Для этой задачи можно использовать системы мониторинга различных событий:
 |
| Консоль управления Cisco Cyber Threat Defense |
 |
| Консоль управления Cisco ISE |
 |
| Система AlertEnterprise |
Можно ли для этой задачи настроить SIEM? Теоретически, при наличии мощного API для написания коннекторов… Можно. Но все-таки задача SIEM — немного иная. Она собирает и анализирует технологическую информацию. Нужны решения по бизнес-аналитике, заточенные под ИБ. Есть ли такие системы? Да, есть. Причем как отечественной разработки, так и зарубежной. Я не буду подробно рассматривать каждую из них (все-таки это сугубо индивидуальная тема и каждый вкладывает в такую систему свой взгляд, свой опыт и свое понимание эффективности ИБ). Я просто приведу список, который вы сможете проанализировать уже сами:
- SecurityVision от компании АйТи
- Jet InView от Инфосистемы Джет
- BitSight Platform от BitSightTechnologies
- Tripwire Data Mart от Tripwire
- Tripwire Benchmarking от Tripwire. Вот с этой системой я работал еще когда она принадлежала ClearPoint Metrics. Потом ее купила nCircle, а затем уже и Tripwire.
Правильное использование таких Security BI систем позволит собрать все данные от разнородных систем и процессов на единой платформе и работать с ними уже по своему усмотрению. После внедрения в такие решения можно даже загнать то, что сложно автоматизировать — оценку процессов повышения осведомленности, проведение регулярных встреч с руководством, сравнение разных отделов с точки зрения ИБ и т.п.
Правда, надо заметить, что внедрение таких систем — это уже из разряда высшего пилотажа. Ведь это даже не SIEM, которая требует наличие установленных везде источников данных в виде МСЭ, IPS, антивирусов, сканеров безопасности. Это система будет покруче, т.к. помимо данных от SIEM (или напрямую от сенсоров средств защиты) она получает и другие, «процессные» и «организационные» данные. А значит, что процессы должны быть выстроены или, как минимум, начато их построение.
ЗЫ. Кстати, у BitSight есть интересная услуга/продукт — BitSight SecurityRating, которая позволяет сравнивать схожие компании по уровню ИБ. В свое время такая услуга (Security Benchmarking) была у KPMG и если не вдаваться в суть идеи (она на самом деле не так уж и реализуема), то многие руководители хотят знать, как они соотносятся с другими аналогичными компаниями и конкурентами. По сути, это самая высшая метрика, когда компании сравниваются друг с другом (выше может быть только сравнение государств, но до этого пока никто не додумался).
 |
| Портал BitSight SecurityRating |
Очень странно, что остался не упомянутым продукт RSA — RSA Archer. Вы ж, вроде, должны эти продукты в первую очередь двигать 🙂
Почему я их должен двигать?
Поддержу doom лишь в первой половине его реплики. Действительно странно, что Archer остался незамеченным.
Не могу же я знать всех ;-( С арчером как-то не приходилось сталкиваться
У всех упомянутых и не упомянутых систем оценки/анализа ИБ имеется существенный недостаток, который тормозит их широкое применение. Они не могут ответить на вопрос: А возможен НСД к защищащемой информации при данной политике безопасности и архитектуре системы или нет? Алгоритм такого анализа существует, но его применение эффективно только для критичных систем, поскольку требуется дорогостоящее построение первичной модели архитектуры и процессов обработки и защиты информации. Затем проверка всех возможных состояний системы с оценкой их безопасности на динамической модели. Типизация объектов анализа для данного случая сложная задача. Когда появятся библиотеки типовых сегментов архитектуры/процессов с уже проведенной локальной оценкой безопасности состояний, то возможно сдвинется с мертвой точки вопрос получения достоверной оценки безопасности архитектуры системы для какой-либо политики безопасности.
2 Target
Эти системы решают совершенно иные вопросы, а том, о чем вы пишете в зачаточном виде существует. В том числе и с какими-то наработками в части типизации систем/архитектур.
Target: посмотрите http://www.slideshare.net/lukatsky/automating-network-security-assessment