📄Работа №212674
Тема: Методы и средства управления информационной безопасностью на основе SIEM-технологии
Тип работы
Магистерская диссертация
Предмет
информационная безопасность
Объем:
95 листов
Год:
2024
Просмотров:
20
5000
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение 3
Глава 1 Анализ теоретических основ обеспечения информационной безопасности сетей 7
1.1 Методы и средства обеспечения информационной безопасности сетей 7
1.2 Характеристика информационных систем класса SIEM, их роль, значение и функционал в информационной инфраструктуре компании 14
1.3 Этапы внедрения SIEM-систем в существующую инфраструктуру компании 25
1.4 Анализ научной литературы и публикаций, посвященных проблемам внедрения SIEM-систем в ИТ-инфраструктуру 30
Глава 2 Анализ используемых методов и средств управления информационной безопасностью 49
2.1 Характеристика ИТ-инфраструктуры организации-заказчика внедрения SIEM-системы (на примере предприятия Госкорпорации «Росатом») 49
2.2 Описание расследования инцидентов в компании 60
2.3 Обзор и сравнительный анализ SIEM-систем 64
2.4 Характеристика выявленных проблем при внедрении SIEM-системы в конкретную ИТ-инфраструктуру 74
Глава 3 Внедрение SIEM-системы и ее интеграция с DLP 79
3.1 Рекомендации по внедрению SIEM-технологии и интеграции ее с DLP 79
Заключение 89
Список используемой литературы и используемых источников 92
Приложение 1 96
Приложение 2 99
Глава 1 Анализ теоретических основ обеспечения информационной безопасности сетей 7
1.1 Методы и средства обеспечения информационной безопасности сетей 7
1.2 Характеристика информационных систем класса SIEM, их роль, значение и функционал в информационной инфраструктуре компании 14
1.3 Этапы внедрения SIEM-систем в существующую инфраструктуру компании 25
1.4 Анализ научной литературы и публикаций, посвященных проблемам внедрения SIEM-систем в ИТ-инфраструктуру 30
Глава 2 Анализ используемых методов и средств управления информационной безопасностью 49
2.1 Характеристика ИТ-инфраструктуры организации-заказчика внедрения SIEM-системы (на примере предприятия Госкорпорации «Росатом») 49
2.2 Описание расследования инцидентов в компании 60
2.3 Обзор и сравнительный анализ SIEM-систем 64
2.4 Характеристика выявленных проблем при внедрении SIEM-системы в конкретную ИТ-инфраструктуру 74
Глава 3 Внедрение SIEM-системы и ее интеграция с DLP 79
3.1 Рекомендации по внедрению SIEM-технологии и интеграции ее с DLP 79
Заключение 89
Список используемой литературы и используемых источников 92
Приложение 1 96
Приложение 2 99
📖 Введение
Конечная цель любой системы безопасности информации - защитить организацию от возможных угроз и инцидентов, связанных с информацией. Однако, в современном цифровом мире, атаки становятся все более сложными и утонченными, что требует более эффективных подходов к обнаружению, анализу и расследованию инцидентов информационной безопасности.
Одним из ключевых инструментов, используемых организациями для обнаружения и расследования указанных инцидентов, являются системы безопасности информации и управления событиями (Security Information and Event Management, SIEM). SIEM-системы собирают, агрегируют и анализируют информацию о событиях безопасности из различных источников, таких как журналы аудита, системы обнаружения вторжений, брандмауэры и другие устройства, с целью обнаружения потенциальных угроз.
Тема выпускной квалификационной работы является актуальной, так как исследования компаний, занимающихся анализом информационной безопасности (ИБ), убеждают в необходимости внедрения информационных систем, которые позволяют расследовать инциденты ИБ в организациях любого уровня. Исследования, проводимые «Лабораторией Касперского», показали, что две трети ИБ-инцидентов (67%) вызваны действиями плохо информированных либо невнимательных сотрудников. При этом, согласно данным исследования ESET, 84% компаний недооценивают риски, обусловленные человеческим фактором.
Системы управления информацией и событиями безопасности (SIEM) предназначены для того, чтобы помочь организациям отслеживать угрозы безопасности и реагировать на них в режиме реального времени. Собирая, анализируя и сопоставляя данные из нескольких источников, системы SIEM могут предоставить всестороннее представление о состоянии безопасности организации и помочь выявить потенциальные угрозы безопасности.
