникновения новых угроз.
SIEM со временем повышает свою ценность благодаря возможности непрерывной автоматизации задач. Хотя автоматизированные задачи позволяют организациям инвестировать в SIEM без первоначальных затрат на наем дополнительных аналитиков по безопасности, они также способствуют будущему росту без затрат на привлечение дополнительного персонала по безопасности.
Обычно основная причина, по которой компании инвестируют в SIEM, заключается в том, чтобы избежать затрат, связанных с нарушением безопасности. Поскольку системы SIEM предназначены для непрерывного приема и обработки данных, инвестиции продолжают окупаться. По мере развития технологий растут и решения SIEM, которые обеспечивают непрерывное решение, обеспечивающее одинаковый уровень безопасности.....
1. Актуальные киберугрозы: итоги 2021 года. [Электронный ресурс]. URL: http://ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021 (дата обращения: 25.03.2023).
2. Арламов Е.А., Панасюк Г.О. Анализ состояния информационной безопасности в современной России // Экономика и менеджмент инновационных технологий. 2020. №12 [Электронный ресурс]. URL:
http://ekonomika.snauka.ru/2016/12/13291(дата обращения: 25.03.2023).
3. Гуфан К.Ю, Проскурин Д.Ю. Анализ возможностей создания скрытых каналов передачи информации из защищаемых сетей// Технические науки. 2019. №1.
4. Доктрина информационной безопасности [Электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/71456224/(дата обращения: 20.02.2024).
5. Домарев В.В. Защита информации и безопасность компьютерных систем. К.: изд-во «Диа-Софт». 2020. 480 с.
6. Дудкина И. А. Технологии и методы обеспечения комплексной защиты информации / И. А. Дудкина// Молодой ученый. 2020. № 16 (120). С. 37-39. [Электронный ресурс]. URL: https://moluch.ru/archive/120/33148/(дата обращения: 25.06.2023).
7. Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. 2-e изд. М.: ИЦ РИОР: НИЦ ИНФРА- М, 2019. 392 с.
8. Казыханов А.А., Попов К.Г. Обеспечение безопасности информационных систем / В сборнике: Актуальные проблемы социального, экономического и информационного развития современного общества Всероссийская научно-практическая конференция, Башкирский государственный университет. 2019. с. 71-74.
9. Казьмин Д.А. Проблемы внедрения SIEM-систем // Тенденции развития науки и образования. 2023. №102-5. С. 19-22. URL:
https://www.elibrary.ru/item.asp?id=54811197(дата обращения: 10.02.2024).
10. Любохинец С. Ответ компании Cisco на современные угрозы безопасности // VIII-й Международный Security Innovation Forum 2018. СпБ: 27 ноября 2018. с. 29-33.
11. Макеенко Н.И., Новожилов И.О., Корабейников Д.Н. Система обнаружения вторжений // Современные научные исследования и инновации. 2017. №5 [Электронный ресурс]. URL:
http://web.snauka.ru/issues/2017/05/82889(дата обращения: 03.07.2023).
12. Михеева О.И., Гатчин Ю.А., Савков С.В., Хамматова Р.М., Нырков А.П. Методы поиска аномальных активностей веб-приложений // Научно-технический вестник информационных технологий, механики и оптики. 2020. Т. 20. № 2. С. 233-242.
13. Обзор мирового и российского рынка SIEM-систем [Электронный ресурс]. URL: https: //www.anti-malware. ru/analytics/Market_Analysis/overview- global-and-russian-market-siem (дата обращения: 20.02.2024).
14. Ортыков А. У. Обеспечение информационной безопасности предприятия от несанкционированного доступа // Технические науки: традиции и инновации: материалы III Междунар. науч. конф. (г. Казань, март 2018 г.). Казань. Молодой ученый. 2018. С. 22-24.
15. Пинженин В. Безопасность сети на основе 802.1 х и SFlow, «идеальная и недостижимая» / / Сетевые решения. 2019. №1. C. 38-42....(34)