RuSEIM
Новости

Как построить корпоративный SOC-центр на основе SIEM-системы RuSIEM

Москва, 05 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в VI Конференции по информационной безопасности в ракетно-космической отрасли. Мероприятие состоялось 29-30 сентября 2022 года в Подмосковье и было ориентировано на руководителей департамента защиты государственной тайны, специалистов ИБ-подразделений госкорпорации «Роскосмос», представителей ФСБ России и ФСТЭК России и экспертов по информационной безопасности ведущих российских компаний.
Участники встречи обсудили автоматизацию процессов защиты информации, вопросы импортозамещения, практические аспекты защиты объектов КИИ и многое другое. Отдельное внимание эксперты уделили трендам информационной безопасности с учетом текущей ситуации.
Совладелец компании RuSIEM Максим Степченков выступил с докладом на тему «RuSIEM – единая система мониторинга информационной безопасности организации». Он представил подробную информацию о SIEM-системе RuSIEM, а также рассказал о рекомендуемых подходах к ее внедрению и настройке.
Напомним, что компания разрабатывает SIEM-систему (Security Information and Event Management) – решение для обнаружения и предотвращения угроз, благодаря анализу событий с сетевых устройств, решений безопасности, рабочих станций, серверов и приложений. Как отметил Максим Степченков в ходе выступления, нынешний функционал системы позволяет создавать на ее основе центр реагирования на кибератаки (SOC-центр) благодаря:
  • автоматизации процессов информационной безопасности;
  • комплексному подходу к управлению информационной безопасностью;
  • применению экспертизы и технической поддержке специалистов компании RuSIEM.
Технологичность и внедрение алгоритмов машинного обучения в процессе поиска аномалий позволит созданному на базе решения RuSIEM SOC-центру обнаруживать на ранней стадии и предотвращать возможные инциденты. Однако, чтобы система работала максимально результативно, необходимо правильно настроить сбор событий.
По словам главы RuSIEM, на практике зрелость любого SOC – это использование минимального количества событий информационной безопасности. Все остальное можно хранить, обрабатывать, но как телеметрию. Проблема в том, как разграничить, какие источники подключать к мониторингу, какие – нет: часто это вопрос не технический, а больше финансовый.
«Если компания большая, при определении источников нужно, конечно, стремиться охватить критичные для бизнеса элементы. Однако подключать только их неправильно. Инциденты начинаются на некритичных источниках корпоративного сегмента ИТ-системы, и там их и надо ловить «на подлете». То есть, подключать в первую очередь те источники, которые с высокой долей вероятности будут задействованы злоумышленниками, - считает Максим Степченков. - В небольших компаниях можно подключать всё».
Он также отметил, что по мере повышения зрелости ИБ в организации, одной из задач SIEM становится постоянный мониторинг изменений. «Иногда наши заказчики узнают о новых элементах ИТ-инфраструктуры не от коллег-айтишников, а из SIEM. После их подключения к системе мониторинга анализ поступающих с них событий предлагает меры защиты, которые не были учтены при реализации изменений», - рассказал Степченков.