Но, при всей функциональности и полезности этих систем, не каждой организации удается внедрить ее в свою инфраструктуру, да и не каждой компании это необходимо. Связано это с тем, что внедрение SIEM-системы зависит от множества факторов, в особенности ИТ-инфраструктуры организации, ее масштабов, наличия нужных специалистов и т.д. Эти системы считаются достаточно сложными в построении и внедрении, из-за чего может возникнуть множество проблем. Именно этим проблемам и способам их решения и посвящена данная работа.
В связи с ростом числа угроз и актуальностью использования средств защиты информации в организациях вопросам внедрения различных средств защиты уделяется достаточно много внимания. SIEM-системы сами по себе являются новым средством обеспечения информационной безопасности, только набирающим популярность. Кроме того, в последние годы ситуация осложнилась санкциями, уходом зарубежных компаний с рынка России, из-за чего организациям приходится менять инфраструктуру. Поэтому постоянно всплывают новые и новые проблемы во внедрении SIEM-систем.
Объект исследования – сетевая инфраструктура корпорации «Росатом».
Предмет исследования – методы и средства управления информационной безопасностью на основе SIEM.
Цель ВКР – исследовать методы и средства управления информационной безопасностью на основе SIEM-технологии.
Для достижения поставленной цели в работе необходимо решить следующие задачи:
рассмотреть теоретические основы обеспечения информационной безопасности с помощью SIEM;
проанализировать сетевую инфраструктуру предприятия и обосновать необходимость внедрения системы SIEM;
выбрать SIEM-систему и разработать рекомендации по ее внедрению.
Гипотеза исследования: использование разработанных в рамках диссертационного исследования рекомендаций по внедрению SIEM-системы в существующую инфраструктуру организации обеспечит повышение ее информационной безопасности.
Методы исследования. В процессе исследования будут использованы следующие положения и методы: системный анализ, аналитический и сравнительный методы, методы оценки актуальности угроз.
Новизна исследования заключается в разработке алгоритма внедрения SIEM-системы, которая обеспечит управление информационной безопасностью в компании.
Практическая значимость исследования заключается в возможности применения предлагаемых рекомендаций при внедрении SIEM-системы в реальную организацию.
Теоретической основой диссертационного исследования являются научные труды российских и зарубежных ученых, занимающихся проблемами внедрения SIEM-систем в информационную структуру предприятий.
Основные этапы исследования: исследование проводилось с 2021 по 2024 год в несколько этапов.
На первом (констатирующем) этапе формулировалась тема исследования, выполнялся сбор информации по теме исследования из различных источников, проводилась формулировка гипотезы, определялись постановка цели, задач, предмета исследования, объекта исследования и выполнялось определение проблематики данного исследования.
Второй этап – поисковый. В ходе проведения данного этапа осуществлялся анализ методов управления информационной безопасностью предприятий, разработаны алгоритмы выбора внедрения SIEM-системы в инфраструктуру предприятия, опубликована статья по теме исследования в научном издании.
На третьем этапе осуществлялась апробация предлагаемых рекомендаций, сформулированы выводы о полученных результатах по проведенному исследованию.
На защиту выносятся:
алгоритм внедрения SIEM-системы в существующую инфраструктуру компании;
результаты апробации предлагаемых проектных решений.
По теме исследования опубликована одна статья:
Казьмин, Д. А. Проблемы внедрения SIEM-систем / Д. А. Казьмин // Тенденции развития науки и образования. – 2023. – № 102-5. – С. 19-22. – DOI 10.18411/trnio-10-2023-242. – EDN JZPKBC.
Диссертация состоит из введения, трех глав, заключения и списка литературы.
Во введении обоснована актуальность темы исследования, представлены объект, предмет, цели, задачи и положения, выносимые на защиту диссертации.
В первой главе дан анализ существующих методов обеспечения информационной безопасности сетей. Особое внимание уделено SIEM-системам и проблемам их внедрения в инфраструктуру компаний.
Во второй главе проведен анализ используемых методов и средств управления информационной безопасностью в рассматриваемой организации, оценена их эффективность.
Третья глава посвящена разработке рекомендаций по внедрению SIEM-технологии и ее интеграции с DLP.
В заключении приводятся результаты исследования.
Работа изложена на 95 страницах и включает 30 рисунков, 3 таблицы, 34 источника.
Одним из ключевых инструментов, используемых организациями для обнаружения и расследования указанных инцидентов, являются системы безопасности информации и управления событиями (Security Information and Event Management, SIEM). SIEM-системы собирают, агрегируют и анализируют информацию о событиях безопасности из различных источников, таких как журналы аудита, системы обнаружения вторжений, брандмауэры и другие устройства, с целью обнаружения потенциальных угроз.
Тема выпускной квалификационной работы является актуальной, так как исследования компаний, занимающихся анализом информационной безопасности (ИБ), убеждают в необходимости внедрения информационных систем, которые позволяют расследовать инциденты ИБ в организациях любого уровня. Исследования, проводимые «Лабораторией Касперского», показали, что две трети ИБ-инцидентов (67%) вызваны действиями плохо информированных либо невнимательных сотрудников. При этом, согласно данным исследования ESET, 84% компаний недооценивают риски, обусловленные человеческим фактором.
Системы управления информацией и событиями безопасности (SIEM) предназначены для того, чтобы помочь организациям отслеживать угрозы безопасности и реагировать на них в режиме реального времени. Собирая, анализируя и сопоставляя данные из нескольких источников, системы SIEM могут предоставить всестороннее представление о состоянии безопасности организации и помочь выявить потенциальные угрозы безопасности.
Но, при всей функциональности и полезности этих систем, не каждой организации удается внедрить ее в свою инфраструктуру, да и не каждой компании это необходимо. Связано это с тем, что внедрение SIEM-системы зависит от множества факторов, в особенности ИТ-инфраструктуры организации, ее масштабов, наличия нужных специалистов и т.д. Эти системы считаются достаточно сложными в построении и внедрении, из-за чего может возникнуть множество проблем. Именно этим проблемам и способам их решения и посвящена данная работа.
В связи с ростом числа угроз и актуальностью использования средств защиты информации в организациях вопросам внедрения различных средств защиты уделяется достаточно много внимания. SIEM-системы сами по себе являются новым средством обеспечения информационной безопасности, только набирающим популярность. Кроме того, в последние годы ситуация осложнилась санкциями, уходом зарубежных компаний с рынка России, из-за чего организациям приходится менять инфраструктуру. Поэтому постоянно всплывают новые и новые проблемы во внедрении SIEM-систем.
Объект исследования – сетевая инфраструктура корпорации «Росатом».
Предмет исследования – методы и средства управления информационной безопасностью на основе SIEM.
Цель ВКР – исследовать методы и средства управления информационной безопасностью на основе SIEM-технологии.
Для достижения поставленной цели в работе необходимо решить следующие задачи:
рассмотреть теоретические основы обеспечения информационной безопасности с помощью SIEM;
проанализировать сетевую инфраструктуру предприятия и обосновать необходимость внедрения системы SIEM;
выбрать SIEM-систему и разработать рекомендации по ее внедрению.
Гипотеза исследования: использование разработанных в рамках диссертационного исследования рекомендаций по внедрению SIEM-системы в существующую инфраструктуру организации обеспечит повышение ее информационной безопасности.
Методы исследования. В процессе исследования будут использованы следующие положения и методы: системный анализ, аналитический и сравнительный методы, методы оценки актуальности угроз.
Новизна исследования заключается в разработке алгоритма внедрения SIEM-системы, которая обеспечит управление информационной безопасностью в компании.
Практическая значимость исследования заключается в возможности применения предлагаемых рекомендаций при внедрении SIEM-системы в реальную организацию.
Теоретической основой диссертационного исследования являются научные труды российских и зарубежных ученых, занимающихся проблемами внедрения SIEM-систем в информационную структуру предприятий.
Основные этапы исследования: исследование проводилось с 2021 по 2024 год в несколько этапов.
На первом (констатирующем) этапе формулировалась тема исследования, выполнялся сбор информации по теме исследования из различных источников, проводилась формулировка гипотезы, определялись постановка цели, задач, предмета исследования, объекта исследования и выполнялось определение проблематики данного исследования.
Второй этап – поисковый. В ходе проведения данного этапа осуществлялся анализ методов управления информационной безопасностью предприятий, разработаны алгоритмы выбора внедрения SIEM-системы в инфраструктуру предприятия, опубликована статья по теме исследования в научном издании.
На третьем этапе осуществлялась апробация предлагаемых рекомендаций, сформулированы выводы о полученных результатах по проведенному исследованию.
На защиту выносятся:
алгоритм внедрения SIEM-системы в существующую инфраструктуру компании;
результаты апробации предлагаемых проектных решений.
По теме исследования опубликована одна статья:
Казьмин, Д. А. Проблемы внедрения SIEM-систем / Д. А. Казьмин // Тенденции развития науки и образования. – 2023. – № 102-5. – С. 19-22. – DOI 10.18411/trnio-10-2023-242. – EDN JZPKBC.
Диссертация состоит из введения, трех глав, заключения и списка литературы.
Во введении обоснована актуальность темы исследования, представлены объект, предмет, цели, задачи и положения, выносимые на защиту диссертации.
В первой главе дан анализ существующих методов обеспечения информационной безопасности сетей. Особое внимание уделено SIEM-системам и проблемам их внедрения в инфраструктуру компаний.
Во второй главе проведен анализ используемых методов и средств управления информационной безопасностью в рассматриваемой организации, оценена их эффективность.
Третья глава посвящена разработке рекомендаций по внедрению SIEM-технологии и ее интеграции с DLP.
В заключении приводятся результаты исследования.
Работа изложена на 95 страницах и включает 30 рисунков, 3 таблицы, 34 источника.
✅ Заключение
В последнее время процессы глобализации информационного пространства оказываются столь значительными, что захватывают разнообразные ответственные сферы современной цивилизации, и это ставит острые вопросы по обеспечению безопасности инфраструктуры компьютерных сетей. При этом темпы экспансии диктуются по большей части соображениями мировой конкурентной борьбы, захвата мировых рынков и достижения выгодного положения на конкурентном пространстве для извлечения максимальной прибыли. В то же время недостаточно внимания уделяется проблемам уязвимости инфраструктуры компьютерной сети.
Упомянутая проблема уязвимости инфраструктуры компьютерной сети для нашей страны приобретает особое значение в силу того, что со стороны западных стран в отношении нашей страны вводятся немотивированные ограничения и, более того, сохраняются риски блокирования глобальных информационных ресурсов.
Несанкционированный доступ к информационным ресурсам становится все более распространенным, а сектор по обеспечению безопасности компьютерных сетей по многим позициям не соответствует уровню задач безопасности.
В связи с этим актуализируются вопросы широкого круга задач безопасности компьютерных сетей, в том числе изучения тенденций проведения атак на компьютерные системы, включая вопросы анализа характера основных угроз, методов их выявления и защиты объектов сетевой инфраструктуры от сетевых атак.
В настоящем проекте были исследованы проблемы при внедрении SIEM-систем в существующую ИТ-инфраструктуру.
Рост удаленной работы по всему миру предоставляет злоумышленникам новые ресурсы для проведения атак на различные отрасли. Это делает правильно настроенные решения SIEM, обеспечивающие полную видимость сети, более важными, чем когда-либо. Тем не менее, это также означает, что система SIEM будет заполнена большим количеством информации, большим количеством ложных предупреждений и большим количеством потенциальных угроз. Для многих компаний способность идти в ногу с потоком информации, собираемой SIEM каждый день, означала бы наем дополнительных аналитиков безопасности, которые ежедневно просматривали бы тысячи записей в журнале событий. Использование инструментов, которые работают вместе с программным обеспечением SIEM, является лучшим решением.
Как и многие бизнес-затраты, безопасность - это инвестиции, которые со временем приносят дополнительную пользу. В то время как некоторые инструменты и продукты, используемые в ИТ и безопасности, быстро устаревают, SIEM - это решение, которое растет вместе с организацией и часто приобретает дополнительную ценность с течением времени. Качественная SIEM-система предназначена для масштабирования для растущих компаний. Он также может использовать ИИ и продолжать улучшать процессы по мере возникновения новых угроз.
SIEM со временем повышает ценность благодаря возможности непрерывной автоматизации задач. Хотя автоматизированные задачи позволяют организациям инвестировать в SIEM без первоначальных затрат на наем дополнительных аналитиков по безопасности, они также способствуют будущему росту без затрат на привлечение дополнительного персонала по безопасности.
Обычно основная причина, по которой компании инвестируют в SIEM, заключается в том, чтобы избежать затрат, связанных с нарушением безопасности. Поскольку системы SIEM предназначены для непрерывного приема и обработки данных, инвестиции продолжают окупаться. По мере развития технологий растут и решения SIEM, которые обеспечивают непрерывное решение, обеспечивающее одинаковый уровень безопасности.
Проблемы в основном могут быть подразделены на следующие категории:
организационные - недостатки в планировании проекта, бюджета, времени;
технические - системы SIEM очень сложны в построении, соответственно, во внедрении. Приходится иногда менять аппаратное обеспечение, чтобы технические характеристики соответствовали минимальным требованиям.
кадровые - мало квалифицированных специалистов;
финансовые - внедрение обходится дорого.
Внедрение системы было рассмотрено на примере корпорации «Росатом». В это компании имелась SIEM-система IBM Security QRadar XDR, так как организация является субъектом КИИ и обязана использовать такую систему. Но фирма IBM из-за санкций ушла с рынка России, поэтому перестала обновляться и поддерживаться производителем. Из-за этого встал вопрос о внедрении другой системы.
При внедрении системы оказалось, что одной системы SIЕM будет недостаточно. В качестве источника информации предлагается внедрить еще DLP-систему.
Был проведен анализ SIEM-систем, преимущественно отечественного производства. Из рассмотренных систем хорошим вариантом является система «СёрчИнформ SIEM», так как эта компания-производитель также имеет решение DLP - «КИБ Серчинформ».
Были также даны общие рекомендации по установке и настройке SIEM-систем.
Упомянутая проблема уязвимости инфраструктуры компьютерной сети для нашей страны приобретает особое значение в силу того, что со стороны западных стран в отношении нашей страны вводятся немотивированные ограничения и, более того, сохраняются риски блокирования глобальных информационных ресурсов.
Несанкционированный доступ к информационным ресурсам становится все более распространенным, а сектор по обеспечению безопасности компьютерных сетей по многим позициям не соответствует уровню задач безопасности.
В связи с этим актуализируются вопросы широкого круга задач безопасности компьютерных сетей, в том числе изучения тенденций проведения атак на компьютерные системы, включая вопросы анализа характера основных угроз, методов их выявления и защиты объектов сетевой инфраструктуры от сетевых атак.
В настоящем проекте были исследованы проблемы при внедрении SIEM-систем в существующую ИТ-инфраструктуру.
Рост удаленной работы по всему миру предоставляет злоумышленникам новые ресурсы для проведения атак на различные отрасли. Это делает правильно настроенные решения SIEM, обеспечивающие полную видимость сети, более важными, чем когда-либо. Тем не менее, это также означает, что система SIEM будет заполнена большим количеством информации, большим количеством ложных предупреждений и большим количеством потенциальных угроз. Для многих компаний способность идти в ногу с потоком информации, собираемой SIEM каждый день, означала бы наем дополнительных аналитиков безопасности, которые ежедневно просматривали бы тысячи записей в журнале событий. Использование инструментов, которые работают вместе с программным обеспечением SIEM, является лучшим решением.
Как и многие бизнес-затраты, безопасность - это инвестиции, которые со временем приносят дополнительную пользу. В то время как некоторые инструменты и продукты, используемые в ИТ и безопасности, быстро устаревают, SIEM - это решение, которое растет вместе с организацией и часто приобретает дополнительную ценность с течением времени. Качественная SIEM-система предназначена для масштабирования для растущих компаний. Он также может использовать ИИ и продолжать улучшать процессы по мере возникновения новых угроз.
SIEM со временем повышает ценность благодаря возможности непрерывной автоматизации задач. Хотя автоматизированные задачи позволяют организациям инвестировать в SIEM без первоначальных затрат на наем дополнительных аналитиков по безопасности, они также способствуют будущему росту без затрат на привлечение дополнительного персонала по безопасности.
Обычно основная причина, по которой компании инвестируют в SIEM, заключается в том, чтобы избежать затрат, связанных с нарушением безопасности. Поскольку системы SIEM предназначены для непрерывного приема и обработки данных, инвестиции продолжают окупаться. По мере развития технологий растут и решения SIEM, которые обеспечивают непрерывное решение, обеспечивающее одинаковый уровень безопасности.
Проблемы в основном могут быть подразделены на следующие категории:
организационные - недостатки в планировании проекта, бюджета, времени;
технические - системы SIEM очень сложны в построении, соответственно, во внедрении. Приходится иногда менять аппаратное обеспечение, чтобы технические характеристики соответствовали минимальным требованиям.
кадровые - мало квалифицированных специалистов;
финансовые - внедрение обходится дорого.
Внедрение системы было рассмотрено на примере корпорации «Росатом». В это компании имелась SIEM-система IBM Security QRadar XDR, так как организация является субъектом КИИ и обязана использовать такую систему. Но фирма IBM из-за санкций ушла с рынка России, поэтому перестала обновляться и поддерживаться производителем. Из-за этого встал вопрос о внедрении другой системы.
При внедрении системы оказалось, что одной системы SIЕM будет недостаточно. В качестве источника информации предлагается внедрить еще DLP-систему.
Был проведен анализ SIEM-систем, преимущественно отечественного производства. Из рассмотренных систем хорошим вариантом является система «СёрчИнформ SIEM», так как эта компания-производитель также имеет решение DLP - «КИБ Серчинформ».
Были также даны общие рекомендации по установке и настройке SIEM-систем.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.